GDPRの日本の十分性認定、欧州データ保護会議(EDPB)が欧州委員会(EU)に追加改善要請

2018/12/05にEDPB(欧州データ保護会議)が欧州議会から諮問をうけていた日本の十分性認定決定の草案についての意見を採択した。

‘European Data Protection Board – Fifth Plenary session: EU-Japan draft adequacy decision, DPIA lists (DK, HR, LU, and SI), and guidelines on accreditation’ (European Data Protection Board 2018/12/05)

全体が婉曲な表現で一回読んだだけでは理解しづらいが、「相当数の懸念が残っている(a number of concerns remain)」ためすんなり承認とはならなかったようだ。

以下、日本語試訳する。

EDPBメンバーはEDPBが2018年9月に欧州委員会から受領していた、EU~日本の十分性決定草案についての意見を採択した。EDPBは欧州委員会から入手した文書をもとに評価をおこなった。

EDPBの重要な目的は、日本の枠組みにおける個人データ保護の十分性のレベルについて、欧州委員会が十分な保証があることを確認しているかを評価することだ。

EDPBは欧州委員会と日本の個人情報保護委員会が、日本と欧州の法的枠組みを収れんさせるべく行った努力を歓迎する。2つの枠組みの間のいくつかの差異を橋渡しするために、「補完的ルール」を定めることで改善された点については、非常に重要であり、受け入れることができる。

しかしながら、欧州委員会の十分性草案と日本の個人情報保護枠組みについて、その後注意深く分析し、相当数の懸念が残っていることに気づいた。EUから日本に移転された個人情報の保護のライフサイクル全体などである。

EDPBは欧州委員会に対して、EDPBの求める明確な説明に対応するとともに、提起された問題点についてより踏み込んだ証拠と説明を提出するよう、また、実効性をもって実施されるかを注意深く監視するように勧めた。

EDPBはEU~日本の十分性決定が最高度の重要性をもつと考えている。GDPR実施後の最初の十分性決定として、これが前例になるためだ。

最初の1文「The Board Members adopted an opinion on the EU-Japan draft adequacy decision」が紛らわしいが、十分性決定(十分性認定)の草稿を採択した、のではなく、草稿に関する意見を採択しただけだ。

EDPB(欧州データ保護会議)が欧州委員会に対して正式な意見を提出しただけのことで、十分性決定の草稿そのものを採択したわけではない。

EDPBは、「相当数の懸念(a number of concerns)」があるとし、それについて欧州委員会に「より踏み込んだ証拠(further evidence)」や説明を求めている。とくに指摘事項になっているのは、EUから日本に移転された個人データのライフサイクル全体(throught their whole life cycle)での保護である。

EDPBは十分性認定の草稿を却下したわけではないが、日本側に追加対応を求めていることになる。