Loading…
日本のAPPIとEUのGDPRは2019年に相互の十分性認定に署名し、EU↔日本間のシームレスなデータフローへの道を開きました。しかし、法律そのものは依然として実質的に異なります。APPIは適法な根拠の列挙ではなく目的の特定を用い、機微なデータは明示的な同意の関門を設け、円建ての企業向け罰則を持ち、行政指導という異なる文化的伝統に根ざしています。2022年の改正によりAPPIはGDPRに近づきましたが、その隔たりは現実のものであり、コンプライアンス設計にとって重要です。
| 項目 | 🇯🇵 APPI | 🇪🇺 GDPR |
|---|---|---|
| 法的文書 | 個人情報の保護に関する法律(2003年、主要改正2015年、2020年、2022年) | 規則(EU)2016/679 |
| 規制当局 | 個人情報保護委員会(PPC、個人情報保護委員会) | 27のEU加盟国DPA+EDPB |
| 十分性認定 | EUの十分性認定が2019年以降有効(相互) | 日本に対する相互の十分性認定が有効 |
| 地理的適用範囲 | 日本国内の個人のデータを取り扱う事業者(日本国外の事業者を含む)(第166条) | EU+第3条の域外適用 |
| 適法な根拠のアプローチ | 目的の特定+適正な取得。特定の提供および機微なデータには同意が必要 | 第6条に基づく6つの適法な根拠。特別な種類のデータについては第9条に基づく9つの条件 |
| 要配慮個人情報 | 要配慮個人情報(yō-hairyo kojin jōhō)— 人種、信条、社会的身分、病歴・犯罪歴。取得には事前の明示的な同意が必要 | 特別な種類のデータ — 第9条、明示的な同意またはその他の該当条件 |
| 企業に対する最高罰金 | PPCの命令に従わなかった場合、1億円(約65万米ドル) | €2,000万または全世界売上高の4% |
| 個人に対する最高罰金 | 100万円/懲役1年 | 刑事罰なし(加盟国の制裁が適用される場合があります) |
| 漏えい時の通知 | 所定の期間内(通常は「遅滞なく」)。重大な漏えいの場合はPPCへの報告および本人への通知が必要です(第26条) | 高リスクの場合、監督機関へ72時間以内、加えて本人へ通知 |
| 越境移転 | 本人の同意、同等の保護措置、またはPPCが認定する十分性のいずれか(第28条) | SCC、BCR、十分性認定 |
| アクセス権 | あり — 第28条〜第35条、2022年改正により範囲が明確化 | あり — 第15条 |
| 訂正権 | あり — 第30条、第33条 | あり — 第16条 |
| 利用停止・削除権 | あり — 第30条、第35条(利用停止) | 消去権 — 第17条 |
| データポータビリティの権利 | 一般的な権利はなし。一部の分野別ルールあり | あり — 第20条 |
| DPO相当の役割 | 個人情報保護管理者 — 推奨。指定はPPCにより公表されます | Data Protection Officer — 一定の場合に義務(第37条) |
| 匿名加工情報 | 匿名加工情報 — 不可逆的な場合はAPPIの適用外。作成および提供に関するルールあり | 匿名情報はGDPRの適用範囲外(前文第26項) |
| 仮名加工情報 | 仮名加工情報 — 2022年改正により導入 | 仮名化は第4条(5)で言及。GDPRの適用は排除されません |
| 子どものデータ | APPIに特定の年齢基準はなし。未成年者については保護者を通じた同意が必要 | 原則16歳(加盟国は13歳まで引き下げ可能) |
| 公的部門の枠組み | 行政機関個人情報保護法(APIAO)— 2021年改正によりAPPIに統合 | 法執行指令2016/680(GDPRとは別個) |
| 見直しの周期 | 3年ごとの見直しが義務(APPI第6条) | 第97条に基づく見直し(2020年5月から4年ごと) |
おおむねそのとおりです。相互の十分性認定により実質的な同等性が認められています。差分としては、個人情報保護管理者の選任、現地の期間に応じたPPCへの漏えい通知、プライバシー通知がAPPIの利用目的の特定基準(「正当な利益」という表現よりも具体的)を満たすことの確認、第28条に基づく越境移転の文書化が挙げられます。
主な変更点は、域外適用の執行(第166条)、期間を定めた漏えい通知の明示的な義務化、本人の権利の拡充(利用停止の範囲拡大)、仮名加工情報のカテゴリーの導入、越境移転に関するより厳格なルールです。
APPI上、厳密に必須ではありませんが、PPCは実質的な日本国内の連絡窓口を期待しています。日本国外の事業者も適用対象であり、PPCの命令は国際的な司法共助を通じて執行され得ます。
GDPR第22条に相当する規定はありません。AIは分野別ガイドライン(経済産業省、総務省)および2025年のAI Act(別個の枠組み)によって規制されます。APPIは、AIが個人データを取り扱う限りにおいて適用されます。
従来は助言的・指導的で、正式な命令はまれでした。2022年改正により実効性が強化されました(第166条の域外適用執行、1億円の法人罰金)。今後はより正式な執行が見込まれます。
コントロールを一度マッピングすれば、2つの規制に準拠できます。RegulatoryBridgeは、単一のDSARパイプライン、単一のDPO、単一の侵害対応ランブックを提供し、両方のフレームワークをカバーします。