JETROのGDPR対応ハンドブックによれば、GDPRは個人データの「処理」と「移転」についての法律となっています。
初めて目にする人にはイメージのつかない話ですが、GDPRに慣れるとうまくまとめた言い方だと感じます。
日本でビジネスをしていると「移転」に注目が集まります。欧州から日本に「データを持ってきている」と感じるためです。
しかし、「データの移転」というのは少し意味合いが違うので注意をしてください。
GDPRにはデータの「取得(obtain / collect)」という概念とデータの「移転(transfer)」という概念があります。
「取得」とは「データを入手すること」、「移転」とは「データをある場所から別の場所に移す」ということになります。
したがって、自社のweb site等で欧州の個人にデータを入力してもらう場合、この行為は「取得」となります。
自分で直接取得するので「直接取得」と呼ぶこともあります。
対して「移転」ですが「サーバーA」から「サーバーB」にデータを移す場合、「移転」となります。
「越境(第三国)移転」といわれるのは、「サーバーA」が例えばドイツにあり、「サーバーB」がベルギーにある場合、「サーバーA」から「サーバーB」にデータを移すと国境をまたぐ場合についてです。
ここで、「取得」と「移転」の違いを考えたいと思います。
たとえば、自社のweb site等で欧州の個人にデータを入力してもらい、その保管先が日本のデータセンターにあるデータベース内である場合、これは「取得」でしょうか?それとも「移転」でしょうか?
実は、これは「直接取得」と考えられます。個人データが直接日本のデータサーバに保管されるためです。
欧州から日本にデータが来ているからといって「移転」というわけではないので注意が必要です。