GDPR移転規制に関する大学・研究機関の十分性認定獲得の必要性について

Amane

問題点:
日本の国立大学や研究機関は、日本の民間企業と異なり、独立行政法人等個人情報保護法のもとにあり、GDPRの移転規制に対する十分性認定の適用範囲外となっている。 これにより、欧州と国際共同研究を実施するにあたり欧州研究者の個人情報取得や、欧州ブランチとの個人情報(大学生、大学院生、研究者、人事公募情報等)のやりとり(個人情報の越境移転)に関して、SCC契約を結ぶ必要が出てくる。SCC契約には、越境移転する情報の目的と種類等ごとに数十~数百万円の費用がかかり(欧州弁護士費用)、これが日本国民の血税によって賄われる。 すくなくとも、欧州との国際共同研究や個人情報のやりとりが活発に行われる(一部の)研究大学・研究機関群については、個人情報保護法と同様に移転規制に対して十分性認定の範囲となることが望まれる。

(参考)
欧州の個人情報保護法 2018年5月より施行

1. 日本で対応する法律は、改正された個人情報保護法(+補完ルール)
大学共同利用機関法人や国立大学法人などは、独立行政法人等個人情報保護法であり、対応していない

2. GDPRの特徴
 原則、個人情報の処理(プロセッシング)と、移転(越境)が禁止されている(処理規制と移転規制)。
 目的は、EUに居住する自然人の保護(個人情報の保護ではなく、もっと広い概念を持ち出している)、となっており、EU域外にも適用される
 罰金は、2000万ユーロ(20億円超)または年間売り上げの4%。
 例:Googleが2019年1月に62億円の制裁をうけた。

3.GDPRの規制の免除
 以下の条件を満たせば可能
●処理規制に対して以下の処置を行う。
1) 個人情報処理に関するその組織における代理人選定
2) データマッピング
3) データ保護影響評価の実施 (扱うデータのプロジェクトごとに)
などの適切な処理
※ 処理規制に関する学術情報の扱いは後述
●移転規制に対して 1>2>3
1) 十分性認定(国として)
2) 情報ごとに標準データ保護契約(SCC)を結ぶ
3) 個人個人からの同意(ただし、同意は撤回可能であり、これに頼るのは危険)

4.学術情報の扱い(使用目的正当化事由ー>処理規制免除)
第85、89条などで規定。EU加盟国は、加盟国法で、「処理規制」の一部を軽減可能。⇒ つまり、学術情報の処理規定の扱いは、加盟国の国内法による。
例:英国の医学系研究では、政府のapproved medical researchに限るとかの独自規程。

5.十分性認定(越境移転正当化事由)
 「移転規制」を軽減する。日本は、個人情報保護法の範疇で十分性認定をとれた(民間企業など。学協会はこちら)。つまり、国立大学や研究機関は、十分性認定の範疇にない。(後注:私立大学は個人情報保護法の適用であるものの、除外規程により十分性認定から除外されている)
 これがとれない場合、個別に、データの種類ごとなどに、移転に際して、SCC契約を結ぶ必要あり(数10万~200万円くらい/1件 といわれている)

事例と懸念)
 処理規制も問題だが、移転規制対応が課題。
SCC契約を結ぶとなると、多額のお金がかかる(血税が投入されてしまう)。

・Aファンディングエイジェンシー
欧州の事務局ブランチで、個人情報を収集(欧州事務所長が代理人)
 日本の本部に個人情報を送る場合には、欧州事務局ブランチと日本の本部の間で、SCC契約を結ぶなど対応

・Bファンディングエイジェンシー
欧州オフィスで処理規制対策の体制・制度を整備。
移転規制に対しては、十分性認定の獲得に期待(2018年11月現在)

・C研究機関
大型国際プロジェクトにおける欧州人である共同研究者の個人情報を日本に移転できるかが問題
 ・欧州の研究者もふくめた共同研究公募における共同研究者の個人情報が移転できるのかが問題
 ・ゲノムデータ、医学研究データなど、完全に匿名化ができていない(なんらかの形で個人との結びつきがある状態の医学系研究の生データ)の欧州から日本への移転が課題

(大学や研究機関における誤解)
以下に示すような誤解により、大学や研究機関のGDPR対策もプアな状況となっている。

誤解1)学術目的のデータであればGDPRから除外されている
⇒ あくまで、処理規制の一部が加盟国法によって軽減されるということであり、GDPRの適用はすべてなくなるわけではない。とくに、移転規制のほうは、学術目的であろうと除外規程はない。

誤解2)大学や研究機関も、十分性認定の適用をうけている
⇒ 十分性認定の適用をうけているのは、個人情報保護法(+補完ルール)の適用範疇であり、国立大学や研究機関はすくなくとも、適用範囲外であり、移転規制をうける。

誤解3)大学や研究機関は、GDPRの域外適用の範囲外である。
⇒ GDPR上、そのような大学や研究機関を対象外とする規程はない。

この記事が気に入ったらサポートをしてみませんか?