201807.20
0

On 17 July 2018, the European Commission announced that the European Union and Japan, in connection with the Economic Partnership Agreement (EPA), have successfully concluded their talks on mutual adequacy and agreed to recognize each other’s data protection systems as "equivalent". In the future, data will therefore be allowed to flow safely between the EU – where the General Data Protection Regulation (GDPR) has entered into force on 25 May 2018 – and Japan.

Each party will now start its internal procedures for the adoption of the adequacy decision. For the EU, this involves obtaining an opinion from the European Data Protection Board (which, from 25 May 2018, has replaced the Article 29 Working Party) and the approval from a committee composed of representatives of the EU Member States.

Once this procedure is completed, the Commission will adopt the adequacy decision on Japan.

Before the Commission formally adopts the above-mentioned adequacy decision – most likely by the autumn of this year –, Japan has committed itself to implementing the following additional guarantees:

(i) a set of rules that provide EU individuals whose personal data are transferred to Japan with additional guarantees that will bridge some gaps between the two data protection systems. These additional guarantees will strengthen, for example, the protection of sensitive data, the conditions under which EU data may be further transferred from Japan to another third country, and the exercise of individual rights to access and rectification. These rules will be binding on Japanese companies that import data from the EU and enforceable by the Japanese independent data protection authority and courts;

(ii) a complaint-handling mechanism to investigate and resolve complaints from EU citizens regarding access to their data by Japanese public authorities. This mechanism will be managed and supervised by the Japanese independent data protection authority.

 

2018年7月17日,欧州連合は,同日に締結された日欧経済連携協定(EPA)に付随し,EU及び日本間で行われていた十分性認定に関する協議について,両者の個人情報保護制度が「同等」であることを相互に認め,最終合意に達したと発表した。これにより,2018年5月25日より一般データ保護規則(GDPR)が適用されているEU及び日本間で安全に個人情報を移転することが可能となる。

上記合意を受けて,双方は十分性認定採択のための内部手続を開始し,後述するそれぞれの内部手続きが完了した後(今年秋を予定),欧州委員会により相互の個人情報保護制度について十分性認定が採択される運びとなる。

EUの内部手続き:個人情報保護に関し欧州連合の意見を求め,これに対しEU加盟国の代表により構成される委員会が承認を行う。

日本の内部手続き:欧州委員会が公式に十分性認定を採択するまでに,並行して以下の対策を実施する。

①日本に移転されるEU加盟国内の自然人の個人情報について,当該情報主体に対しEU加盟国・日本制度間の個人情報保護制度の差異を排除し同水準の保護を補完的に保証する法令整備を行うこと。

例えば,センシティブ情報の保護,日本に移転されたEU市民の個人情報を第三国に移転すること(第三者提供)を許容するための条件,(情報への)アクセス権及び訂正権の行使について強化を図る。当該法令は,EU市民の個人情報を日本に移転する日系企業に適用され,日本の個人情報保護委員会及び司法当局が当該法令に基づきその権限を行使する。

②日本の行政管轄機関に対する情報主体たるEU市民からの自己の個人情報へのアクセス権に関して,EU市民の請求に対する審査及びその審査結果についての異議申し立てを行うメカニズムを構築すること。かかるメカニズムは,個人情報保護委員会により運営・監督される。