十分性の認定
法律用語集

十分性の認定

読み方
じゅうぶんせいのにんてい
業務分野

十分性の認定(adequacy decision)とは、EUのGDPR(一般データ保護規則)第45条に基づき欧州委員会が行う決定で、EU(正確には、EEAの一部の国も含む。)外の国や地域等が、十分なデータ保護の水準を確保していると認めるものである。この認定を受けると、当該国とEUとの間の個人データの移転には個別の対応(移転当事者間におけるデータ保護のための契約や、グループ企業内の準則等)が不要となる。わが国は、2019年1月23日、アジアの国では初めてとなる十分性の認定を受けた。同日、日本の個人情報保護委員会も、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」(個人情報保護法24条)としてEU(現在はEUとイギリス)を指定したことから、EUと日本の間では、相互に個別対応を要することなく個人データの移転が認められることとなった。
EUを離脱したイギリスは、GDPRの適用外となったが、保護レベルはGDPR下と同じであることから、2021年6月28日、欧州委員会はイギリスに対する十分性の認定を行った。
GDPRにおいては、原則として、EU域外への個人データの移転は禁止されており、一定の保護要件を満たした場合にのみ可能である(44条)。この要件は、移転先における個人データ保護が確保されることが保証されることを求めるものであり、私人間においては、拘束的企業準則(BCRs: Binding Corporate Rules)や標準データ保護条項に基づく標準契約条項(SCC: Standard Contractual Clauses)による保護措置(46条)が一般的である。しかし、拘束的企業準則の策定には監督機関の承認が必要であり、費用と労力を要する。他方で、個別に契約を締結するのは多くの拠点を有する事業者にとっては煩雑に堪えない。十分性の認定を受ければ、こうした個別の対応をしなくてもよいことになる。
十分性の認定は、一度受ければ永久に認められるものではなく、見直しが行われる。そのため、わが国でも、GDPRに近いところまで個人情報保護法における個人情報の保護レベルを引き上げるべく、補完的ルールの策定や改正を行ってきている。2020(令和2)年改正法(2022年4月1日施行)は、個人データの国外移転における本人の同意要件やデータ漏洩等の報告の義務化等重要な改正を含むので、十分性の認定に関係あると否とを問わず、国内事業者は注意が必要である。

(弁護士 井口加奈子 /2021年9月27日更新)

この業務分野を取り扱う弁護士

関連する論文・著書・ニューズレター・セミナー/講演等