EU一般データ保護規則

EU一般データ保護規則法は、主要な要求として以下の各項目を含んでいる^[4]。

適用範囲

本規則は、データ管理者（EU居住者からデータを収集する組織）または処理者（データ管理者の代理としてデータを処理する組織）またはデータ主体（個人）がEU域内に拠点をおく場合に適用される。さらに本規則は、EU居住者の個人データを収集または処理する場合は、EU域外に拠点をおく組織にも適用される。欧州委員会によれば、「個人データとは、個人の私生活であれ、職業であれ、あるいは公的生活であれ、個人に関係するあらゆる情報のことである。氏名、自宅住所、写真、電子メールアドレス、銀行口座の詳細情報、ソーシャル・ネットワーク・ウェブサイトへの書き込み、医療情報、コンピュータのIPアドレスまで、あらゆるものを含む」^[5]。

本規則は国家安全保障の活動、または、法の執行のための個人データ処理には適用されない。しかし、データ保護規則の改革パッケージは、警察および刑事司法分野に対しては、個別のデータ保護指令を含んでいる。この個別のデータ保護指令は、国内、欧州および国際的な個人データの交換に対する包括的な規則を提供している。

組織の規模に関しては、零細・中小企業等、規模を問わず本規則の対象となる。ただし個人データ処理に関する様々な義務のうち、処理記録を保管する義務についてのみ、被雇用者250名未満の組織については免除される（第30条5項）。

なおこの処理記録の保管 (records of processing activities) につき、処理過程の処理ログ等を全件記録する必要があるという理解はGDPR 第30条英語版の「records」に起因する誤読であり、フランス語版では「journal（ログ）」ではなく「registre（帳簿） des activités de traitement」、つまり台帳として各種処理活動を一覧化することである。

本規則の対象となるデータ処理は大別して二種類、商品またはサービスの提供に関する処理（第4条2項(a)、備考 (Recital) 23）、データ主体の行動のモニタリングに関する処理（第4条2項(b)、備考 (Recital) 24）がある。

まず、商品またはサービスの提供に関する処理について、本規則の対象となる個人データ処理とは、支払いの発生の有無にかかわらず、EU域内の自然人に対する商品またはサービスの提供に関する処理活動である。単に、EU域内のデータ管理者、データ処理者、または仲介となるウェブサイトにアクセスできるだけの場合、または、メールアドレス、その他連絡先詳細情報にアクセスできるだけの場合、または、データ管理者が第三国に存在する場合で、その第三国で一般的に使用される言語が使用されている場合などについては、個人データ処理の意図があることを十分に確認できない。本規則の対象となる個人データ処理であることを明確にするには、EU域内の国で一般的に使用される言語または通貨を使用していること（商品やサービスの注文がその他の言語で行われる可能性がある場合も含む）、または、EU域内の顧客またはユーザに言及していることなどの要素が採用されうる（備考 (Recital) 23）。

次に、データ主体の行動のモニタリングに関する処理について、本規則の対象となる個人データ処理とは、その行動がEU域内で発生する限りにおいてである。データ処理活動がデータ主体の行動のモニタリングとみなされるためには、個人をインターネット上で追跡した後、その個人データをデータ主体についての意思決定をするため、または、個人の嗜好、行動、態度の分析や予測をするために、その個人データに対してプロファイリングを行う処理技術を利用することが含まれる（備考 (Recital) 24）。

本規則の対象にEU域内の被雇用者の個人データ処理が含まれている理由は（備考 (Recital) 155、第88条）、後者の行動モニタリングに関する処理についての定めがあるためである。つまり、前者のEU域内の自然人に対する商品またはサービスの提供を行っていない組織であっても、EU域内に従業員が存在し、その人事評価等を第三国で行っている場合には、人事管理等の個人データ処理について本規則の適用を受ける^[6]。

単一の規則群と監督機関

単一の規則群は全EU加盟国に適用される。各加盟国は、申し立てに対する調査、違反者の処罰等を行う独立した監督機関を設置する。EU加盟各国の同監督機関は、他国の監督機関と協力することで、相互支援および共同施行を行う。事業者がEU域内に複数の拠点を持つ場合、"主要拠点"（つまり、主要な処理業務が行われる拠点）の場所にもとづいて、一つの監督機関を"主要監督局"とする。主要監督局はワンストップショップとして活動し、事業者のEU域内にわたる全ての処理業務を監督する（第46-55条）。

欧州データ保護会議（英語版） (European Data Protection Board、略称: EDPB) が各加盟国の独立した監督機関の調整を行い、欧州連合全体において一貫したデータ保護規則の適用を維持、推進する。この欧州データ保護会議 (EDPB) の設置により、旧データ保護指令の第29条に規定されている作業部会が廃止となる。^[7]

雇用の文脈で処理されるデータ、および、国家安全保障のために処理されるデータについては例外があるが、依然として各国の規制の対象となる（第2条(2)(a)、第82条）。

責務と説明責任

通知は従来通り必要で、その範囲が拡大されている。通知には、個人データの保持期間、および、データ管理者とデータ保護最高責任者の連絡先情報を含まなければならない。

個人に関する自動化された意思決定は、プロファイリング（第22条）を含め、係争の対象となりうる。市民は今回の規則によって、純粋なアルゴリズムによる意思決定に対しても疑義を唱え、争う権利を持つようになる。

GDPRの遵守を示せるようにするため、データ管理者は設計段階および初期状態で、データ保護の原則を満たす施策を実装しなければならない。設計および初期状態によるプライバシーの条項（第25条）は、製品およびサービスの業務プロセス開発に、設計段階でデータ保護施策を組み込むよう要求している。そのような施策には、データ管理者が個人データを可能な限り速やかに仮名化する施策が含まれている。（GDPR 備考 (Recital) 78）

データ管理者の責任と義務は、データ処理業者がデータ管理者の代理でデータ処理を行う場合であっても、実効性のある施策を実装し、データ処理業務が規則を遵守していることを示せるようにすることである。（GDPR 備考 (Recital) 74）

データ主体の権利および自由に対して、特定のリスクが発生する場合は、データ保護影響評価（第35条）を実施しなければならない。リスク評価およびリスク低減を実施する必要があり、高いリスクについてはデータ保護当局 (DPA) の事前承認が必要となる。データ保護最高責任者（第37～39条）が、組織内部の規則遵守を確保する。

データ保護最高責任者は以下の場合に指名しなければならない^[8]。

• 全ての公的機関、ただし司法能力にもとづいて活動する裁判所を除く。
• データ管理者、または、データ処理者の主な活動が以下の活動からなる場合
  • データ処理の業務が、その性質、範囲、目的にかんがみて、データ主体の規則に基づきかつ体系的で、大規模な監視を要求する場合
  • 第9条に準じる特定の種類のデータを大規模に処理する場合、および、犯罪歴および第10条に規定する犯罪に関する個人データを処理する場合

同意

データの収集および利用目的（第7条、第4条の規定）について、有効な同意が明示的に行われなければならない。児童に対する同意は児童の親、または、保護者が与え、確認しなければならない。データ管理者は"同意"（オプトイン）を証明できる必要があり、その同意は取り消されうる^[9]。

データ保護最高責任者

裁判所、または、独立した司法当局が司法能力にもとづいて活動する場合を除き、公的機関がデータ処理を行う場合、または、民間部門において、データ主体の規則に基づきかつ体系的な監視を必要とするデータ処理業務を主要な活動とするデータ管理者が、データ処理を行う場合は、データ保護法とその実施について専門的な知識をもつ人物が、データ管理者または処理者が組織内で本規則を遵守していることを監視するよう支援しなければならない。データ保護最高責任者 (DPO) はコンプライアンス最高責任者と似ているが同じではない。両者とも、個人やセンシティブなデータの保有および処理にまつわる、ITによる処理、データ・セキュリティ（サイバー攻撃への対処を含む）、および、事業継続性に関する重大な問題に熟達していることが期待されている。しかしDPOのスキルセットはデータ保護法に関する法的遵守の理解を超える範囲が要求されている。大規模な組織内でのDPOの任命は役員にとっても、関係する個人にとっても困難な課題となる。組織および企業がDPOを任命する際、その対象範囲や性質に応じて、対処すべき企業統治および人的要因が無数に存在するためだ。加えて、DPOに任命された人物は、自身を支援するチームを作る必要があり、それらチームメンバーが継続的に能力開発する責任を負う。その理由は、彼らを雇用する組織から独立し、事実上"小型監督機関"となる必要があるためだ。

データ保護最高責任者の職務と役割のより詳細な内容については、2017年4月5日改訂の指針に記述されている^[10]。同指針によれば、全ての組織が行っている、被雇用者への支払いや標準的なIT支援提供等の活動は、組織にとって必要不可欠だが、通常、主要な活動ではなく付随的な活動とみなされる（同指針2.1.2）。つまり、DPO任命の要件とならないとされている。

ただしEU域内の一部の国や地域のプライバシー法制では、GDPRと独立にDPO任命の要件を定めている場合がある。例えばドイツは2017年7月5日、EU加盟国で初めてGDPRに準拠して国内法「ドイツ連邦データ保護法」を改正したが^[11]、同法第4f節は私企業でDPO任命が免除される条件を、個人データを自動化された手段で継続して処理する被雇用者が最大9名までの場合としている^[12]。つまり10名以上の被雇用者を有するドイツ国内の私企業は、自動処理する個人データの件数や内容、目的にかかわらずDPOの任命が必須となっている。

仮名化

GDPRは仮名化について言及している。仮名化とは、個人データを処理した結果のデータが、追加情報の利用なしに特定のデータ主体と結びつけることができないようにする処理である。仮名化の一例として暗号化がある。元のデータが分からないように、適切な復号鍵がなければデータ処理を元に戻すことができないようにする処理である。GDPRはこの追加情報（復号鍵など）が、仮名化データと別に保管されることを求めている（備考 (Recital) 29）。仮名化が推奨されているのは、関係するデータ主体に与えるリスクを低減し、データ管理者およびデータ処理者がデータ保護の義務に適合するのを支援するためである。（備考 (Recital) 28）

個人データが、組織内の適切な方針および施策により、データ管理者によって仮名化された場合であっても、匿名化データ（そもそも自然人と無関係なデータ、および、データ主体を追加情報によっても特定できないデータ）とは異なり、GDPRの管理および罰則の対象となる（備考 (Recital) 26）。それらの方針および施策は設計段階のデータ保護の原則、および、初期状態のデータ保護の原則に適合し、この目的を満たすと見なせる必要がある。施策の例として、可能な限り速やかにデータを仮名化すること（備考 (Recital) 78）、データをローカルネットワーク内で暗号化すること、暗号化されたデータと別に復号鍵を保管することが含まれる^[13]。

統計または調査目的を含む、匿名とみなされる情報の処理について本規則は関知しない。

データ侵害

GDPRの下、データ管理者は過度な遅滞なく監督機関 (SA) に通知する法的義務を負う。データ侵害の報告はいかなる僅少基準も適用されず、データ侵害から72時間以内に監督機関に報告しなければならない（第33条）。個人は不利益な影響が確認された場合通知を受けなければならない（第34条）。加えて、データ処理者は個人データ侵害の認識後、過度な遅滞なくデータ管理者に通知しばければならない。

ただし、データ処理者、または、データ管理者は、匿名化データが侵害された場合はデータ主体に通知しなくてもよい。特に、データ管理者が暗号化などの仮名化技術を実装するとともに、適切な技術的かつ組織的な保護施策を、データ侵害の影響を受ける個人データに対して行っている場合、データ主体への通知は要求されない（第34条）。

処罰

以下の処罰が課されうる:

• 初回かつ意図的でない違反の場合は、書面による警告
• 規則に基づく定期的なデータ保護監査
• 企業の場合、10,000,000ユーロ、または、前会計期間の全世界の売上高の2%のうち、いずれか大きい方の過料（第83条4項）
• 企業の場合、20,000,000ユーロ、または、前会計期間の全世界の売上高の4%のうち、いずれか大きい方の過料（第83条5項および6項）

消去権

2014年3月欧州議会により採択されたGDPR改正版によって、忘れられる権利は、より限定的な消去権によって置き換えられた^[14][15] 第17条はデータ主体が自分自身に関する個人データの消去を要求する権利を定めている。消去要求には、第6条1項（合法性）違反を含め多くの根拠がある。同項は、データ管理者の合法的な利害よりも、個人データの保護を要求するデータ主体の利害または基本的な権利および自由が優先される場合を含んでいる。（Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González も参照のこと）

データ可搬性

個人はデータ管理者に妨げられることなく、自分自身の個人データをある電子処理システムから別のシステムに移動することができる。加えて、そのデータはデータ管理者によって構造化され、一般に用いられる オープンスタンダード な電子形式で提供されなければならない。データ可搬性の権利はGDPRの第20条で定められている^[16]。法律の専門家はこの施策の最終版について、「第18条に規定されている二つのデータ管理者間のデータ可搬性の範囲を超える」べく新たに作成された「新しい権利」とみなしている^[17]。（最終版では条番号が第20条に変更されていることに注意。引用の条番号は当時のもの）

設計段階および初期状態におけるプライバシー

設計段階および初期状態におけるプライバシー（第25条）は製品やサービスの業務プロセスの開発に、設計段階でデータ保護が組み込まれることを要求している。これはプライバシー設定が初期状態で高水準に設定されていることを要求しており、データ管理者が、データ処理のライフサイクル全体を通じて、技術的および手続上の対策が規則を確実に遵守するよう留意することを要求している。また、データ管理者は、個人データが特定された各目的に必要な場合のみ処理されることを確保するため、機械的な仕組みを実装しなければならない。

ENISA（欧州ネットワーク・情報セキュリティ機関）の報告書は、初期状態でのプライバシーおよびデータ保護を達成するために実施が必要なことを詳述している。暗号化と復号の処理は、遠隔サービスではなく、ローカルネットワークで行われる必要があるとしている。その理由は、いかなるプライバシーを達成する場合も、暗号鍵とデータの両方がデータ所有者の権限下になければならないためである。また同報告書は、クラウドサービス業者ではなくデータ所有者が復号鍵を保管する限りにおいて、遠隔のクラウド上のデータ記憶装置へアウトソースすることが、現実的、かつ、比較的安全だとしている。

1995年10月にルクセンブルクで採択されたデータ保護指令（EU指令95/46/EC）に準拠し、加盟各国は国別の法制化並びに監督機関の設立等を行っていた。この旧データ保護指令をベースとして、EU加盟国に対して一律に直接効力を持つEU一般データ保護規則（GDPR）が提案された。GDPRの提案^[18] は2012年1月25日に公開され、EU理事会は2016年初めに正式な採択を目指した^[19]。

日程

適用まで以下の通り。

• 2013年12月21日: 欧州議会人権、司法および内政に関する委員会 (LIBE) による方向づけ投票。
• 2015年12月15日: 欧州議会、欧州理事会および欧州委員会（三者委員会）の交渉による共同提案。
• 2015年12月17日: 欧州議会LIBEの投票結果が三者委員会の交渉結果を支持。
• 2016年4月8日: 欧州理事会の採択^[20]。
• 2016年4月14日: 欧州議会による採択^[21]。
• 2016年5月4日発行のEU官報掲載20日後に規則発効^[22]。この二年後にEU全加盟国に対し規定を直接適用。
• 2018年5月25日適用開始。

議論と課題

新規則の提議は数多くの議論と論争を起こし、数千項目の修正が提案された^[23]。単一の規則群と事務的要求の除外は費用削減を意図していた。しかし研究者は以下の課題を指摘している。

• データ保護最高責任者 (DPO) の任命要求は、多くのEU加盟国によって新規のもので、一部からは事務的な負担が批判されている。
• GDPRがソーシャル・ネットワークおよびクラウド事業者に焦点を当てて作成されているが、被雇用者のデータの処理に対する要求については十分に考慮していない^[24]。
• データ可搬性 はデータ保護の重要な側面とはみなせず、むしろソーシャル・ネットワークおよびクラウド事業者の機能要件である。
• データ保護当局 (DPA) の言語およびスタッフ採用上の課題:
  • 非欧州企業は英語を理由に、英国/アイルランドのDPAを選ぶ。それによって両国は非常に大きな人的資源を要求される。
  • 欧州連合 (EU) 市民は問い合わせ窓口として、もはや単一のDPAではなく、関係する企業が選んだ複数のDPAと関わる必要が出てくる。外国語に起因する意思疎通の問題も予想される。
• 新しい規制がそれ以外の非欧州法、規制および慣行と対立する（例、政府による監視）。そのような国の企業はもはやEUの個人データ処理に適するとみなされない。EU-米国のプライバシーシールドを参照。
• 最大の課題はGDPRの実際の実施にある:
  • EUのGDPRは規則が発効する前に同等水準のプライバシー保護を実施していない企業の事業に包括的な課題解決を要求する（特にEUの個人データを取り扱う非EU企業）。
  • 現時点でもすでにプライバシーの専門家と知識が不足しており、新たな要求は事態を悪化させる可能性がある。したがってデータ保護およびプライバシーの教育がGDPR成功の重要な要素となる。
  • 欧州委員会およびデータ保護当局 (DPA) は、欧州の全データ保護当局に、単一のデータ保護水準の実施を強制するため、十分な資源と権力を持つ必要がある。なぜなら規則の様々な解釈によってプライバシー水準も様々になる可能性があるため。
  • 欧州の国際貿易政策がGDPRとまだ一致していない^[25]。

データ保護指令 (Directive 95/46/EC) 第29条に規定されている作業部会が、GDPR発効により廃止されるまで、GDPRの各トピックについてパブリックコメントを募集した上で順次ガイドラインを公開している^[26]。採択済みのガイドラインには以下のものがあり、規則の条文とあわせて参照する必要がある。

• データ保護影響調査に関するガイドライン（2017/10/13採択）^[27]
• データ可搬性の権利に関するガイドライン（2017/10/27採択）^[28]
• データ保護最高責任者に関するガイドライン（2017/10/30採択）^[29]
• 主要監督局に関するガイドライン（2017/10/31採択）^[30]
• 過料の適用と設定に関するガイドライン（2018/02/13採択）^[31]
• 規則の下での個人データ侵害通知に関するガイドライン（2018/02/13採択）^[32]
• 規則の目的のための自動化された意思決定およびプロファイリングに関するガイドライン（2018/02/13採択）^[33]
• 透明性に関するガイドライン（2018/04/13採択）^[34]
• 規則の下での合意に関するガイドライン（2018/04/16採択）^[35]

第29条作業部会が欧州データ保護会議（European Data Protection Board）へ改組された後に公開されたガイドラインは以下のとおり。

• 規則の下での第49条の例外に関するガイドライン（2018/05/25採択）^[36]

2018年5月25日施行後、以下のような係争が起こっている。

• 2018年5月25日、欧州のデータ保護非営利団体noybが、米Facebookとその傘下のWhatsApp、Instagram、および米GoogleをGDPR侵害で提訴。新プライバシーポリシーへの同意ができないユーザーにサービスの利用を禁止したことが理由。サービス提供に必要不可欠な個人データの提供さえ同意すればサービスを利用可能にするよう求めている^[37]。
• 2018年5月25日、ICANNがドイツの認定レジストラEPAGに対してドイツのボン地方裁判所に差止請求。EPAGがGDPRに抵触するのを避けるためにWHOIS情報のうち管理者、技術連絡担当者の情報を収集しない旨ICANNに連絡してきたが、これがICANNがGDPR施行前にGDPRに適合するために承認したWHOIS登録データ管理の暫定仕様書と異なるため。2018年5月29日、ボン地方裁判所はICANNの差止請求を却下、ICANNのWHOISデータ利用目的である、犯罪行為、権利侵害、セキュリティ問題などの不正行為からの保護の目的を満たすには、WHOIS情報のうち登録者情報だけで十分としてEPAGの判断を支持した^[38]。

EU域外の企業が当局と対応する代表者を置いていない場合、問題を追及することが出来ないという判断が下されており、EU域外への適用には限界がある^[39]。

十分性認定についての日EU間交渉

個人データ移転が例外的に適法となる十分性認定について、日本の個人情報保護委員会と欧州連合は、2017年から具体的な協議を始めている。2017年7月3日^[40]、2017年12月14日^[41] の共同声明ではそれぞれ「2018年の早い時期」「2018年のできるだけ早い時期」と努力目標が明記されていたが、GDPR施行後の2018年5月31日の共同声明では具体的な時期の記述の代わりに、パブリックコメントを経て、個人情報保護委員会が採択するガイドライン、および、個人情報保護の基本ポリシーの閣議決定の2つの手続きが、両者の差を埋めるための解決方法として明記されている^[42]。

2018年5月31日、ヨウロバー欧州委員会委員は東京でのスピーチで^[43]、「スピードより質が重要です」「私たちの前にはまだいくつかの作業があります」と発言、さらに2018年5月18日デンマークで開催された個人データ保護に関する欧州評議会条約108号現代化会議で^[44] 日本がオブザーバー参加にとどまったことに触れ（アメリカ合衆国、カナダ、メキシコ、バチカン市国、日本がオブザーバー参加）^[45]、こうした取り組みへの正規メンバーとしての参加がEUと日本の「データ保護体系を収斂させるための一歩になる」と述べ、「アジア地域におけるプライバシーへのコミットメントを確実にすること」を求めている。

2018年7月17日、個人情報保護委員会と欧州委員会が日EU間の個人データ移転について最終合意に至り、2018年秋までに日EU間の相互の円滑な個人データ移転の枠組みが運用可能となるために必要な国内手続きを完了させることにコミットすると発表した^[46][47]。EUが第三国とデータ保護の十分性水準について「相互的」な認定を合意するのは日本が初めての事例である^[48]。

2018年9月5日、欧州委員会が日本に対する十分性認定手続きを正式に開始することを閣議決定した^[49][50][51]。

2018年9月26日、上記閣議決定を受けて欧州データ保護会議が第三回総会で、欧州委員会への意見提出のため日本の十分性認定草案^[52] 全体のレビューを開始した^[53]。

認定概要

欧州委員会は2018年7月17日の十分性認定最終合意と同時に下記のような内容のQ&A形式の概要報告（ファクトシート）を公開している。^[48]

• 十分性は第三国のデータ保護体系がEUと同一であることを求めておらず、「本質的な等価性」基準による。
• 日本の十分性を認めたのは日本が移転された欧州個人データに適用する予定の一連の追加安全措置によるもので、その安全措置が両者のデータ保護体系のいくつかの差異を埋めることによる。その安全措置は例えば以下のようなものである。
  • 日本がセンシティブデータの定義を拡張すること。
  • 個人の権利行使を容易にすること。
  • 日本から他の第三国への欧州個人データ移転に、より高い保護を課すること。
  • 日本のデータ保護機関（個人情報保護委員会）の監督下で苦情の取扱いと解決を行うシステムを日本国内に設置し、欧州の個人が自分の個人データへのアクセスについて苦情を申し立てた場合、日本国内法の執行と日本国内の情報セキュリティ機関により有効な調査、解決を行うと日本が合意したこと。
• 十分性の決定について採択の2年後に欧州委員会が最初のレビューを、その後は4年ごとにレビューを行う。

認定後の課題

十分性認定の後もGDPRと日本国内法の個人データ保護水準が異なるため、日欧間の個人データの移転についてさまざまな課題が残る。

• 個人情報保護委員会は十分性認定を得るために「個人情報の保護に関する法律についてのガイドライン（EU域内から十分性認定により移転を受けた個人データの取扱い編）」をパブリックコメントを経て^[54] 定めるが、既存の個人情報保護法に対して追加の取扱いが必要な個人情報を「EU域内から十分性認定に基づき提供を受けた個人データ」に限定している。

他方、GDPRが対象とする個人データは国籍を問わないため、結果として同じ日本国民でも欧州にいる方がより高い水準の保護を受けることになる。例えば同ガイドラインではEU域内からの移転個人データについてのみ「性生活、性的指向又は労働組合に関する情報が含まれる場合」は要配慮個人情報と同様の取扱いとするとあるが、日本国内にいる日本人にこの追加の取扱いは適用されない。

• 最終合意された十分性認定は「相互的」であるが^[48]、日本の個人情報保護法および追加ガイドラインにはGDPRの最も重要な規定の一つである「データ主体はいつでも同意を撤回できる」「同意の撤回は同意を与えるのと同程度に容易でなければならない」（第7条第3項）という定めがない。

そのため日本在住の日本国民は個人データが欧州にいったん移転されると、同意の撤回という方法で管理、処理を停止させることができない。他方、欧州在住の日本国民は自身の個人データが日本に移転された後もいつでも同意の撤回によって管理、処理を停止させることができる。これは「相互的」十分性認定により欧州企業が日欧相互の個人データの管理、処理について日本企業より有利になる可能性を意味する。

• 個人情報保護委員会は2018年8月24日、欧州より十分性認定を受けるために必要とされていた「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」を正式に公開した^[55]。公開にあたり意見募集結果として寄せられた意見に対する回答一覧も公開している^[56]。この中で「補完的ルール」の適用範囲は「EU域内から十分性認定に基づき日本国内に移転した個人に関する情報の取扱い」に限定されることがくり返し書かれているが、そもそもどのような場合がEU域内から移転された場合に該当するのかについては、「当委員会は、EUのGDPRの各種規定に関する解釈権限を有していないため、GDPRの解釈についての回答は差し控えさせていただきます」としている（意見24番）。つまり「補完的ルール」の適用範囲自体の解釈を欧州側にゆだねており、日本でGDPR適用を受ける個人または組織に対して十分性認定がどの範囲でどう影響するのか不明確なままである。また十分性認定の「相互性」についての解釈も存在しない。

最終合意後の欧州側内部手続きにおける懸念の指摘

十分性認定の最終合意はなされたものの、その後欧州側の内部手続きで欧州データ保護会議が2018年12月5日に採択した意見書^[57] が非常に厳しい内容だったため、欧州議会は2018年12月13日、欧州委員会にさらなる証拠の提出と説明を求める文書を採択した^[58]。この文書は「補完的ルール」だけでなく個人情報の保護に関する法律（以下「個人情報保護法」）自体も問題にしており、以下のような点を指摘している。

• 個人情報保護法の「個人情報データベース等」の規定に「利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く」とあるが、この被害基準の除外規定がEUのアプローチと一致しないおそれがある。
• 個人情報保護法の「個人データ」は「個人情報」の定義に基づくより狭い定義であり、十分性認定草案はGDPRの「個人データ」は常に個人情報保護法の「個人データ」に含まれるとあるが、法執行上の実効性を確認する必要がある。
• 個人情報保護法と個人情報保護委員会ガイドラインのいずれも、例えばフェイスブック、ケンブリッジ・アナリティカのプロファイリング事例のような、自動化された意思決定とプロファイリングに対して、個人の権利を保護する包括的な法的枠組みを持っていない。
• 個人情報保護法にダイレクトマーケティングに特化した条項が存在しない。
• 個人情報保護法と補完的ルールの組合せがAPEC越境プライバシーシステム（CBPRシステム）の保護レベルより高いとしても、日本から外国にある第三者への提供について、EU個人データ主体から同意を得る際にデータ主体に提供する「本人が同意に係る判断を行うために必要な移転先の状況についての情報」の範囲が明確に定義されていない。
• 個人情報保護法の強制力に実効性を持たせるためには罰金の水準が十分でないが、刑事罰の規定もあるので、過去の罰金および刑事罰の実績について調査する必要がある。
• 個人情報保護委員会は警察による個人データ処理活動に対する監督権限を持たず、別途府県公安委員会による監督メカニズムがあり、情報公開・個人情報保護審査会も一定の権限を持つが、これらの監督に法的強制力がない。

十分性認定の発効

2019年1月23日、日本政府、欧州委員会が即日、相互の十分性認定が発効すると発表した^[59][60]。発効2年後に初回の共同レビューが行われ、欧州データ保護会議の代表は法の執行と国家安全保障のための個人データへのアクセス部分について参加する。その後少なくとも4年に1回レビューが行われる。

日本企業の対応

日本に本社があり明示的にGDPR対応、特に欧州個人データの域外移転準拠対応を公式サイト等で公開している企業は以下のとおり。

• 楽天株式会社：拘束的企業準則（Binding Corporate Rules）方式による企業グループ内個人データ域外移転につきEUのデータ保護機関の正式な承認あり^[61]
• 株式会社インターネットイニシアティブ：拘束的企業準則方式による域外移転につき英国の監督機関に承認申請済み^[62]
• 富士通株式会社：拘束的企業準則方式による域外移転につきオランダの監督機関に承認申請済み^[63]
• Sansan株式会社：欧州個人データ域外移転に係るデータ処理者として標準的契約条項（Standard contractual clauses、SCC）方式での対応を利用者企業向けに公開^[64]
• ソフトバンク株式会社：法人サービスについてデータ処理者としてSCC締結に関する情報を公開^[65]
• Kii株式会社：GDPR対応概要とデータ管理者・処理者間契約合意に関する情報提供^[66]

日本国内の参考資料

日本貿易振興会（JETRO）が欧州ビジネスに取り組む中小企業の実務担当者向けとして、「EU一般データ保護規則（GDPR）に関わる実務ハンドブック」シリーズを公開している。2018年3月現在「入門編」^[67]、「実践編」^[68]、「第29条作業部会ガイドライン編 管理者および処理者の主導監督当局の特定」^[69]、「第29条作業部会ガイドライン編 データポータビリティの権利」^[70]、「第29条作業部会ガイドライン編 データ保護責任者」^[71] が公開されている。

また、ベルギー日本人会商工委員会2016年度第3回ビジネスセミナーの資料「日本企業のベルギー子会社・ベルギー支店が取っておくべきEU一般データ保護規則へのコンプライアンス対応」^[72] がある。ただし、データ保護指令 (Directive 95/46/EC) 第29条に規定されている作業部会の最新のガイドラインは反映されておらず、これとガイドラインを合わせて参照する必要がある。

• 国家データ保護当局（英語版）

• EUR-Lex（英語）
• 欧州委員会「データ保護」に関するウェブページ（英語）
• 2012/0011(COD)-個人データ保護: データの処理および自由な移動(一般データ保護規則) 欧州議会（英語）