EU指令と個人情報の国際間移転 ①

みなさんこんばんは、寒くなってきましたね。あっという間にクリスマスの声が聞こえてきそうなこのごろです。ここ数日某官庁の機密ファイルや、某社の46万人分個人情報漏えい事件などが話題になっているようですが、その推移を見守っています。
さて個人情報といえばクラウドの保証を考える ②でEU指令について触れました。その後、今年の6月に消費者庁から「国際移転における企業の個人データ保護措置調査報告書」が公開されています。これを読むと、EUの第29 条作業部会は、2009 年12 月1 日に、イスラエル(Israel)及びアンドラ(Andorra)について十分性を認める意見を採択したことがわかります。

さて我が国は、というとベルギーの首都ブリュッセルで2009 年4 月23 日、日白協会(Belgium-JapanAssociation)主催のデータ保護会議(BJA-Conference on Data Protection)が開催され、ここで日本とEUの間の個人情報移転について話し合われたようです。この報告書の表現をお借りすると「EU と日本におけるプライバシー・個人情報保護」(Privacy and Personal Data Protection between EU and Japan)会議と称することができるとのことです。この席上で日本については以下のようにコメントされているそうです。

・日本は、個人の私生活にかかわる個人データ及び基本権に関して十分なレベルの保護を提供している国であるとは、EU によってまだ考えられていない。

・したがって、EU 構成国から日本へのデータの移転は、EU構成国各国のデータ保護機関による事前の情報/権限付与(prior information/authorization)を意味する指令95/46/EC第26 条に従って行われなければならない。

ここでいう26条とは25条で決められているEU外への個人情報持ち出し禁止に関する例外条項で一定の条件を満たせば、持ち出しが認められるというものです。

そして「委員会は、日本のやり方の評価を開始する予備的段階に入った。」ということで、本当にEU-日本間での自由な情報移転が可能になるかどうか、調査と話し合いが始まっているようです。ただし前出の「EU によってまだ考えられていない。」という表現を見ると、現状のままですぐに認められるとは考えにくいと思います。今後、さらに法制度の整備や日本政府によるEUとの交渉などが必要になってくるのだと思います。

ということは当面、しばらくの間はEUからの個人情報の日本への持ち出しは認められないものと考えて、26条の例外事項を利用した手続きなどを視野に入れながら考えていく必要があり、そのためにはクラウド利用などにおけるデータの保管場所も、きちんと保証される必要があるのだと思います。

26条については次回ご紹介したいと思います・・・

Comments:

Post a Comment:
  • HTML Syntax: NOT allowed
About

オラクルの話をベースに幅広く情報セキュリティについて、 技術だけでなく法律、制度、マネジメント、経営などについてもお話したいと思っています。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today