作成者別アーカイブ: todkm.admin

GDPRの日本に対する「相互的十分性認定」は実際は「不十分」かつ「片務的」のように見える:個人情報保護委員会のパブコメへの回答から

欧州個人データ保護規則(GDPR)について、日本が欧州から欧州個人データの域外移転について十分性認定を受け、今年2018年中には正式に発効する。

その十分性認定を受けることができたのは、日本の個人情報保護委員会が、既存の個人情報保護法への補完的ルールとして「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下「補完的ルール」)を制定、パブリックコメント募集を経て正式に発効させたことだ。

しかも今回の十分性認定は「相互的 mutual」なもので、欧州個人データを欧州から日本へ「without being subject to any further safeguards or authorisations(何らこれ以上の安全措置や認証を条件とすることなく)」(‘Questions & Answers on the Japan adequacy decision’ 2018/07/17 欧州委員会)域外移転できると同時に、日本から日本の個人データを欧州へ域外移転できることになった。

・・・はずである。

「相互的」とは普通に理解すればそういうことで、欧州委員会も「this is the first time the EU and a third country agreed on a reciprocal recognition of the adequate level of data protection(EUと第三国が個人データ保護の十分性レベルの相互認証に合意した最初の事例である)」と、わざわざこの実績を誇っている(‘Questions & Answers on the Japan adequacy decision’(欧州委員会 2018/07/17))。

ところが、日本の個人情報保護委員会が上記、補完的ルールのパブコメで集まった意見に対するオフィシャルな回答をつけた『「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」に関する意見募集結果』(2018/08/24)を読むと、がく然とする。

日本政府側は「相互的」ということについて対応する気がないらしいからだ。

この「意見募集結果」にある個人情報保護委員会の回答に何度も出てくる次の決まり文句が、それを雄弁に物語っている。

本案は、EU 域内から十分性認定に基づき日本国内に移転した個人に関する情報の取扱いについて適用されるものであり、それ以外の情報に適用されるものではありません。

今回の十分性認定は「相互的」であるが、にもかかわらず個人情報保護委員会が、欧州へ移転された日本の個人のデータの取扱いについて補完的ルールをいっさい示していないし、欧州に補完的ルールの制定を求めてもいない。つまり、個人情報保護委員会は現行の個人情報保護法で良いと考えていることになる。

しかしGDPRと個人情報保護法を比べると、明らかにGDPRの方が厳しい。

ということは、個人情報保護委員会は欧州個人データより自国民の個人情報の方がゆるく扱われても構わないと宣言しているようなものだ。

このことは「意見募集結果」に何度も登場する次の決まり文句が明確に示している。

当委員会は、EU の GDPR の各種規定に関する解釈権限を有していないため、GDPR の解釈についての回答は差し控えさせていただきます。また、当委員会では、引き続き、GDPR の制度概要及び本案の内容について、情報発信と周知広報に努めてまいります。

日本政府(個人情報保護委員会)は今回の十分性認定が「相互的」であるにもかかわらず、GDPRの解釈を欧州に丸投げしている。

このことは、欧州個人データが日本へ移転された場合は、GDPRに沿った補完的ルールで対応するが、日本の個人データが欧州へ移転された場合は、GDPRに沿ってどう取り扱われるかは感知しない、と言っているのと同じことだ。

そうでないというなら、日本政府はGDPRの解釈について回答できる必要がある。それができず欧州側に丸投げでは「平等」で「相互的」な十分性認定とは言えない。

このことに理不尽さを感じる日本の企業や組織がなぜ現れないのだろうか?

個人ブログ運営者がGDPR(欧州一般データ保護規則)に大騒ぎしている愚かさ加減

日本語の個人ブログ運用者が、Google Analyticsで閲覧者をトラッキングしているというので、手間をかけてGDPR(EU一般データ保護規則)対応しているが、物事の発生確率について常識的に考えよう。

GDPR違反に制裁金(administrative fines)を課すかどうかはEU各国にある監督機関(supervisory authority)が執行権を持つ。

世界中に無数にある個人ウェブサイトから、あなたのブログを狙い撃ちして、わざわざあなたに英語で少なくない分量の質問書を送信し、状況を詳細に調査し、制裁金を課すべきかどうか、課す場合には金額をいくらにするかを決めるために、あなたと何往復もやり取りすると、あなたは本気で信じているのだろうか。

監督機関は、そんなにヒマではない。

ご自身のブログがEUの監督機関に狙い撃ちされるのを心配して手間をかけるくらいなら、あなたの日常生活にはもっと心配する価値があり、もっと手間を掛ける必要のあることが山ほどあるはずだ。

EUの監督機関が調査するとすれば、最優先なのはEEA域内で一般的に使われている言語および通貨で、EEA域内の自然人に商品やサービスを提供するウェブサイトのうち、多額の制裁金を徴収できそうな大企業だ。

そこから規模やプライバシー侵害リスクの大きそうなウェブサイトで優先順位付けして調査して行くとして、それだけでも何年かかるか分からない。

日本は今年2018年中には欧州委員会から正式に個人データ域外移転に関する十分性認定を受けられる見込みだ。米国の保護貿易傾斜に対抗して欧州が日本とのEPAを急いだおかげの「棚ぼた」で、日本の十分性認定が前倒しになったためだ。

十分性認定を受ければ「何ら追加の安全措置の必要なく」欧州個人データを日本へ移転できる。

結果、あなたが心配すべきことは、あなたのブログが日本の国内法である個人情報保護法を遵守しているかどうかだ。

ところであなたは自分のブログのコメント欄やアンケートフォーム、Google Analyticsで収集している日本人の個人情報が、日本の個人情報保護法に違反していないかを真剣に考えたことがあるだろうか。

単なる一個人が自分のブログについて「GDPRだ!大変だ!」というこの空騒ぎは、いつになったら終わるんだろう。

追記)

ちなみにGDPRのRecital 23では、欧州の個人に商品またはサービスを有償無償にかかわらず提供している場合は、欧州域外の個人や企業にもGDPRはたしかに適用される。

しかし適用されるかどうかの判断基準も書かれており、欧州域内で一般的に使われている言語、または、通貨が使われており、明らかに欧州域内の個人向けだと分かる場合のみに適用される。

したがってRecital 23を読む限りでは日本語の個人ブログはGDPR適用外となる。

ただし、Recital 24に域外適用のもう一つの場合が書かれており、欧州域内個人の欧州域内での行動をモニタリング(monitoring)する場合は域外適用される。

しかしながら、何がモニター(monitor)にあたるかの判断基準も書かれている。欧州域内個人のインターネット上の行動を追跡し、欧州域内個人のプロファイリングをする場合、特に、その個人に関する特定の意思決定や、その個人の嗜好、行動、意見を分析・予測する場合にモニタリングとみなされる。

Google AnalyticsやAdsenseのCookieを心配している個人ブロガーの皆さんは、このRecital 24の域外適用のことを言っている。

書かれているとおり、単にCookieを収集するだけで放置している場合はモニタリングに当たらず、GDPR適用外となる。どうしても心配ならGoogle AlanyticsやAdsenseに限らず、アクセス分析やネット広告サービスはすべて削除する必要がある。

またグローバルIPで欧州からのアクセスを遮断すればよいという記事もたまに見かけるが、GDPRの条文のどこにも、グローバルIPで欧州からのアクセスを遮断しさえすればGDPRの域外適用を免除されるとは書かれていない。

その個人が欧州域内かどうかはインターネット上の技術で決まるわけではなく、物理的に、実際に、欧州域内に存在するかどうかで決まる、としかGDPRには書かれていない。

たとえば、欧州域内の個人がVPNを使って欧州域外の国のグローバルIPからアクセスしてきた場合も、欧州域内の個人がアクセスしてきたことになる。

グローバルIPだけで欧州かどうかを判断する方法ではGDPR適用を逃れることはできない。

また、個人でブログを運営する場合、技術力のある方々は自力でWordpressにプラグインを入れるなどの対応で、Cookie取得についてユーザの事前同意を取ることはできるだろう。

しかしITの知識がほぼない方々が、手軽に始められるブログサービスに乗っかって、そのサービスが自動でアクセス数集計をしてくれるとか、コメント欄があるとか、アンケート機能があるというケースの方が多いはずだ。たとえばアメブロのユーザなど。

個人ブログの運営者で必死になってCookie対策やグローバルIP制限(上述のようにこれは対策にならない)をしている方々は、欧州の監督機関が、例えばすべてのアメブロユーザを摘発しに来るというような事態を本気で信じているのだろうか。

NHKの「偽・佐川」警告記事を批判したIT関係者に徹底反論

NHKが2018/07/27 16:35に公開したこの記事『本物そっくり!?「偽・佐川」に厳重注意を!』(2018/07/27 16:35 NHK)にネット上の批判が集まったらしいが、その批判そのものが間違っていることを徹底的に批判してみる。

それらの批判はこちらの『NHKの「偽・佐川」警告記事に批判集まる。iPhoneが攻撃アプリに感染すると誤解を生む内容』(2018/07/28 20:37 Yahoo!ニュース)という記事でまとめられている。

民間企業でIT技術者として一般社員に情報セキュリティの啓蒙活動をしている立場からすると、上記NHKの記事はきわめて適切である。これを批判した方々は少なくとも啓蒙家としては適性がない。

日本のiPhoneのシェアの異常な高さ

批判の第一点は今回のフィッシングメールでマルウェア感染のリスクがないiPhoneの画面を掲載している点にあった。

しかし日本は世界的に見てiOSのシェアが異常に高い特殊な国である。

こちらがIDCによる2017年日本国内スマートフォンのベンダー別出荷台数だがAppleは約半数を占める。

他方、こちらは全世界の2017年各四半期ベンダー別出荷台数で、サムスンが常に2割強でAppleをしのいでいる。3位以下はHuawei、Xiaomi、OPPOとなっている。

日本人はXiaomi、OPPOなどというメーカーの名前自体知らないだろうし、世界第三位のHuaweiも日本国内のシェアはたった4%だ。

仮にAndroidの画面を使うとして、日本のAndroid端末の画面はキャリア固有アプリのアイコンが並んでいたり、比較的高いシェアのHuaweiはEMUIという独自UI、ASUSは設定画面が独自UIだったりと、そもそも「これが素のAndroidだ」と分かっている一般人などいない。

また一般人がスマホを選ぶとき、iOSとAndroidの違いを理解して機種を選んでいるわけではない。Apple製品の方がデザインが良いとか、友だちや家族にiPhoneを使っている人が多いからなど、技術的観点と無関係な理由で選んでいる。

したがって日本の一般人向けにできるだけ多くの注意を引きとめるために、技術的正確さを犠牲にしてもシェアの観点から「スマホ代表」としてiOS画面を選ぶのは方法論として正しい。

iOSで実害のあるフィッシングメールの存在

今回NHKが取り上げた佐川急便のフィッシングメールはapkファイルのダウンロードへ誘導するもので、たまたまiOSに影響はないだけだ。これが例えば遷移先サイトでApple IDとパスワードを詐取するものであればiOSユーザにも実害がある。

また、一般人は上述のようにiOSとAndroidの違いを技術的に理解しているわけではないため、フィッシングメールの中にiOSに無害なものと、AndroidとiOSの両方に害のあるものといった区別は付かない。

さらに一般人は当然ながら「フィッシング」「マルウェア」などのカテゴリーでサイバー攻撃を認識できない。「なんだか怪しい」という漠然とした不安や恐怖心があるだけだ。

その程度の認識しかない一般人に対して「今回の詐欺はAndroidにしか害がなく、iOSは大丈夫です」と伝えようものなら、まず「Androidって何?」という話になる。運よくその段階をクリアしたとしても「iOSは大丈夫」という間違った安心感を持たせてしまう。

たまたま今回のケースはapkダウンロード型でiOSに害はないが、技術的に正確に「iOSは害がありません」と伝えることで、かえってiOSユーザが別の種類のフィッシングで被害にあうリスクを確実に高める。

今回の啓蒙としては「SMSやメール経由で開いた怪しいサイトには要注意」という、非常にざっくりしたメッセージさえ伝わればよい。

啓蒙活動にかかわる方々は、最も知識レベルの低い聴衆に合わせて情報提供すべきである。そうすればこちらが伝えた内容が正確でないと分かる人たちは喜んで周囲に正しい知識を伝えてくれる。

啓蒙する側としては「スキ」のある内容を伝えた方が情報に伝播力を持たせることができる。まさに今回のNHKの記事にネット上の「専門家」の方々が喜んで食いついたように。

一般ユーザの「怠惰」の正しさ

一般ユーザは技術的なことが分からないので、スマホを購入して使い始めるときにいちいち説明書を読まない。iOSやAndroidの勉強などしない。使いたいアプリがすぐに使い始められさえすれば、OSの設定画面をわざわざ潜っていくなどの手間はかけない。

一般ユーザを致命的なサイバー攻撃から守っているのは、実はこの「怠惰」である。

今回の件もAndroidはデフォルトで提供元不明アプリのインストール許可はオフになっている。ユーザの「怠惰」が正しい結果につながるようにベンダーがフールプルーフ前提の「セキュリティ・バイ・デザイン」をやってくれているからだ。

にもかかわらず、わざわざ「提供元不明アプリのインストール許可はオフにしましょう」などという情報を伝え、それをマジメに聞いてしまった一般人が出てくると、その何割かは確実に逆のことをする。インストール許可をオンにしてしまう。

啓蒙活動においては、相手の情報処理能力に限界を前提として余計な情報を与えないことだ。

余計な情報を与えても何割かの聴衆は30秒後には忘れている。この物忘れの速さも正しい結果につながることがある。

また今回の佐川急便の例では別の面で一般人の「怠惰」が被害を小さくしている。デフォルト設定のAndroidで提供元不明のapkファイルをインストールする手順は非常に面倒だからだ。

間違ってapkファイルのダウンロードボタンをタップしたところで、apkファイルのサイズにもよるが、ダウンロードが終わるまでに別のアプリに移動し、そのうちダウンロードしたことさえ忘れる可能性が高い。これは「怠惰」の成果だ。

仮にダウンロードを待っていたとしても、そもそも提供元不明のアプリをインストールした経験のない一般人は、通知パネルを引き下ろしてダウンロード完了メッセージをタップするという手順が思いつかない。「あれ?さっきボタンを押したけど、ダウンロードしたのはどこ行った?」という程度だ。

この時点で面倒になって「まあどうせ家のポストに不在通知が入るし」とインストールをあきらめるだろう。これも「怠惰」の成果だ。

それでもあきらめずにダウンロード通知を奇跡的にタップできたとすると、提供元不明アプリのインストール警告が現れ、これを受け入れる必要がある。

この時点で「いい加減にしろよ、こっちはそんなにヒマじゃないんだよ。荷物の追跡くらいメールで送ってくればいいだろ」と切れ気味に別のアプリに戻る。これも「怠惰」の勝利だ。

これらはフールプルーフによる「セキュリティ・バイ・デザイン」の成果だ。エンドユーザの「バカ」や「怠惰」を安全な結果へ誘導するための工夫だ。

それを中途半端な啓蒙記事はぶち壊しにする。啓蒙家気取りのみなさんは、少なくともフールプルーフやセキュリティ・バイ・デザインの効果をぶち壊しにしないでほしい。

その効果をぶち壊しても「バカ」で「怠惰」な一般人を啓蒙したいというなら、そういう一般人を1分間以上引き留めるニュース原稿や、10分間以上引き留めるネット記事を書いてみてはどうか。

啓蒙で最も重要なのは知性ではなく感情

まして今回NHKがトレンドマイクロを担ぎ出したことについて、「トレンドマイクロを儲けさせるためだ」とする陰謀論まで出てくる始末だが、NHKがトレンドマイクロを担ぎ出したことも正しい。

無知な一般人に対する啓蒙で最も重要なのは相手の知性に訴えることではなく、感情で釣り上げることだ。

日本人は一般的に権威主義的なので、トレンドマイクロでもシマンテックでもカスペルスキーでも何でもいいので「専門家」を引っ張り出してきて祭り上げ、小難しいことを語らせれば感情で釣り上げることができる。

「なんだかよく分からないけど、偉い人が気を付けろって言ってるから気を付けなきゃ」

ここまでこぎつければ今回の啓蒙活動は成功である。

今回のフィッシングがiOSには害がないとか、Androidの設定画面でどうすれば提供元不明アプリのインストールを防止できるかとか、そうした情報はどうせ聴衆の頭に残らない。

聴衆の感情的なフックを利用してこちらに注意を向けさせ、細かいことは抜きにして危機感さえ持ってもらえれば、その後により正確なことを知ろうという動機づけにつながる。

逆に、最初から技術的に正確なことを伝えようとして「なんだか面倒だ」「よく分からない」とマイナスの動機づけを与えてしまえば、啓蒙活動としては失敗である。

そんなことさえ分からない人たちがツイッターで啓蒙活動っぽいことをやっているのだから、専門家の「裸の王様」具合は滑稽でさえある。

なおこのブログ記事は専門家に向けられたもので、一般人に向けて書かれた啓蒙記事ではない。

GDPR十分性認定で欧州在住日本人と日本在住日本人の権利保護に差別がうまれる件

日本が既存の個人情報保護法に追加ガイドラインを定めることでGDPR十分性認定を得る予定になったが、その結果、日本の国内法が日本国民より欧州人を優遇するという結果になる。(欧州人と書いたが正確には国籍を問わずEEA域内に存在する個人)

追加ガイドラインは「EU域内から十分性認定により移転を受けた個人データ」についてのみ追加の取扱いを定めているので、日本国民の個人データにはその追加の取扱いは適用されない。

例えば欧州人の個人データについては、性生活、性的指向又は労働組合に関する情報が含まれる場合、要配慮個人情報の扱いになるが、日本国民の場合はそうならない。

欧州人の個人データについては、外国にある第三者へ提供するにあたって、その第三者が日本と同水準の個人の権利利益保護を有しているか、契約などの拘束力のある方法で保護措置を連携して実施するかが必要だが、日本国民の個人データについては不要。

欧州人の個人データを匿名化する場合は、匿名化のために用いた加工方法の情報自体を削除する必要があるが、日本国民の個人データの場合は加工情報の情報は適切に管理するだけでよい。

以上のように、日本の個人情報保護法は欧州人に対して、日本国民の個人情報より手厚い保護を与えることになる。

GDPRで言うEEA域内の個人には、EEA域内にいる日本人も含まれるので、同じ日本国民でも欧州滞在中と日本にいるときで個人データの取扱いが変わることになる。

日本国内法が日本国民の権利保護の取扱いに差をつける。これが日本国憲法に違反しないのか興味があります(汗)。

EU一般データ保護規則(GDPR)十分性認定の誤解が多すぎる件(更新)

2018/07/17にEU一般データ保護規則(GDPR)について日本を十分性認定したが、まだGDPRの第29条委員会ガイドラインの読込みをやっているブログがあったりする。

こちらの欧州委員会の今回の十分性に関するプレスリリースと、Q&A形式のファクトシートをちゃんと読んでいるんだろうか。

こちらの弁護士法人・三宅法律事務所の記事が見つけた限りでは唯一妥当な解釈をしていると個人的に考えている。

ポイントだけ引用する。

「日本が十分性認定を得れば、EU以外の十分性認定を取得していない第三国に個人データを『再移転』する場合は、GDPRの問題ではなく、日本法(個人情報保護法24条に基づく外国にある第三者への個人データの移転)の問題となります」

分かりやすく言えば、欧州個人データについて、日本は欧州の一部になったということだ。このことは欧州委員会サイトの十分性認定の決定についての解説にもある

“The effect of such a decision is that personal data can flow from the EU (and Norway, Liechtenstein and Iceland) to that third country without any further safeguard being necessary. In others words, transfers to the country in question will be assimilated to intra-EU transmissions of data.”

「そのような(十分性認定)決定の効果はEU(およびノルウェー、リヒテンシュタイン、アイスランド)からの個人データは、当該第三国にいかなる追加安全措置の必要なしに流通してよいということです。言い換えれば、当該国への移転はEU域内のデータ移動とみなされます」

日本が欧州個人データに関してEUの一部とみなされるかわりに、欧州個人データを日本からを第三国へ再移転する場合、日本はデータ輸出者になる。十分性認定のない第三国にデータ輸出する場合、日本の国内法にもとづいてGDPRのBCR、SCCに相当する手続きを整備する必要がある。

こちらのベーカー&マッケンジー法律事務所の2018/05/02のコラムが分かりやすい

“Although the EU standard clause contracts may not be required under this new adequacy regime (with its additional requirements), some form of contractual obligations will still need to be imposed upon the recipients of the personal data in Japan relying upon the regime. Companies will consequently need to create bespoke agreements or contractual provisions that can address the specific requirements in the Guidelines. In practice, companies will no longer need to worry about the EU standard clause contracts and so will have flexibility as to how the provisions in the Guidelines are incorporated. However, it will still leave companies with a burden to ensure that their agreements meet the specific requirements of the Guidelines, or be at risk that their data transfers from the EU to Japan be considered non-compliant with the adequacy requirements, and be in breach of the GDPR. ”

日本の個人情報保護法が新たにガイドラインを追加することで(with additional requirements)、その新たな十分性制度(new adequacy regime)の下ではEUのSCCは要求されなくなるかもしれないが、日本の欧州個人データ受領者は依然として何らかの形式の契約的な義務を課せられる。その結果、個人情報保護法の追加ガイドラインに対応するための同意や契約を新たに作成する(create)必要があるだろう、とのことだ。

EUのSCCは不要になり、「EUのSCCについてはもう心配する必要はなくなり、ガイドラインの規定にどう対応するかについて柔軟性が出てくる」ことになる。

重要なのは欧州委員会が十分性認定によって「いかなる追加安全措置の必要なしに流通してよい」としているのに対して、ベーカー&マッケンジーは十分性認定によっても、SCC相当の契約手続きがないとGDPR違反とされるおそれがあるとしている点だ。

筆者は欧州委員会の解説を採用する。十分性認定によって日本は欧州個人データについては欧州域内とみなされ、追加の安全措置は一切不要になるという考え方だ。

その結果、日本は欧州個人データの「域外」移転先ではなくなり、十分性認定を受けていない第三国に対しては欧州同様「輸出者」として、その第三国とSCC相当の契約を結ぶ必要が出てくる。

かつ、そのSCC相当の契約は日本の個人情報保護法と追加ガイドラインに基づく契約であり、EUのSCCではない。十分性認定によって日本は第三国への欧州個人データ移転については、GDPRの直接適用を受けなくなるからだ。

ところが日本政府が追加ガイドラインを施行するのは今秋(2018年秋)ごろなので、まだSCCに当たる契約ツールは公開されていない。日本政府が欧州委員会のように契約ツールを提要してくれるかどうかも分からない。

現時点で日本企業は欧州個人データを第三国へ移転する(=輸出する)とき、国内のSCCに相当するツールがないので実務上困ってしまう。

欧州委員会が2018/07/17に公開したファクトシートに書かれているように、十分性認定とは法制度が完全に一致していなくても「本質的な等価性」があれば、いかなる追加安全措置や許可なしに欧州個人データの移転を受けてよい。

もっと言えば、EUからすると「十分性認定したんだからこれからはお前のところの国内法でちゃんとやってくれ」ということだ。これも同ファクトシートに書かれている。

“Japan also agreed to establish a system of handling and resolution of complaints, under the supervision of the Japanese data protection authority (the Personal Information Protection Commission), to ensure that potential complaints from Europeans as regards access to their data by Japanese law enforcement and national security authorities will be effectively investigated and resolved.”

十分性認定後に日本が実施すべきこととして、個人情報保護委員会が日本のデータ保護機関となり、その監督の下で苦情処理のシステムを確立し、欧州個人からの苦情申し立てを日本の法律の執行と日本国内の情報セキュリティ機関が調査、解決する必要があるとしている。

欧州個人からの苦情申し立ても、日本国内法、日本国内の監督機関(=個人情報保護委員会)でやってくれ、という意味だ。

そもそもGDPRが第三国に治外法権を作り出そうというものではないのだから当たり前だ。他国の国内法に直接手をつっこむことができないのは当たり前なのだが、この当たり前を分からずに、まるでGDPRが日本国内の自然人・法人に「直接」適用されると勘違いしている人が多すぎる。

なので十分性認定を得た後でも、日本は十分性認定を得たがゆえにGDPRがより強く直接適用されると勘違いしている人が多い。

たとえばこちらの記事の最後にある「東京都内の弁護士」は、十分性認定によってGDPR対応が不要になるというのは誤解である、という誤解をしている。

十分性認定によってGDPR対応は不要となり、その代わりに国内法である個人情報保護法に追加されるガイドライン対応が必要になる、というのが正しい。ガイドラインでGDPR対応に「十分な」内容が追加されるからだ。

十分性認定を受けた後も日本の国内法が「不十分」であり、依然として国外法のGDPR対応が必要という見解は、上記の欧州委員会の説明やファクトシートと矛盾する。

十分性認定によって、欧州個人データについて日本は欧州域内とみなされ(assimilated to intra-EU transmissions of data)、一切の追加安全措置が不要になる(without any further safeguard being necessary)。

専門家でさえ誤解をしているのだから、日本のメディアが、あたかも欧州域内法であるGDPRが日本に「直接」適用され続けるかのように、つまり、欧州個人データについてだけは日本に治外法権ができるかのように、誤解を生む報道をするのは仕方ない。

【追記1】

日本企業の欧州現地法人がGDPRの「直接適用」を受けるのは、上記と同じ理屈だ。欧州域内の自然人・法人は欧州域内法の適用、十分性認定を受けた日本国内の自然人・法人は日本国内法(個人情報保護法プラス追加ガイドライン)の適用という考え方で整理できる。

しかし三宅法律事務所の上記コラムでは、欧州に拠点のない日本企業が欧州個人データを直接輸入して管理、処理する場合と、欧州域外の日本企業が欧州内の企業から欧州個人データの処理を受託する場合、GDPR上の管理者、処理者としての義務を負うとある。

しかしこの「域外適用」がどのようになされるのか書かれていない。「域外適用」の適用方法がBCR、SCCなら十分性認定の言う「いかなる追加の安全措置や許可なしに」と矛盾する。

十分性認定とは日本の国内法がGDPRと本質的な等価性を持つという認定なので、「域外適用」はGDPR上の管理者、処理者の義務を負うという意味ではなく、日本国内法上の管理者、処理者の義務を負うという意味である。

しかも今回の十分制認定は過去初めての「相互的 reciprocal」な十分性認定だ。

たとえ十分性認定があっても日本の自然人・法人が特定の場合だけ「域外適用」としてGDPR上の義務を負うのであれば、その同じ場合において、欧州の自然人・法人も日本個人データについて「域外適用」として日本国内法(個人情報保護法)上の義務を負うことになるが、この法解釈には無理がある。

今回の相互的十分性認定によって・・・

(1-A)欧州に拠点のない日本企業が欧州個人データを直接輸入(移転受け)して管理、処理する場合
(1-B)日本に拠点のない欧州企業が日本個人データを直接輸入(移転受け)して管理、処理する場合
(2-A)欧州域外の企業が欧州域内の企業から欧州個人データの処理を受託する場合
(2-B)日本国外の企業が日本国内の企業から日本個人データの処理を受託する場合

・・・これらすべてが無条件に認められなければ、相互的十分性認定とは一体何なのだろうか?

【追記2】
欧州委員会のこちらのGDPRの十分性の解説ページをご覧頂きたい。

十分性は国内法制度、または、国際的なコミットメントにより認められるとある。日本の場合は上記ファクトシートから分かるように国内法制度の追加整備(=個人情報保護法の追加ガイドラインのこと)による。

また十分性認定によって「いわば、該当の国への移転はEU域内のデータ移動であるかのようになる(be assimilated)」。つまり今後日本は欧州個人データの移転についてEU域内のデータ移動であるかのよになるだけでなく、欧州は日本個人データの移転について日本国内のデータ移動であるかのようになる。

かといって日本がGDPRに定められた義務を果たす必要がなくなるわけではないが、その義務は十分性認定の根拠にあるように、日本国内法で整備されているため、GDPRを直接参照するのではなく、日本国内法(個人情報保護法と追加ガイドライン)の適用を受けてその義務を果たすことになる。

日本国内の自然人・法人がGDPRの適用を受けるわけではなく日本国内の法制度の適用を受けるのである。

【追記3】

ベーカー&マッケンジーのこちらの『データ保護~日本と欧州間の十分性認定に関する重要な前進』というコラムの最後に、十分性認定後のSCCに代わるものについて記述がある。

「この十分性認定の(追加要求をともなう)新たな制度下で欧州SCCは求められないにもかかわらず、その制度に依拠して日本の個人データの受領者には依然として何らかの形式の契約的義務が課される。(日本の)企業はその結果、ガイドライン(訳注:個人情報保護法の追加ガイドライン)の具体的な要求に対応できるそれ専用の合意または契約上の規定を新たに作成する(create)必要があるだろう。実践的には、企業はもうEUのSCCについて心配する必要はなくなり、ガイドラインの定めをどのように具体化するかについて柔軟性を持つようになる」

要するにGDPRのSCC制度からは解放されるが、依然としてSCC相当の合意や契約ツールを新たに作らなければいけないと書いてある。十分性認定後、日本企業にGDPRが直接適用されることはなく、あくまで日本国内法が適用されるということだ。