GDPR 越境移転 域外移転

MENU

越境データ移転とは?

 

簡単にいうと、EUに所在する個人データを、EU外に持ち出すことです。

 

例えば、EUの人が、EU外にEメールを送る場合、越境データ移転になります。
その他、EU外のWEBサイトを利用してホテルや旅行の予約をとる場合も、予約データがEU外に移転しているので、あてはまります。
EUの人が、EU外のECサイトで商品を購入する場合も、越境データ移転になります。

 

GDPRでは、「EU域内の個人データのEU域外への移転」を原則として認めません
EU内での移転は自由ですが、EU域外にデータを移転する場合には、以下の条件を満たす必要があります。

 

移転を行うには、
①十分性認定(十分な個人データ保護の保障)
(欧州委員会が、データ移転先の国が十分なレベルの個人データ保護を保障していることを決定)
②BCR(Binding Corporate Rules:拘束的企業準則)の締結
(企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認)
③SCC(Standard Contractual Clauses:標準契約条項)の締結
(データ移転元とデータ移転先との間で締結し、欧州委員会が承認)
④特例 
・明確な本人同意など

 

などの、一定の条件を満たさなくてはなりません。

 

こんな場合も越境データ移転になります。

GDPRの保護対象国のところでも述べましたが、保護対象データは、EEAの国民に限りません。
EU域内に在住している日本人だって対象になります。短期出張や、旅行中にEEA域内にいる日本人の情報だって対象になります。
グローバルに展開している企業の場合、EUにあるグループ企業とのやりとりだって、GDPRの越境データ移転にあたります。

 

第44 条 移転に関する一般原則
Article 44 General principle for transfers
取扱いがなされている又は移転後の取扱いを意図したあらゆる個人データの第三国又は国際機関への移転は、本規則の他の規定に服し、本章で定める条件が管理者及び取扱者によって遵守されている場合に限り、行われるものとする。当該移転には、ある第三国又は国際機関からまた別の第三国又は国際機関への個人データの再移転も含まれる。本章のすべての規定は、本規則によって保障される自然人の保護レベルが低下しないことを確保するために適用されるものとする。
Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this
Regulation is not undermined.

 

 

関連ページ

GDPRの施行日は?いつから発効?猶予期間終了しました。
GDPR(EU一般データ保護・規則)について、どこよりもわかりやすく説明します。 GDPRの施行日・発効日・猶予期間は?いつから対応が必要になるの?
GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR十分性認定とは?十分性認定国はどこ?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR十分性認定とは?十分性認定国はどこ?
GDPR SCC(標準契約条項)とは?楽天のBCRとの違いは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR SCC(標準契約条項)とは?楽天が承認されたBCRとの違いは?
GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR プロファイリングに異議を唱える権利とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR プロファイリングに異議を唱える権利とは?
GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPRデータポータビリティの権利とは?対策は必要?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRデータポータビリティの権利とは?対策は必要?
GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPRのガイドラインは?日本語訳(和訳)はこちらです。
GDPRのガイドラインは?日本語訳(和訳)はこちらです。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR 匿名化と仮名化の違いは?暗号化はどっち?
GDPR 匿名化と仮名化の違いについて解説します。匿名化(Anonymous)と仮名化(Pseudonymisation)の違いは?暗号化はどっち? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 監督機関、データ保護機関(SA、DPAs)ってどこにある?
監督機関、データ保護監督機関(SA、DPAs)って何のこと?どこにある? GDPR(EU一般データ保護規則)でデータ侵害時などに通知義務がある監督機関についてまとめました。
GDPRでデータ主体に認められた8つの権利とは?
GDPR(EU一般データ保護規則)でデータ主体に認められた8つの権利について、解説します。 情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利 があります。
GDPR モデル条項 SCCとSDPCの違いは?
SCC(標準契約条項)とSDPC(標準契約条項)の違いは? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい?
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
クッキー法とも呼ばれるe-privacy規則(eプライバシー規則)とは?
クッキー法とも呼ばれるe-privacy Regulation(eプライバシー規則)とは? GDPRと同様、個人情報を保護するための規則です。GDPRを補完する規則になります。