2016年4月に欧州議会本会議においてGDPR(General Data Protection Regulation:EU一般データ保護規則)が正式に可決された。2018年5月から適応開始予定のGDPRは、EU個人情報保護指令(EU指令)との違いを認識してEU内で事業を行っている企業の対応が迫られることとなる。
EU(欧州連合)内で個人情報を取り扱う場合にはEU個人情報保護指令(以下、EU指令)に準拠する必要がある。EU指令では、EEA(欧州経済領域)域内に存在する個人の情報をEEA域外へデータ移転することを禁止している。例えば、日本企業が、EEA域内で取集した個人情報をそのまま日本の親企業に送ることはできない。例外として「適切なデータの保証」が行われていれば、移転が許される(EU指令25条1項)が、日本では第三者機関による個人情報の監視は行われていないため、EU内で取得した個人情報を国内で取り扱うことはできない。EU指令25条1項の基準を満たしている国・地域としては、アンドラ、アルゼンチン、オーストラリア(条件付き)、スイス、カナダ、イスラエル、ニュージーランド、ウルグアイ、フェロー諸島、ガンジー島、マン島、ジャージー島があげられる(米国はEUとのセーフハーバーによる)。
実際にEU指令の主要な要件を下記にあげる。
①個人データの本人による明確な同意を得る(EU指令26条1項a号)
個人情報を提供する本人の同意があれば、個人情報をEEA域外に送ることは可能である。ただし、その同意は、自由意志に基づいたもので、同意の対象が特定されており、関連情報を告知したうえ明示的に行う必要がある。また契約に基づく情報の取得であっても契約の履行に必要な範囲のみで移転が可能である。EU規則(EU加盟国の法令を統一するために制定される法令)によると、EU市民に直接サービスを提供するEEA域外企業や、EUに居住する本人の個人データを取り扱う管理者に対して、第三国移転制限のルールを含むEU規則を適応することが規定されている。この規定により、日本に拠点がある企業がEU在住の個人に対し商品サービスを提供したり、本人の活用をモニタリングする(個人をプロファイルするデータ処理技術を用いてインターネッ上で追跡する)したりすることを目的としたデータ移転は許されない。
②標準的契約約款(Standard Contractual Clauses)の締結(EU指令26条2項)
EUモデル契約(EU指令によるEUが定めた契約モデル)を使用して、EEA域内からデータを移転する企業とデータを受け取る企業(例えば、日本の親企業または海外子企業)との間で個人情報の取り扱いに関する契約を締結する方法を指す。EU指令の下では、契約を締結したEEA域外の相手方に対する個人情報の移転は許される。
③拘束的企業準則(BCR:Binding Corporate Rule)
グループ企業内に限定されるのであれば、そのグループ企業全てに非常に高いレベルでの個人情報を保護する規則を規程することで、情報の移転が行えるようになる。BCRとは、主に多国籍企業を対象として、1995年にEU指令第26条第2項に基づくデータの国際移転を効果的に行うためのルールである。BCRはEEA域内のデータ保護機関(Data Protection Authority)から承認をもらう必要がある。しかし、一般的に専門弁護士事務所と契約しなければ承認をもらうことは実質不可能とされ、ビジネスのスピードやコストを考えるとそのハードルは高い。実際にBCRを取得している企業は2016年2月23日現在で83社しかなく、日本企業は取得していない。
データ保護機関などにより法的に執行可能であることなどに留意した「国際データ流通に対する拘束的企業準則」などを策定し、欧州域内のデータ保護機関が当該ルールを承認した場合に多国籍企業内でのデータ流通が認められる。グループの最上位の親企業または営業上の本部がEUの加盟国内に置かれている場合は、当該加盟国のデータ保護機関に申請を行う。