国立情報学研究所客員教授板倉陽一郎 · 21.05.2019 · （消費者制度課個人情報保護推進室（現・個人情報保護委員会事務局）政策企画専門官）。2017年4月より理化学研

データ利活用について‐‐法制面から‐‐

弁護士・ひかり総合法律事務所

理化学研究所革新知能統合研究センター客員主管研究員

国立情報学研究所客員教授

板倉陽一郎

2019/5/21 2019年度情報技術標準化フォーラム 1

自己紹介


• ２００２年慶應義塾大学総合政策学部卒，２００４年京都大学大学院情報学研究科社会情報学専攻修士課程修了，２００７年慶應義塾大学法務研究科（法科大学院）修了。２００８年弁護士（ひかり総合法律事務所）。２０１６年４月よりパートナー弁護士。

• ２０１０年４月より２０１２年１２月まで消費者庁に出向（消費者制度課個人情報保護推進室（現・個人情報保護委員会事務局）政策企画専門官）。２０１７年４月より理化学研究所革新知能統合研究センター客員主管研究員，２０１８年５月より国立情報学研究所客員教授。

• 総務省・情報通信法学研究会構成員，経済産業省・中小企業・小規模事業者のデータ利活用に関する検討委員会委員，ＩｏＴ推進コンソーシアム・データ流通促進ＷＧ委員等。

• 法とコンピュータ学会理事，日本メディカルＡＩ学会監事，一般社団法人データ流通推進協議会監事等。

アジェンダ

• １．官民データ活用推進基本法・基本計画

• （１）官民データ活用推進基本法の成立

• （２）官民データ法と個人情報保護法の関係

• （３）官民データ活用推進基本計画

• ２．国内外のデータ利活用の施策と情報技術標準化との関係

• （１）データポータビリティにおける情報技術標準化

• （２）欧州からのデータ移転における情報技術標準化

• （３）データ取引市場と情報技術標準化

• ３．質疑応答


１．官民データ活用推進基本法・基本計画（１）官民データ活用推進基本法の成立• 2016 年12 月7 日に官民データ活用推進基本法（以下，官民データ法）が成立。

• 「インターネットその他の高度情報通信ネットワークを通じて流通する多様かつ大量の情報を適正かつ効果的に活用することにより，急速な少子高齢化の進展への対応等の我が国が直面する課題の解決に資する環境をより一層整備することが重要であることに鑑み，（中略）官民データ活用の推進に関する施策を総合的かつ効果的に推進し，もって国民が安全で安心して暮らせる社会及び快適な生活環境の実現に寄与すること」を目的とし，個人情報・個人データのみに限られない電磁的記録たる「官民データ」の活用を推進しようとするもの。

• AI やIoT を中心とした情報通信技術の進展を背景に，「官（国，地方公共団体等），民（企業等）の諸活動自体を，データ活用を前提とした社会に適応するものに転換し，官民双方が各々保有するデータ（官民データ）をみんなで活用できる環境を整備することにより，国民一人一人が豊かさを真に実感できる社会モデルを構築していくことが必要である」との考え方をベースにしている。


（２）官民データ法と個人情報保護法の関係• 官民データ法の考え方と，個人情報保護法はどのように折り合いをつけているのか？

• 個人情報保護法の改正にあわせて自由民主党政務調査会名義で公表された「個人情報保護法改正に関する提言」（2015 年2月12 日）に萌芽

• 3 項で，本来の法改正の趣旨を踏まえ，保護法の目的規定および新たに設置する第三者委員会の任務規定に，個人情報の利活用の推進に配慮する旨を明記すること，という内容が含まれていた。保護法の目的規定および個人情報保護委員会の任務規定に「個人情報の利活用の推進」を盛り込もうという動きがあったことになる。

• しかしながら，実際には，個人情報保護法の改正に当たって，保護と利活用のバランスを利活用側に倒すということは行われず。個人情報保護法1 条の目的規定が加筆されたことも，保護と利活用のバランスを利活用側に傾斜させるものではないと説明されている，むしろ官民データ法では，官民データ活用の推進は，個人情報保護法をはじめ，サイバーセキュリティ基本法や，いわゆるマイナンバー法など，その他の関係法律による施策と相まって，個人および法人の権利利益を保護しつつ情報の円滑な流通の確保を図ることを旨として行われなければならないとした。

• 官民データの活用を推進するに当たっては個人情報保護法を遵守し，「個人及び法人の権利利益」が保護されなければならないことが明記されたことになる。


（３）官民データ活用推進基本計画

• 官民データ法の実施に当たっては，「官民データ活用の推進に関する施策の総合的かつ効果的な推進を図るため」（官民データ法8 条1 項），官民データ活用推進基本計画が定められる。

• 官民データ活用推進基本計画の最新のものは，2018 年6 月15 日付の「世界最先端デジタル国家創造宣言・官民データ活用推進基本計画」（以下，基本計画）。


2019/5/21 2019年度情報技術標準化フォーラム 7政府CIO資料



基本計画の内容

• ①官民データ活用の推進に関する施策についての基本的な方針の中で重点分野（電子行政，健康・医療・介護，観光，金融，農林水産，ものづくり，インフラ・防災・減災等および移動）を指定し，「推進体制」の中で

• ②国の行政機関における官民データ活用に関する事項と

• ③地方公共団体および事業者における官民データ活用の促進に関する事項についての大きな方針を定めたうえで，

• ④官民データ活用に関し政府が重点的に講ずべき施策を「施策集」として，

• 官民データ法の各条項に対応した取り組みが規定。



「推進体制」

• 「個人情報等の適正な取扱いの確保」の項目が設けられており，官民データの利活用の推進に当たって，個人情報保護委員会による個人情報等の保護および適正かつ効果的な活用に係る施策と連携することが確認されているほか，日 EU 間の相互の円滑な個人データ移転を図る枠組みの構築にも触れられている。


基本計画における具体的な施策①匿名加工情報と非識別加工情報

• 「匿名加工情報」は，もともと，保護法の改正において，ビッグデータの利活用のための制度として導入されたもので（保護法 2 条 9 項，36 条～ 39 条），基本計画においても「個人情報及び匿名加工情報の取扱いに関する相談対応及び情報発信」（№ 4‐2，官民データ法 12 条関係）の中で施策に位置づけられている。

• 行政機関や独立行政法人等に関しては「非識別加工情報」が匿名加工情報に相当するが，基本計画においては位置づけられていない。



新法

個人情報保護委員会資料より

個人情報保護委員会資料

2019/5/21 2019年度情報技術標準化フォーラム

15

新法

• 地方公共団体における非識別加工情報に関する制度の導入については，「地域におけるデータ利活用の環境整備」（基本計画№ 11‐2，官民データ法 19 条関係）において，「地方公共団体が保有する個人情報に関する非識別加工情報の仕組みに関する相談対応や情報提供を行うとともに，非識別加工情報の活用事例を整理する等，地方の非識別加工情報に係る取組を支援」との施策がみられる。

• 地方公共団体の個人情報保護制度は，各地方公共団体の個人情報保護条例によるもので，都道府県・市町村のそれぞれにおいて別の個人情報保護条例を有している。非識別加工情報の制度を導入するにしても，各地方公共団体がそれぞれの責任で導入しなければならないのであって，特に加工基準について，地方公共団体が個別に検討することが可能であるか，個人情報保護の観点から適切であるかについては疑念がある。


• 2018 年 6 月 4 日付の「規制改革推進に関する第 3 次答申～来るべき新時代へ～」（規制改革会議）において，「例えば，ビッグデータの活用が進む中，匿名加工した個人情報について，国や民間企業には法律で同一ルールが定められたにもかかわらず，地方自治体が保有する個人情報は従来通り条例で定めることとされている。その結果，多くの地方自治体で条例の検討が始まり，全国的利用が前提のビッグデータにおいて自治体ごとに異なるルールが整備される可能性が出てきている。所管府省では有識者会議を開催し，データ利活用のニーズがない中，検討すべき対応策を整理したと言うが，会議としては，ルール整備を怠っていると評価せざるを得ない」と痛烈に批判されている。

• 2018 年8 月 21 日からは総務省に「地方公共団体の非識別加工情報の作成・提供に係る効率的な仕組みの在り方に関する検討会」が設置されている。地方公共団体の非識別加工情報に関する国としての「ルール整備」が期待される。


2019/5/21 2019年度情報技術標準化フォーラム 18総務省資料

地方公共団体の非識別加工情報の作成・提供に係る効率的な仕組みの在り方に関する検討会（第6回）（平成31年2月22日）【資料1】『地方公共団体の非識別加工情報の作成・提供に係る効率的な仕組みの在り方に関する中間とりまとめ【案】』

• 第５その他• １個人情報に係るデータ形式

• (１) 地方公共団体からの個人情報の収集におけるデータ形式について• 地方公共団体の個人情報については，導入されているシステムに応じて採用するデータ

フォーマットで生成，保存している。このため，同一分類とみなすべきデータが，語彙の揺れやデータ構造の違いによって，異なる分類になるといった課題等が存在する。作成組織の仕組みにおいては，複数の地方公共団体から情報を収集することが想定され，当該収集を効率的に行うために，共通のフォーマットが存在することが望ましいが，現時点において中間標準レイアウト等，標準的なフォーマットは一定程度存在するものの，多くの地方公共団体において作成組織からのオーダーに沿って，データを抽出する機能を有している状況にはない。

• データ形式の標準化は，データ利活用の推進の観点から重要な課題であるが，データ利活用事業者からの提案に応じ，オーダーメードで加工を行う非識別加工情報の仕組みにおいて，元データの形式についても，制度の開始時点から地方公共団体側で整理を行うこととするのは，地方公共団体側の負担軽減の観点から望ましくはないと考えられる。

• こうした現状において，地方公共団体の保有する個人情報のデータ形式の違い等については作成組織の側で人的作業や変換プログラムで対応することが適当ではないか。今後，データ形式の整理等により発生するコストが作成組織の事業採算性等に与える影響について，検討する必要がある。


②いわゆる情報銀行やデータ取引市場等

• 「いわゆる情報銀行やデータ取引市場等の実装に向けた制度整備」（基本計画№ 4‐1，官民データ法 12 条関係）においては，「個人関与の下でのデータ流通・活用を進める仕組みである PDS（Personal Data Store），情報銀行，データ取引市場の実装に向け，今後，観光分野等における情報信託機能を活用した実証実験，情報信託機能の認定スキームに関する指針を踏まえた民間団体による取組状況や，諸外国の検討状況等を注視しつつ，引き続き，必要な支援策，制度の在り方等について検討」とある。

• いわゆる情報銀行については，総務省・経済産業省「情報信託機能の認定スキームの在り方に関する検討会」による「情報信託機能の認定に係る指針ver1.0」（2018 年 6 月）が公表されている。

• 指針によると，いわゆる情報銀行（情報利用信用銀行，情報信託機能）は，「個人とのデータ活用に関する契約等に基づき，PDS 等のシステムを活用して個人のデータを管理するとともに，個人の指示又は予め指定した条件に基づき個人に代わり妥当性を判断の上，データを第三者（他の事業者）に提供する事業」と定義。

• 特に「予め指定した条件」に基づいて個人情報・個人データを第三者に提供するとなると，どのように個人情報の保護が図られるかが不安になるところ。


2019/5/21 2019年度情報技術標準化フォーラム 21指針資料

2019/5/21 2019年度情報技術標準化フォーラム 22指針資料

• 指針においては，民間の団体等による任意の認定のしくみが望ましいとされており，モデル約款においては，保護法の遵守は当然として，提供先の第三者と提供契約を締結したうえで，再提供を禁止し，提供先第三者に対する調査・報告徴収権限が求められるなど，相当程度個人情報保護に配慮した内容が含まれる。



③データ利用に関する契約

• 匿名加工情報が提供されるにしても，いわゆる情報銀行において第三者への提供が行われるにしても，契約が介在することになる。

• 「データ利用に関する適切な契約の促進」（基本計画№ 3‐5，官民データ法 11 条 3 項関係）において，「データの流通・利用に関するB to B取引は契約類型や契約条件が様々。また，AI 技術の特性等に関する相互理解が進んでおらず，AI 活用に係る契約の取決め方も手探り。データ流通・活用や学習済みモデルの利活用のための契約交渉が十分になされていない実態が存在」との問題が指摘された。

• 2017 年 5 月に公表された「データの利用権限に関する契約ガイドラインVer1.0」について，データ利用に関する契約事項や契約条件等を整理するとともに，AI 技術に係る権利関係や責任関係について交渉ポイントや留意点を示した AI 編を追加し，2018 年 6 月に抜本改訂（「AI・データの利用に関する契約ガイドライン」）。


• 個人情報の保護との関係では，例えばデータ編において「データに個人情報が含まれる場合にはプライバシー権等の個人の権利が侵害されることがある」ことが明記されているほか，「データは無体物であり，民法上，所有権や占有権，用益物権，担保物権の対象とはならないため，所有権や占有権の概念に基づいてデータに係る権利の有無を定めることはできない（民法206 条，同法 85 条参照）」という，法律の専門家からすれば当然のことが記述されたことも大きい。

• 個人情報・個人データの本人をそっちのけで「データの所有権」なるものが議論されがちな状況にも配慮されたもの。


2019/5/21 2019年度情報技術標準化フォーラム 27GL資料



④欧州との越境データ移転

• 「日 EU 間で個人データの円滑な越境移転のための環境を整備するための，日 EU 間の相互の円滑な個人データ移転を図る枠組みについて，戦略的な取組を推進」（基本計画№ 12‐3，「国際貢献及び国際競争力の強化に向けた国際展開」関係）という項目もみられる。

• 一般的に個人データの越境移転を禁止している欧州から，十分な保護措置を備えた国または地域として認定される，いわゆる十分性認定についての項目。

• 2018 年 9 月 5 日に欧州委員会から，日本の十分性認定の決定文書草案と，正式な十分性認定手続の開始が公表されました。同年 9 月 26 日以降，欧州データ保護ボードが決定文書草案の審査を行っており，同ボードおよび欧州委員会の手続きを経て，十分性認定が見据えられる。

• 「個人情報の保護に関する法律に係る EU 域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」（個人情報保護委員会）も制定され，十分性認定によって越境移転されてくる EU の個人データについては上乗せ措置が求められる。

• 今後は，欧州データ保護ボードおよび欧州委員会での手続きを経て，十分性認定が得られた（2019年1月23日）。日本も，同日，欧州（EU および EEA31 カ国）に対して保護法24 条における同等性を認めた。


２．国内外のデータ利活用の施策と情報技術標準化との関係（１）データポータビリティにおける情報技術標準化

• GDPRにおけるデータポータビリティ

• 個人情報保護法の３年ごと見直しにおけるデータポータビリティ

• デジタル・プラットフォーマーを巡る取引環境整備におけるデータポータビリティ


GDPRにおけるデータポータビリティ：第20 条データポータビリティーの権利Article 20 Right to data portability• 1. データ主体は，当該データ主体が管理者に提供した当該データ主体に関する個人データについて，構造化され，一般

的に利用され機械可読性のある形式で受け取る権利があり，当該データを，個人データが提供された管理者の妨害なしに，他の管理者に移行する権利がある。ただし，次に掲げる場合に限る。

• 1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine‐readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided,

• where:• (a) 取扱いが第6 条第1 項(a)号又は第9 条第2 項(a)号による同意に基づくか，第6 条第1 項(b)号による契約に基づく場合で

あり，かつ

• (a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and

• (b) 取扱いが自動化された手法で実行されている場合。

• (b) the processing is carried out by automated means.• 2. 第1 項により当該データ主体のデータポータビリティーの権利が行使される場合，データ主体は，技術的に実行可能

であるならば，個人データを直接的に管理者から他の管理者に移行させる権利がある。

• 2. In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.

• 3.‐4.（略）



管理者データ主体

ポータビリティ先

GDPR20条1項構造化され，一般的に利用され機械可読性のある形式で受け取る権利

(a) 取扱いが第6 条第1 項(a)号又は第9 条第2 項(a)号による同意に基づくか，第6 条第1 項(b)号による契約に基づく場合であり，かつ(b) 取扱いが自動化された手法で実行されている場合。

GDPR20条2項技術的に実行可

能であるならば，個人データを直接的に管理者から他の管理者に移行させる権利

個人情報保護委員会『個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理』（平成31年4月25日）

• 第３章個別検討事項• 第１節個人情報に関する個人の権利の在り方

• （３）開示請求• 開示の提供形式について，個人情報の保護に関する法律施行令（平成15年政令第507号）第９条

で「書面の交付による方法」を原則としつつ，「開示の請求を行った者が同意した方法があるときは，当該方法」とされている。しかし，情報通信技術の活用による行政手続等に係る関係者の利便性の向上並びに行政運営の簡素化及び効率化を図るための行政手続等における情報通信の技術の利用に関する法律等の一部を改正する法律案（いわゆる「デジタル手続法案」）において，民間手続における情報通信技術の活用の促進等が謳われる中，個人情報保護法における開示の際の電磁的形式による提供の明確化についても，今後，利用者の利便性も考慮しつつ，検討していく必要がある。

• なお，いわゆるデータポータビリティに関連しては，既に民間における自主的取組として，情報銀行の取組も行われている（本章第３節２（４）において後述）が，個人情報保護法に沿った形でこのような取組が自主的に行われることは歓迎すべきものである。

• 一方，データポータビリティの法的な義務化については，そもそも個人の権利利益の保護といった個人情報保護の観点以外に，産業政策や競争政策といった幅広い観点が存在する。ＥＵではＧＤＰＲで新たに導入されたところだが，ある管理者から別の管理者へ直接個人データを移行させる規定については，技術的に実行可能な場合に限定されている。我が国では，その必要性等について，消費者ニーズや事業者のメリット・実務負担等を含め，議論が現在様々な場で行われている段階であることから，このような議論の推移を見守る必要がある。


デジタル・プラットフォーマーを巡る取引環境整備におけるデータポータビリティ

2019/5/21 2019年度情報技術標準化フォーラム 35データの移転・開放等の在り方に関するワーキング・グループ（第1回）（平成31年3月25日）【資料2】事務局提出資料より

2019/5/21 2019年度情報技術標準化フォーラム 36データの移転・開放等の在り方に関するワーキング・グループ（第1回）（平成31年3月25日）【資料2】事務局提出資料より


データの移転・開放等の在り方に関するワーキング・グループ（第1回）（平成31年3月25日）【資料2】事務局提出資料より

デジタル・プラットフォーマーを巡る取引環境整備に関する検討会データの移転・開放等の在り方に関するワーキング・グループ『データの移転・開放等の在り方に関するオプション（案）』（2019年4月24日）

• ４．データの移転・開放のためのルールに関する論点及び方向性• （３）競争の促進のための移転・開放ルールの内容

• ④データ移転・開放の相互運用性の確保• デジタル・プラットフォーマーによってデータの移転や開放が行われたとしても，データ

の相互運用性（interoperability）が確保されない限り，移転による競争促進効果が減少してしまう。このため，データの相互運用性を確保するための取組が必要である。ただし，デジタル・プラットフォーム上のサービスのイノベーションのスピードが速いことから，規律としては，例えば，フォーマットについては，仕様の標準を法令により事前に細かく定めるのは困難であるため，民間団体による標準の策定を促しその標準を活用することや，データを必要とする第三者がデータの変換プログラムを作ることができるよう，移転するデータの形式の規格を公開するなど，最低限利用可能となるようにすることが考えられる。

• ５．データの移転・開放を実現するためのアプローチの選択肢の整理

• 法規制，自主規制，共同規制アプローチを挙げた上で，「アプローチの検討に当たっては，それぞれのメリット・デメリットを踏まえ，データの移転・開放ルールの必要性として掲げた公正な競争環境の整備及び利用者の選択の機会の確保による競争の促進の観点から，検討するべきである。」とする。


（２）欧州からのデータ移転における情報技術標準化• 越境移転の原則禁止（GDPR44条）

• ①原則としての，十分性の判定に基づく移転（GDPR45条）

• ②十分性の判定がなされていない場合の，適切な安全性確保措置を施した移転（GDPR46条）

• 以下が新たに含まれることとなった。• 行動準則（GDPR40条ないし41条）• 認証（GDPR42条ないし43条）

• ③十分性の判定がなされておらず，適切な安全性確保措置も認められない場合の，特別の状況における特則（GDPR49条）



越境移転規制

管理者

管理者欧州

日本

処理者

管理者欧州

日本

管理者

処理者欧州

日本

十分性認定とは

• 欧州一般データ保護規則（GDPR）において，個人データの欧州（EU加盟国及びEEA3カ国）からの移転が原則禁止されているところ，十分なデータ保護の制度を備えている国又は地域として認定されることで，移転が可能となる制度である（ただし，GDPRは個人データの処理も原則禁止しており，処理の適法化事由が不要となるわけではないことに注意が必要である）。

• 具体的には，GDPR第44条及び45条がこれを定める。

• 十分性判定がなされたのは，• アンドラ，アルゼンチン，カナダ（民間部門），フェロー諸島，ガーンジー島，イスラエル，マン島，ジャージー島，ニュージーランド，スイス，ウルグアイ（7カ国4地域），日本（個人情報保護法の適用範囲）

• EU‐USプライバシーシールドスキーム


十分性認定のポイント

• あくまで個人情報保護法の対象範囲に限ったものである。• ①個人情報保護法部分の評価，②刑事的なアクセスについての評価，③安全保障目的でのアクセスについての評価，からなる。単に個人情報保護法だけで維持できるものではない（例えば，②には捜査事項照会制度についての評価も含まれる）

• EDPB，欧州議会がそれぞれコメントを発している。EDPBは2年毎のレビューを主張。

• セーフハーバーが無効となったように，欧州司法裁判所における司法審査の対象となり得る。不適切な運用が続けば無効となる可能性も否定できない。


2019/5/21 2019年度情報技術標準化フォーラム

43

新法

十分性認定以外の方法（SDPC（標準データ保護条項），BCR（拘束的企業準則），GDPR49条1項等）による移転との関係• 適切な安全性確保措置

• 監督機関の個別承認不要• 従来からの方法

• 標準データ保護約款（GDPR46条2項(c)(d)）• 拘束的企業準則（BCR）（GDPR46条(b)）

• GDPRでの新規導入• 行動準則（GDPR40条ないし41条）• 認証（GDPR42条ないし43条）

• 監督機関の個別承認

• 特別の状況における特例• 同意が含まれるが，「大量，構造的，反復的な移転には適用されない」との指摘



標準データ保護約款

管理者

管理者欧州

日本

処理者

管理者欧州

日本

管理者

処理者欧州

日本

欧州委員会決定2001/497/EC（Commission Decision 2001/497/EC ） (SET I)欧州委員会決定C（2004）5271 （Commission Decision C(2004)5271) (SET II)

欧州委員会決定C(2010)593（Commission Decision C(2010)593）対応する標準データ保護約款は存在しない

第46 条適切な保護措置に従った移転Article 46 Transfers subject to appropriate safeguards

• 1. 第45 条第3 項による決定がない場合は，管理者又は取扱者が適切な保護措置を提供しており，執行力あるデータ主体の権利及びデータ主体に関する効果的な法的救済が利用可能な状態である場合に限り，管理者又は取扱者は第三国又は国際機関に個人データを移転することができる。

• 1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisationonly if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

• 2. 第1 項で定める適切な保護措置は，監督機関からの特定の認可を必要とせず，次に掲げるものによって講じられてもよい。


• 2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

• (a) 公的機関又は団体間の法的拘束力又は執行力のある法律文書。

• (a) a legally binding and enforceable instrument between public authorities or bodies;• (b) 第47 条に従った拘束的企業準則。

• (b) binding corporate rules in accordance with Article 47;

• (c) 第93 条第2 項で定める審査手続に従って欧州委員会によって採択された標準データ保護条項。

• (c) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2);

• (d) 監督機関によって採択され，第93 条第2 項で定める審査手続により欧州委員会によって承認された標準データ保護条項。

• (d) standard data protection clauses adopted by a supervisory authority and approved by the

• Commission pursuant to the examination procedure referred to in Article 93(2);


• (e) 適切な保護措置（データ主体の権利に関することを含む）を適用するための第三国の管理者又は取扱者の拘束力及び執行力のある公約を伴った，第40 条による承認された行動規範。又は，

• (e) an approved code of conduct pursuant to Article 40 together with binding and enforceablecommitments of the controller or processor in the third country to apply the appropriate safeguards,including as regards data subjects' rights; or

• (f) 適切な保護措置（データ主体の権利に関することを含む）を適用するための第三国の管理者又は取扱者の拘束力及び執行力のある公約を伴った，第42 条による承認された認証メカニズム。

• (f) an approved certification mechanism pursuant to Article 42 together with binding and enforceablecommitments of the controller or processor in the third country to apply the appropriate safeguards,including as regards data subjects' rights.

• 従来のSCCは経過措置によってGDPRにおいても有効。


Article 40 Codes of conduct第40 条行動規範• 1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium‐sized enterprises.

• 1. 加盟国，監督機関，欧州データ保護会議及び欧州委員会は，様々な取扱部門の特性及び中小零細企業の特殊事情を考慮に入れた上で，本規則の適正な適用に貢献することを意図した行動規範の作成を奨励するものとする。

• 2. Associations and other bodies representing categories of controllers or processors may prepare codes of conduct, or amend or extend such codes, for the purpose of specifying the application of this Regulation, such as with regard to:

• 2. 様々な類型の管理者又は処理者を代表する団体及びその他の組織は，以下のような事項に関し，本規則の適用を具体化する目的で，行動規範を用意，又はその規範を改正若しくは追補できる：

• (a)‐(k)（略）

• 3.‐11.（略）


Article 42 Certification第42 条認証• 1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium‐sized enterprises shall be taken into account.

• 1. 加盟国，監督機関，欧州データ保護会議及び欧州委員会は，とりわけ，EU レベルにおいて，管理者及び処理者による取扱業務が本規則を遵守することを証明する目的のために，データ保護認証方法，データ保護シール及びデータ保護マークを設けることを奨励しなければならない。中小零細企業の特殊事情を考慮に入れるものとする。

• 2.‐8.（略）


SCCの法遵守義務及び準拠法

• Commission Decision C(2004)5721

• ”SET II” Standard contractual clauses for the transfer of personal data from the Community to third countries (controller to controller transfers)

• II. Obligations of the data importer

• h) It will process the personal data, at its option, in accordance with:

• i. the data protection laws of the country in which the data exporter is established, or

• ii. the relevant provisions of any Commission decision pursuant to Article 25(6) of Directive 95/46/EC, where the data importer complies with the relevant provisions of such an authorisation or decision and is based in a country to which such an authorisation or decision pertains, but is not covered by such authorisation or decision for the purposes of the transfer(s) of the personal data , or

• iii. the data processing principles set forth in Annex A.

• Data importer to indicate which option it selects:

• Initials of data importer: ;

• IV. Law applicable to the clauses

• These clauses shall be governed by the law of the country in which the data exporter is established, with the exception of the laws and regulations relating to processing of the personal data by the data importer under clause II(h), which shall apply only if so selected by the data importer under that clause.



・楽天（ルクセンブルク）・IIJ（英国，申請中）・富士通（オランダ，申請中）

管理者

管理者欧州

日本

管理者

第三国

拘束的企業準則

GDPR49条に定められた適法化事由（同意を含む）• 1. In the absence of an adequacy decision pursuant to Article 45(3), or of appropriate safeguards pursuant to Article 46, including binding corporate rules, a transfer or a set of transfers of personal data to a third country or an international organisation shall take place only on one of the following conditions:

• 1. 第 45 条第 3 項による十分性認定がない場合，又は拘束的企業準則を含め，第 46 条による適切な保護措置がない場合，以下の条件中のいずれかを満たしている場合においてのみ，第三国又は国際機関への個人データの移転又は個人データ移転の集合を行うことができる：

• (a) the data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision and appropriate safeguards;

• (a) 十分性認定及び適切な保護措置が存在しないために，そのような移転がそのデータ主体に対して発生させる可能性のあるリスクの情報提供を受けた後に，そのデータ主体が，提案された移転に明示的に同意した場合；

• (b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre‐contractual measures taken at the data subject's request;

• (b) データ主体と管理者との間の契約の履行のためにその移転が必要となる場合，又は，データ主体の要求により，契約締結前の措置を実施するためにその移転が必要となる場合；


• (c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and another natural or legal person;

• (c) 管理者及びそれ以外の自然人若しくは法人との間でデータ主体の利益のために帰する契約の締結，又は，その契約の履行のために移転が必要となる場合；

• (d)the transfer is necessary for important reasons of public interest;• (d) 公共の利益の重大な事由の移転が必要となる場合；

• (e)the transfer is necessary for the establishment, exercise or defence of legal claims;• (e) 法的主張時の立証，行使又は抗弁に移転が必要となる場合；

• (f) the transfer is necessary in order to protect the vital interests of the data subject or of other persons, where the data subject is physically or legally incapable of giving consent;

• (f) データ主体が物理的又は法的に同意を与えることができない場合において，データ主体又はそれ以外の者の生命に関する利益を保護するために移転が必要となる場合；

• (g)the transfer is made from a register which according to Union or Member State law is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, but only to the extent that the conditions laid down by Union or Member State law for consultation are fulfilled in the particular case.

• (g) EU 法又は加盟国の国内法に従い，公衆に対して情報を提供することを予定しており，かつ，公衆一般及び正当な利益をもつことを説明することのできる者の両者に対して開かれているが，個々の案件において，照会に関してEU 法又は加盟国の国内法により定められた条件が充足する限度内のみに制限されている登録機関に限り，登録機関からの移転が必要となる場合。



• Where a transfer could not be based on a provision in Article 45 or 46, including the provisions on binding corporate rules, 62 and none of the derogations for a specific situation referred to in the first subparagraph of this paragraph is applicable, atransfer to a third country or an international organisation may take place only if the transfer is not repetitive, concerns only a limited number of data subjects, is necessary for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject, and the controller has assessed all the circumstances surrounding the data transfer and has on the basis of that assessment provided suitable safeguards with regard to the protection of personal data. The controller shall inform the supervisory authority of the transfer. The controller shall, in addition to providing the information referred to in Articles 13 and 14, inform the data subject of the transfer and on the compelling legitimate interests pursued.

• 拘束的企業準則の条項を含め，第 45 条又は 46 条に基づいて移転を行うことができず，かつ，本項（a）から（g）による特定の状況における例外がいずれも適用可能ではない場合，その移転が，反復的なものではなく，限定された人数のデータ主体に関係するものであり，データ主体の権利及び自由によって優先されるものではない管理者が求める義務的な正当な利益の目的のために必要であり，かつ，管理者がデータ移転と関連する全ての事情を評価しており，かつ，その評価に基づき，その管理者が個人データの保護に関連して適合する保護措置を提供した場合に限り，第三国又は国際機関に対する移転を行うことができる。その管理者は，監督機関に対して，その移転を通知しなければならない。その管理者は，そのデータ主体に対し，第 13 条及び第14 条に規定する情報に加え，その移転及び求められる義務的な正当な利益に関し，情報提供しなければならない。

• 2‐6 （略）

49条の例外についてのガイドライン

• Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679


「補完的ルール」の制定と基本方針の一部変更• 「個人情報の保護に関する法律に係るＥＵ域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」

• 「個人情報保護委員会は，日ＥＵ間で相互の円滑な個人データ移転を図るため，法第 24 条に基づき，個人の権利

利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国とし

てＥＵを指定し，これにあわせて，欧州委員会は，ＧＤＰＲ第 45 条に基づき，日本が個人データについて十分な

保護水準を確保していると決定した」

• 個人情報の保護に関する基本方針（平成30年6月12日一部変更）

• 2(2)②個人データの円滑な国際的流通の確保のための取組

• 個人情報保護委員会は，個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している国との間で，相互に円滑な個人データの移転を図るために，国際的に整合のとれた個人情報に係る制度を促進する方法としての枠組みを構築するための措置を講ずることとする。

• 個人情報保護委員会は，個人情報保護法を所管する機関として，外国から移転される個人情報の適正な取扱いを確保する観点から，法第６条に基づき，日本と当該外国との間の制度及び運用の差異を埋めるために必要な措置を講ずる権限を有している。個人情報保護委員会は，必要に応じ，法及び政令で規定された規律（例えば，要配慮個人情報や保有個人データの定義に係る規律等）を補完し上回る，拘束力のある規律，すなわち，国内の個人情報取扱事業者に対して執行可能な，より厳格な規律を設けることを含め，一層の個人情報の保護を行う権限を有している。

• また，個人情報保護委員会は，当該外国当局との執行協力及び法制度の理解に関する対話を行うこととする。



IT戦略本部第14回新戦略推進専門調査会・第10回官民データ活用推進基本計画実行委員会合同会議【資料2‐2】個人情報保護委員会「国際的な個人データの移転について」（2018年5月11日）より

委員会は影響をどう考えているか？

GDPRの越境移転規制対応と情報技術標準化（１）• 日本は十分性認定されたのであるから越境移転の例外となるはずであるが，移転

されてきてから日本側の上乗せルール（「個人情報の保護に関する法律に係る

ＥＵ域内から十分性認定により移転を受けた個人データの取扱いに関する補完

的ルール」）の対象となることに注意。

• 十分性認定の対象は「個人情報保護法が適用される範囲」であるので，公的機関

（独立行政法人等や地方公共団体を含む）と協働する場合には使えない。例外

事由による場合（学術研究機関の学術目的利用等）にも使えない。

• 例外事由による移転のうち，SDPC（SCC）やBCRは契約等による遵守事項を発生

させる。特にSDPCの場合，移転元国法に基づいた契約遵守が求められるため，

GDPRが適用されるわけではないが，契約の根拠法としてのGDPR，同実施法の

チェックが必要になる。


GDPRの越境移転規制対応と情報技術標準化（２）• GDPR49条による移転は反復的な移転には適切でないとされており，継続的スキームへの適用にはリスクが有る。

• 行動準則（GDPR40条ないし41条）や認証（GDPR42条ないし43条）を活用することによって，日本への移転以外も含めたシームレスな移転が実現できる。



（３）データ取引市場と情報技術標準化


３．質疑応答


Documents

国立情報学研究所客員教授 板倉陽一郎 · 21.05.2019 · （消費者制度課個人情報保護推進室（現・個人情報保護委員 会事務局）政策企画専門官）。2017年4月より理化学研

国立情報学研究所客員教授板倉陽一郎 · 21.05.2019 · （消費者制度課個人情報保護推進室（現・個人情報保護委員会事務局）政策企画専門官）。2017年4月より理化学研