毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

  • 配信日:2022年2月10日
  • タイトル:Yahoo! EEA撤退 & CBPR認証取得
  • 発表者:データサイン 代表取締役社長 太田祐一

欧米間のデータ移転は難しくなるの?

国境を越えたデータの移転に関わる規制強化を背景に、企業が相手国でのサービス提供を断念、撤退する動きが目立ってきました。これらの動向についてデータサイン 代表取締役社長 太田祐一がコメントしました。

EUにおけるGDPR(一般データ保護規則)では、米国(US)や日本を含む海外とEEA(European Economic Area:欧州経済領域)の間におけるデータ移転を原則として禁止としています。EEAには現在、EU加盟国にアイスランド、ノルウェー、リヒテンシュタインを加えた30カ国が参加しています。しかし例外として、米国とEEAの間では、欧州委員会が定めるSCC(Standard Contractual Clauses:標準契約条項)が適用されることでデータ移転が行われています。

ところが2021年12月、EEA加盟国の1つ、オーストリアにおいてグーグルが提供するGoogle AnalyticsはGDPRに違反していると見なされました。さらに2022年1月、EDPS(欧州データ保護監察機関)がGoogle Analyticsと、クレジットカード決済プラットフォームStripeがGDPR違反であると譴責(けんせき)処分を下しました。

「Google Analyticsについては米国にあるサーバーへのデータ移転が指摘された模様です。欧米間でのデータ移転はSCCへの準拠だけでは十分とはいえなくなってきたかもしれません」(太田)

なお、Facebookを提供するメタも2022年2月、年次報告書で欧州からの撤退をほのめかしているようです。

日本の企業も欧州を敬遠しているの?

そうした中で、Yahoo! JAPANが2022年4月16日以降、一部のサービスを除いて、EEAおよび英国から利用できなくなることが発表されました。

先述のようにGDPRは、米国や日本を含む海外とEEAのデータ移転は原則禁止としていますが、日本は2019年1月にGDPRの十分性認定を受けています。十分性認定とは、「GDPR第45条に基づき、欧州委員会が、国又は地域等を個人データについて十分な保護水準を確保していると認める決定及び英国においてこれに相当する決定」のことです。

十分性認定を受けている日本は、日本国内法および、補完的ルールの遵守によりEUおよび英国域内の事業者から個人データの移転を受けることは可能です。補完的ルールとは、最低限遵守すべき規律のこと。具体的には、性生活、性的指向または労働組合に関する情報が含まれる場合には、個人情報取扱事業者は、当該情報について個人情報保護法における要配慮個人情報と同様に取り扱う必要があります。

「十分性認定を受けている日本の企業の中には、補完的ルールを遵守することは可能でも、そもそもGDPRへの対応そのものにハードルの高さを感じているケースが少なくないかもしれません」(太田)

国際的なルール整備に期待

Yahoo! JAPANはEEAからのサービス撤退に先立って、2022年1月31日付けでCBPR認証を取得しました。

CBPRは、アジア太平洋協力機構(APEC)の越境移転プライバシールール(CBPR:Cross Border Privacy Rules)のことです。APEC域内において国境を越えて流通する個人情報に対する消費者や事業者、行政機関における信用を構築する仕組みとして、2011年にAPEC電子商取引運営グループ(ECSG:Electronic Commerce Steering Group)で策定されました。

日本では、JIPDEC(一般財団法人 日本情報経済社会推進協会)がCBPR認証審査を実施しています。JIPDECのウェブサイトによると、CBPR認証を受けるには、1)通知、2)取得の制限、3)個人情報の利用、4)選択、5)個人情報の完全性、6)セキュリティ対策、7)アクセス及び訂正、8)責任について、JIPDECが定める認証基準を満たしている必要があります。

今後もEEAから米国や日本の企業の撤退が相次ぎ、その代わりにCBPRの認証取得が増えていくのでしょうか?

国際的に複数のルールが乱立することは規制遵守を迫られる企業にも負担が重く、データの移転と利活用で期待されるベネフィットが損なわれます。

「欧州の動向や各国企業の対応を見ると、しばらくは分断が続きそうな気配です。CBPRは、GDPRやそれを補完するeプライバシー規則を単純に置き換えるものではないので、取得の目的や規制の対象をよく確認した上で対応したいところです。本来ならばデータ移転に関する国際的ルールを作り、そのルールを守れば相互にデータ活用ができる状況が望ましいと思います」(太田)