日本の十分生認定については昨年からずっと議論が行われていました。
6月1日付の日経新聞には「個人データ相互移転 日欧が合意 今秋にも枠組み発効」という記事が出ていましたが、要注意です。
個人情報保護委員会の発表では「お互いの作業の進展について確認するとともに、可能な限り早期に、個人情報保護法第24条に基づく個人情報保護委員会によるEUの指定及びGDPR第45条に基づく欧州委員会による日本の十分性認定に係る手続を完了させるための作業を加速することに合意しました。」としか書かれていません。
7月にガイドラインを策定、秋に十分性認定の発行ということはどこにも書かれていません。
新聞、メディアはニュースになることを報道し、時に事実よりもニュース性を優先することがあるため、注意が必要です。
十分性認定が得られると、移転対策が容易になるといわれています。具体的には域外越境移転を適法化するためのSCC締結を省くことができるようになります。
一方で十分性認定は恒久的に有効であることは保証されていません。
定期的に見直され、場合によっては取り消しということも生じます。(アメリカのセーフ・ハーバーが取り消された例があります)
余裕がある企業はSCCを念のため締結しておくことがよいでしょう。
日経新聞ではベラ・ヨウロバー欧州委員のインタビューも掲載しています。記事の信憑性にやや疑念がついているのが残念ですが、以下のやり取りは参考になりますね。
データ漏洩等のデータ侵害事案がきっかけになることを暗示しています。
また、公的セクターへの取り締まりについても注意が必要です。
日本は公的セクターを取り締まることはないのですが、欧州は公的セクターを取り締まります。
GDPRの実効性がどこまであるかわかりませんが、公的セクターへの働きかけも生じるかもしれません。
=============
――日本企業など域外企業の中には体制整備が完了していないところもあります。
「現在、日本企業について特定の問題は聞いていない。情報漏洩などの問題が起きれば、扱っているデータの量やそれまでとっていた予防措置などを勘案して処分を決めることになる」
「民間企業だけでなく、公的セクターによる個人データの扱いも注視している。法的権限として認められている範囲を超えたデータを収集していないか、不要になったデータを削除せず抱え込んでいないかを確認したい」