日EU間の越境データ移転
我が国は、個人情報保護法第28条に基づき、EUを個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国(国又は地域)に指定しています。また、EUは、GDPR(一般データ保護規則)第45条に基づき、我が国の十分性認定を行っています。このように、日EU間では、相互の円滑な個人データの移転を図る相互認証の枠組みが成立しており、互いのデータ保護制度を同等とみなし、両者間での自由な個人データ流通が可能となっています。
2016年4月以降、当委員会は、欧州委員会との間で、相互の円滑な個人データ移転を図る枠組みの構築のため、対話を進めました。
- 相互認証の枠組み構築に係る対話の合意
- 2018年7月17日
個人情報保護委員会熊澤委員と欧州委員会ヨウロバー委員が電話会談を行い、同対話の最終合意を確認しました。
なお、欧州委員会の求めに応じ、EUから日本の民間事業者へ移転された個人データについて、日本の行政機関が収集・使用する場合における、当該個人データの取扱いに係る日本の法制度を説明する文書を発出しました。
- (英語)Collection and use of personal information by Japanese public authorities for criminal law enforcement and national security purposes (September 14, 2018)
(PDF : 712KB)
- (日本語仮訳)法執行及び国家安全保障目的の日本の公的機関による個人情報の収集及び使用(2018年9月14日)(参考仮訳)
(PDF : 307KB)
- 2018年7月17日
- 相互認証の枠組みの発効
- 2019年1月23日
最終合意を踏まえて、我が国においては、第85回個人情報保護委員会において、個人情報保護法第24条(現在の法第28条)に基づくEU指定を1月23日付けにて行い、また、欧州委員会においても、GDPR第45条に基づく我が国の十分性認定を同23日付けにて決定し、同枠組みが発効しました。
- 平成31年個人情報保護委員会告示第1号(最終改正 2023年4月18日)
(※)個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等(平成31年個人情報保護委員会告示第1号) (PDF : 435KB)
- 個人情報保護委員会熊澤委員及び欧州委員会ヨウロバー委員による「共同プレスステートメント」
(PDF : 112KB)
なお、EU域内から十分性認定により移転を受けた個人データについては、「個人情報の保護に関する法律に係るEU域内及び英国から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」 (PDF : 166KB)
が適用されます。 - 平成31年個人情報保護委員会告示第1号(最終改正 2023年4月18日)
- 2019年1月23日
- 共同レビュー会合の開催
- 2021年10月26日
個人情報保護委員会大島委員と欧州委員会レンデルス委員は、日EU相互認証に係る共同レビュー会合(オンライン開催)を実施し、同枠組みに係るレビュー(注)について、これまでの作業の進捗に加えて、本会合後、双方が報告書を発表し、これらの報告書をもってレビュープロセスが完了することを確認しました。
(注)欧州委員会は、我が国に対する十分性認定について、十分性認定の通知日(平成31年1月23日)から2年以内及びその後少なくとも4年ごとに、レビューを行うとしています。また、当委員会においても、EU指定に関する見直しを、指定の日(同1月23日)から2年以内、その後少なくとも4年ごと及び当委員会が必要と認めるときに行うこととしています。
- 個人情報保護委員会大島委員と欧州委員会レンデルス委員による共同ステートメント
- 2021年10月26日
- 相互認証の枠組みに係る共同レビューの完了
- 2023年4月4日
個人情報保護委員会丹野委員長は訪日中の欧州委員会レンデルス委員と会談を行い、日EU間の相互認証の枠組みに係る最初の共同レビューが成功裏に完了したことを歓迎しました。また、今後の協力として、EUによる我が国への十分性認定の範囲を、学術研究機関や公的機関に拡大する可能性を検討することで一致しました。
- 個人情報保護委員会丹野委員長と欧州委員会レンデルス委員による共同ステートメント(英語)共同プレスステートメント
- 個人情報の保護に関する法律第28条に基づく EU及び英国の指定の見直しに関する報告書
(PDF : 307KB)
- 2023年3月22日
第237回個人情報保護委員会において、個人情報保護法第28条に基づき、EUを我が国と同等の水準にあると認められる個人情報保護制度を有している外国としてEUへの外国指定を継続することを決定しました。
- 2023年4月3日
欧州委員会は、GDPR第45条に基づき、我が国への十分性認定を継続することを決定しました。
(注)欧州委員会は、我が国に対する十分性認定について、今回のレビュー終了後少なくとも4年ごとに、レビューを行うとしています。また、当委員会においても、EU指定に関する見直しを、今回の見直し終了後少なくとも4年ごと及び当委員会が必要と認めるときに行うこととしています。
- 2023年4月4日
日英間の越境データ移転
日英間では、相互の円滑な個人データの移転を図る相互認証の枠組みが継続しており、互いのデータ保護制度を同等とみなし、両者間での自由な個人データ流通が可能となっています。
- 英国のEU離脱
2020年2月1日(英国時間1月31日)に英国はEUを離脱しました。
- 平成31年個人情報保護委員会告示第5号
(PDF : 115KB)
当委員会は、EUに対して行った個人情報保護法第24条(現在の法第28条)に基づく英国への外国指定を、EU離脱後においても英国に対して継続することとしました。同告示は、 令和2年2月1日に施行。 (PDF : 55KB)
。 - 英国は、移行期間終了後についても、英国は、日本に対する十分性認定の効果を維持するための関連法令の手続きを完了しています。
- 平成31年個人情報保護委員会告示第5号
(PDF : 115KB)
- 我が国による英国への外国指定に係る第1回レビューの完了
- 2023年3月22日
第237回個人情報保護委員会において、個人情報保護法第28条に基づき、英国を我が国と同等の水準にあると認められる個人情報保護制度を有している外国として英国への外国指定を継続することを決定しました。
- 2023年3月22日