連絡掲示板
EU域外から我が国を含むEU域外に移転する個人データの取扱について
2018年12月07日 (金)
庶務チーム
各 位
標記について、本部総務課情報公開室から以下の連絡がありましたのでお知らせします。
————————————————————————————————————————-
個人情報保護担当者 殿
いつもお世話になります。本部総務課情報公開室の平松と申します。
本年5月25日施行の「EU一般データ保護規則(GDPR)」についての対応等に関する事務連絡が、総務省行政管理局情報公開・個人情報保護推進室からありましたので転送いたします。
これは、日本国が十分性認定を受ける手続きの最終段階にあるが、十分性認定を受けても行政機関や独立行政法人等はその対象とはならないので、引き続きGDPRの対応をしてほしいという事務連絡で、個人データ移転の具体ケースも2つ列記しています。
具体的には、EU域内からの留学生(卒業生含む)・入試情報や外国人教員・研究者、研究情報、医療情報、産学連携情報等の個人データが関係します。
GDPR第49条で言うように「同意書」(明確な本人同意)をとっておくのが一番の最善策ですが、それが現実的でない場合、GDPR46・47条にあるような所定の適切な保護
措置を講じたり、それを講じる契約書や文書(法的拘束力のある法律文書GDPR40条)などの作成が考えられます。
ただし、条文の解釈等については、欧州委員会から見解を示していただけない、ということで、総務省も個人情報保護委員会も各機関からの問合せに対して対応できていないという状況だということについて、ご理解ください。
常日頃から個人情報の適切な管理に努めていただけてるとは思いますが、GDPRに対する適切な対応等についても、よろしくお願い申し上げます。
個人情報を取扱う関係者にもご周知のほどよろしくお願いいたします。
-------------------------------------
-------------------------------------
各行政機関個人情報保護担当者 殿
各独立行政法人等個人情報保護担当者 殿
平素から当室の業務に御協力いただき厚くお礼申し上げます。
現在、日EU間の個人データ移転については、個人情報保護委員会において、欧州委員会と日EU間の相互の円滑な移転を図る枠組み構築に向け、必要な国内手続き完了の最終段階にあります。
EU域内から我が国を含むEU域外に個人データを移転する際は、現在、EUのGDPR(General Data Protection Regulation:一般データ保護規則)に基づき、所定の適切な保護措置を講じるか、又は本人同意その他の例外事由に該当することを根拠として移転しているところ、本枠組み構築が完了しますと、十分性認定を根拠として移転することが可能となります。
しかし、本枠組みは、個人情報保護法の適用を受ける民間事業者が対象であり、欧州委員会により公表されている十分性認定の案文によれば、行政機関等個人情報保護法の適用となる行政機関及び独立行政法人等は、本枠組みの対象とはなりません。したがって、貴機関が、EU域内から我が国を含むEU域外に個人データを移転する場合は、本枠組み構築が完了した後も、引き続き、GDPRの規定により、所定の適切な保護措置を講じるか、又は本人同意その他の例外事由に該当することを根拠とすることが必要となります。
また、GDPRにはいわゆる域外適用の規定があり、EU域内に拠点がない場合でも、EU域内の者に対する物品又は役務の提供等に伴って個人データを取り扱う場合は、(上記の新たな枠組みの有無に関わらず)GDPRの適用を受ける場合があります。
今回、上記に関して標記のとおり整理しましたので、送付いたします。
当方はGDPRの内容自体について関知する立場ではありませんが、皆様の業務に資するべく参考通知するものです。
よろしくお取り計らい願います。
総務省行政管理局
情報公開・個人情報保護推進室