GDPR 十分性認定国

MENU

十分性認定(adequacy decision)とは?

越境データ移転のところでも述べましたが、GDPRでは、「EU域内の個人データのEU域外への移転」を原則として認めません。

 

移転を行うには、十分性認定がされている国、地域であることなどの条件が必要です。
十分性認定というのは、十分な個人データ保護をしている国や地域であると保障されているという意味で 欧州委員会が決定します。

 

日本は現時点では認められていません。
認められていない場合、データの移転を行う事業者が、自ら契約を結ぶなどの条件を満たさなければいけないので、とても大変です。

 

日本でも、早く十分性認定が認められるようにプライバシー外交を頑張ってくれているようですが、まだGDPRの実質的な施行開始である2018年5月25日までに認められるかどうかわかりません。

 

十分性認定が認められている国は?

 

欧州委員会が十分なレベルの個人データ保護を保障している旨を決定している国・地域について調べてみました。
2018年3月現在、以下のとおりです。

 

アルゼンチン共和国
アンドラ公国
イスラエル
ウルグアイ東方共和国
英領ガーンジー島
英領ジャージー島
英領マン島
カナダ
スイス連邦
デンマーク自治領フェロー諸島
ニュージーランド

 

以上、11カ国・地域になります。

 

ガーンジー島、ジャージー島、マン島など、タックスヘイヴンとして有名な島が含まれていますね。ここは、十分性認定をしておかないと、EUの経済が回らなくなっちゃうんでしょうね。


 

アメリカ合衆国は、上記に含まれていませんが、プライバシーシールドに基づき、EU域内の個人データをアメリカに移転することが認められています。

 

十分性認定には有効期間があるの?

有効期限はありませんが、認定後も定期的な審査があります。

 

十分性の決定を受けた国は、その後4年ごとに定期的な審査を受けることになっています(第45条第3項)。
十分性を確保していない判断された場合には、決定が取り消されることもあります(第45条第5項)

 

 

第45 条 十分性決定に基づく移転
Article 45 Transfers on the basis of an adequacy decision
1. 第三国又は国際機関への個人データの移転は、当該第三国、第三国域内の領域若しくは一つ若
しくは複数の特定された部門、又は国際機関が保護に関して十分なレベルを保証していると欧
州委員会が決定した場合に行うことができる。この移転は、いかなる個別的許可も要しない。
1. A transfer of personal data to a third country or an international organisation may take place where the
Commission has decided that the third country, a territory or one or more specified sectors within that third country,
or the international organisation in question ensures an adequate level of protection. Such a transfer shall not require
any specific authorisation.

 

関連ページ

GDPRの施行日は?いつから発効?猶予期間終了しました。
GDPR(EU一般データ保護・規則)について、どこよりもわかりやすく説明します。 GDPRの施行日・発効日・猶予期間は?いつから対応が必要になるの?
GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR SCC(標準契約条項)とは?楽天のBCRとの違いは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR SCC(標準契約条項)とは?楽天が承認されたBCRとの違いは?
GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR プロファイリングに異議を唱える権利とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR プロファイリングに異議を唱える権利とは?
GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPRデータポータビリティの権利とは?対策は必要?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRデータポータビリティの権利とは?対策は必要?
GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPRのガイドラインは?日本語訳(和訳)はこちらです。
GDPRのガイドラインは?日本語訳(和訳)はこちらです。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR 匿名化と仮名化の違いは?暗号化はどっち?
GDPR 匿名化と仮名化の違いについて解説します。匿名化(Anonymous)と仮名化(Pseudonymisation)の違いは?暗号化はどっち? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 監督機関、データ保護機関(SA、DPAs)ってどこにある?
監督機関、データ保護監督機関(SA、DPAs)って何のこと?どこにある? GDPR(EU一般データ保護規則)でデータ侵害時などに通知義務がある監督機関についてまとめました。
GDPRでデータ主体に認められた8つの権利とは?
GDPR(EU一般データ保護規則)でデータ主体に認められた8つの権利について、解説します。 情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利 があります。
GDPR モデル条項 SCCとSDPCの違いは?
SCC(標準契約条項)とSDPC(標準契約条項)の違いは? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい?
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
クッキー法とも呼ばれるe-privacy規則(eプライバシー規則)とは?
クッキー法とも呼ばれるe-privacy Regulation(eプライバシー規則)とは? GDPRと同様、個人情報を保護するための規則です。GDPRを補完する規則になります。