【問138】個人情報保護士 練習問題|外国にある第三者への提供
個人情報保護法 問138/170難易度A(易しい)
問題文
GDPRとの関係で日本の個人情報保護法について述べた次の記述のうち、正しいものはどれか。
- 1.EUから日本へのデータ移転は、GDPRの十分性認定により特別な措置なく行うことができる。
- 2.日本からEUへのデータ移転は、個人情報保護法上は何の規律もなく自由に行える。
- 3.GDPRの十分性認定と個人情報保護委員会の国認定は、まったく異なる制度であり関連性はない。
- 4.GDPRに基づく十分性認定がなされたため、日本企業はGDPRを一切遵守する必要がない。
解説
正解
正解は選択肢1です。
各選択肢の解説
選択肢1 → ✅正解
欧州委員会は日本に対してGDPRに基づく十分性認定を行っており、EUから日本への個人データの移転は、標準契約条項(SCC)等の追加的な保護措置なく行うことができます。
選択肢2 → ❌誤り
日本からEUへのデータ移転は、法第28条の外国にある第三者への提供に該当し得ます。ただし、EUは個人情報保護委員会により認定国とされているため、国内の第三者提供と同様のルールが適用されます。「何の規律もない」わけではありません。
選択肢3 → ❌誤り
GDPRの十分性認定と日本の個人情報保護委員会の国認定は、相互補完的な関係にあります。日EU間のデータ流通の円滑化のために両制度が連携しています。
選択肢4 → ❌誤り
十分性認定はEUから日本へのデータ移転を容易にするものですが、日本企業がEU域内で個人データを直接取り扱う場合等には、GDPRの域外適用の対象となる可能性があります。
背景知識
2019年に日EU間で相互の十分性認定(日本側は個人情報保護委員会の国認定、EU側はGDPRの十分性認定)が発効し、日EU間で個人データの円滑な流通が可能となりました。これは世界最大規模のデータ流通圏の創設とされています。ただし、日本側では補完的ルール(個人情報保護委員会告示)に基づく追加的な保護措置を講じることが条件となっています。GDPRの十分性認定は定期的にレビューされ、日本の個人情報保護の水準が維持されていることが確認されます。
学習アドバイス
日EU間の相互認定の仕組みを理解しましょう。十分性認定があってもGDPRの域外適用の可能性がある点は注意が必要です。
まとめ
- 日EU間は相互の十分性認定によりデータ流通が円滑化
- EU認定国への提供は国内と同様のルールが適用
- GDPRの域外適用は十分性認定とは別の問題