楽天、日本初 BCR承認取得 欧州経済領域外への個人情報移転が可能に

楽天、日本初 BCR承認取得 欧州経済領域外への個人情報移転が可能に

楽天は昨年12月26日、同社が策定した拘束的企業準則(BCR)が、ルクセンブルクのデータ保護機関による全ての文書のレビューを終え、12月24日に承認を取得したことを公表した。今後、欧州経済領域 (EEA)外への個人情報の移転が可能になる。

欧州委員会が公表している承認企業リストによると、これまで海外の大手製薬会社や大手コンサルティングファームなどが承認されているが、日本企業の例はまだない。今回、楽天が日本企業としては初めて、欧州連合(EU)のデータ保護機関よりBCRの承認を受けたことになる。

EU のプライバシー保護法制では、原則としてEEA外への個人情報の移転が違法とされている。適法に移転をする方法はEUが例外として認める三つの方法しかない。(1)本人(データ主体)の明確な同意を取る方法、(2)EUが認めたひな型を元に契約(標準契約条項)を結ぶ方法、そして(3)BCRだ。「移転」は情報に対して他国からアクセスする行為全てを含むため、BCR承認取得により、その都度本人の同意を取る、もしくは個々の企業間で契約を締結するよりも、スピード感をもってデータの移転が可能となる。

日本企業にとって、BCR承認取得の壁となるのが、EU法令を理解した上で社内の状況に即したBCR文書を英文で起草すること、EU当局と英語でやり取りして承認を取得すること、承認後も整備運用を徹底し、監査を実施するなど、一定の手続きを踏む必要があるという点だ。同社はこの手続きをクリアし、承認取得に至った。

今回、同社のBCRがEUのデータ保護機関により適切な保護措置を備えているというお墨付きを得たことにより、楽天グループ内でBCRに準拠し、適法に個人情報の越境移転が可能になる。

同社は、「今後も、国際的な基準にしたがって、コンプライアンスと革新的なサービスの提供の両立を図りつつ、効率的にデータを運用し、グローバルでのビジネスを展開していく」としている。

冒頭の写真:楽天グループ本社ビル

 
Facebook Like!