日本企業が欧州拠点で働く従業員の人事データを国内で扱う場合、EUのデータ保護機関から「十分なプライバシー保護水準がある」という承認を得なければならない。GDPRに詳しい新保史生慶応義塾大学総合政策学部教授は「現行法でも、承認を得ないままEUから日本にメールで個人データを送るのは違法だ」と話す。
GDPRは従来と同様に、EEA域内からのデータ移転に一定の制約を設けたうえで罰則を強化する。一方で日本企業の負担軽減策が検討されている。
日本の個人情報保護委員会と欧州委員会は2017年12月15日、日本とEU間の自由な個人データ移転が可能になる枠組みについて、GDPR施行直前となる2018年第1四半期(1~3月)の最終合意を目指して協議していると公表した。枠組みが実現すると、日本企業が欧州の個人データを日本国内で扱う際の負担が大幅に減る見込みだ。
法的手続きが必要、選択肢は2つ
日本企業が合法的にEEA域内の個人データを日本国内で扱うには現在、事実上2つの選択肢しかない。「標準契約条項(SCC)」または「拘束的企業準則(BCR)」と呼ぶ法的な手続きを取ることだ。
SCCはEEA域外へのデータ移転について、案件単位で移転元と移転先の企業間で結ぶものだ。欧州各国の監督機関が用意した文言のひな型に沿って、個人データを移転する案件ごとにデータを持ち出す理由を記して、欧州側の出し手と日本側の受け手となる企業の間で契約を結ぶ。データを移転する案件や企業が増えるたびに、それぞれSCCを結ぶ。SCCは移転するデータが限られている企業に向いている。
BCRは企業グループとして包括的な承認を得ることを指す。企業グループのプライバシー保護ルールを統一して英訳し、欧州の主要拠点がある国の監督機関の審査を受けて承認を得なければならない。
楽天は2016年12月に日本企業として初めてBCRの承認を受けた。同社は2014年半ばから、外部のアドバイスを得ながらBCRの承認を得るプロジェクトを進めてきた。欧州拠点があるルクセンブルクの監督機関から従業員や顧客のデータの移転について承認を受けた。