連絡掲示板
「貴機関がEU域内から我が国を含むEU域外に移転する個人データの取扱いについて(平成30年12月5日総務省行政管理局事務連絡)」の補足について(周知)
2019年02月22日 (金)
庶務チーム
2018年12月07日 (金)に「EU域外から我が国を含むEU域外に移転する個人データの取扱について」を連絡していますが、取扱文書の補足情報文書が文科省官房総務課より送付され本部総務課情報公開室から連絡がありましたのでお知らせします。
————————————————————————————–
総務省行政管理局情報公開・個人情報保護推進室文書(平成30年12月5日)
貴機関がEU域内から我が国を含むEU域外に移転する個人データの取扱いについて
文部科学省大臣官房総務課文書情報管理室企画係文書(平成31年2月5日)
「貴機関がEU域内から我が国を含むEU域外に移転する個人データの取扱いについて(平成30 年12 月5日総務省行政管理局事務連絡)」の補足情報の提供について
1.EU域内に職員が駐在する支部があるケース「越境移転」
本学はEU域内に全学拠点を置いていないと思ってますが、もしも部局単位で拠点を置き、そこに常駐職員を配置し、給与支給などしてるケースは、「1」に該当します。
その場合、本人同意を得ればいいのですが、雇用者と従業員の力不均衡があるので本人同意は推奨できず、欧州委員会とSCC契約締結が望ましい。ということが記載されています。
2.留学生受入れ、入試、国際シンポジウム等の実施「域外適用」
大学の場合、その多くが「2」の域外適用に該当します。
前回も申しましたが、「本人同意」をとっておくのが最善策です。
例えば、シンポジウムやフォーラムを開催するにあたり、申込書のどこかに「本学が取得した個人情報は主催者限りで取り扱うものとし、第3者に提供いたしません」とか、その下に「この規定に同意します」のような同意ボタンやクリックを求める作りにしておくことは、何もGDPRでなくても日本国の独法個人情報保護法でも謳われているところです。
こういった趣旨のことを一切記載しないでイベント等を実施してる場合には、個人情報の取扱いのことを記載するよう検討してください。(個人情報を取得する場合です)
個人情報の取扱いの記載があったほうが望ましいし、仮にEU域内の方から申込みがあり、個人情報の取扱記述が一切ないと、個人情報保護法においても言えますが、GDPRにも違反しているということになりかねません。
ご確認したうえで、適切な対応方よろしくお願いします。
この「2」では国際シンポジウムでEU域内者を雇うケースの例示があり、国内で実施するイベントのことまで書いている訳ではありませんが、学内イベントでの個人情報の取扱いが気になったため、あえてお願いするものです。