EUデータ保護規則(GDPR)―EU域外への個人データの移転①/概観&十分性の決定

今回は、EU構成国からEU域外に個人データを移転する場合の規制について見ていきます。現代は、飛躍的に個人データが国境を越えるようになりました。たとえばクラウドコンピューティングやITサービスでは、日本国内にある企業であっても、他国に個人データが物理的に存在することがありうることがたやすく理解できるでしょう。
EUは、個人データのEU構成国以外の第三国への移転について、EU個人データ保護指令の時代から取り組んできたパイオニアです。個人データの越境移転について、EUデータ保護規則はどのように定めているのでしょうか。指令の時代と比べて、どの点に変更があるのでしょうか。

 

EU構成国間の個人データ移転

EUの構成国と構成国との間で、個人データを移転することは当然のことながら自由です。
個人データを自由に移転することができる地域は、欧州経済圏(EEA: the European Economic Area)にも拡大されています。つまり、EU構成国28か国とアイスランド、リキテンシュタイン、ノルウェーの31か国間では、個人データを自由に移転することができるのです。EU、EEAの関係については、ミニ知識-EFTA(欧州自由貿易協定)とEEA(欧州経済圏)を参考にしてください。

したがって、日本企業がEU構成国内に事業所を有していたり、その国の法律にしたがい子会社を設立している場合に、EU規則の規律を遵守しつつ、事業者や子会社から他のEU構成国、EEA加盟国に個人データを移転することについては、何ら制限はありません。 続きを読む →