■日本政府がGDPRに関する「最終合意」を発表。
2018/07/17 、日本政府は「日EU間の相互の円滑な個人データ移転を図る枠組み構築に係る最終合意」を発表し、いわゆるGDPR対策として「標準的契約条項(SSC)」や「拘束的企業準則(BCR)」といった、企業にとってハードルの高い手続き等を行わなくても良いことが確定しました。
「日EU間の相互の円滑な個人データ移転を図る枠組み構築に係る最終合意」 個人情報保護委員会 (内閣府)
■GDPR対策が不要になったわけではない。
ですが、上記の公開情報には、「特に対策を取らなくても良くなったのか。」「引き続き対策を取る必要があるのか」「その具体的な内容とは」などが内容不十分です。
そこで、内閣府の外局として位置する「個人情報保護委員会」に筆者が直接、2018/7/18 午前に電話で確認してみました。
穏やかなご年配風のご担当者が優しく
「十分性認定が認められたわけではないです。また、追加対応すべき条件も、2018/4/25に公開したガイドラインの仮案で決定、という状態でもなく、公開できる確定要素はまだありません。これについては、今年の秋頃を目度に発表できるように作業を進めているところです。」との回答でした。
つまり、GDPR対策として、もっとも企業にとってハードルが高かった、「SCR」や「BCR」といった、過剰な対策を取る必要はなくなったが、現在の改正個人情報保護法自体に「十分性認定:GDPR 45条」が認められたのではなく、2018年の秋頃に現法に追加する格好で、GDPRへの対応ガイドラインが追加されるから、個人情報保護委員会 (内閣府)の発表を待つこと。
ということになります。
電話では、2018/4/25に公開したガイドラインの仮案「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編) 」がそのまま決定しているわけでは無い、という回答でしたので、IPやクッキーなどの扱い、「忘れられる権利」への配慮などもおそらく盛り込まれてくるでしょうし、EC事業者の現場としては、まだまだ気が抜けない状況には変わりはないようです。
いずれにせよ、同発表と同じ7/17 に、安倍首相と欧州連合(EU)の首脳が、首相官邸で日本とEUの経済連携協定(EPA)に署名し、2019年3月末までに日欧の「経済連携協定(EPA)」が発効されることになりました。これにより人口約6億人、世界の国内総生産(GDP)の約3割をカバーする巨大な自由貿易圏が誕生し、あわせて日本とEEA圏で、個人データが安全に流通する世界最大の地域ができあがるわけです。これまで不透明なまま進んできた、日本のGDPR対策にようやくピリオドが打たれ、EC業界にとっても一筋の光明が差す発表だったと思います。
株式会社issun 代表取締役 宮松利博
関連記事
Eコマースのための「GDPR:一般データ保護規則」対策
いよいよ施行のEU「一般データ保護規則(GDPR)」貴社のアナリティクス設定は本当に「永続的に保持」で良い?
