越境
-
EU-U.S. Data Privacy Framework(以降DPF と省略します)が7月10日に発効しました。前回のお知らせのようにスウェーデンではGoogle Analyticsを使用する企業が摘発される事態にまでなってましたから、GDPR に関わる皆様にとっては朗報だったのではないでしょうか?Google Analytics以外にも個人データが米国へ越境するサービス・システムは多数ありますが、使用されているサービスの事業者がDPF に登録済みか確認されましたか?こちらから確認できますので必ずご確認ください。
-
スウェーデンのプライバシー保護当局(以降IMYと省略します)により、Google Analytics使用の企業4社が摘発されため、速報でお知らせします。
スウェーデンといえば、6月にSpotifyが約500万ユーロの制裁金を課されたばかりでした。一方で、今回の制裁に強烈なインパクトがあったのは、これまでのGoogle に代表されるような「サービス提供側」ではなく、そのサービスを利活用する企業側に制裁が課されたことです。
一次情報をもとに今回の制裁事例を紐解いていきたいと思います。
-
今回はEEA(EEAの対象地域についてはこちらの記事を参照ください)から個人データ移転の際に遵守する必要のある「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取り扱いに関する補完的ルール」(とても長い名称なので、以降「補完的ルール」と略します)についてお話しします。
-
今回は、EDPB(欧州データ保護会議(European Data Protection Board)以降EDPBと略します)の越境に関するレコメンデーションである「Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data」を中心に書いていきます。
-
唐突ですが、皆さんが普段よくご覧になるECサイトやWEBのサーバーがどこにあるかご存知でしょうか?あるいは、そのサーバーを管理している企業がどこの国の事業者であるかご存知でしょうか?そうしたことが気になって時々調べてみるのですが、アメリカであったり、シンガポールであったり、いろいろ出てくるはずです。インターネットが世界中の津々浦々へ浸透していくとともに、発祥の地であるアメリカだけでなく、世界各地にサーバーや、サービスができていくのですが、個人データの扱いやプライバシーの観点から、対応しなければならない課題が次々と発生しています。