OECD規則とGDPRと個人情報保護法(APPI)

個人情報保護法制大全を購入し、読んでます。

この領域を上流から理解しようとすると、OECDガイドラインが登場します。各国それぞれの規制を個々に理解するのは大変なので、まずは日本の個人情報保護法とGDPRをOECDガイドラインに当てはめてみようと思います。

 

・・・と思って作業してたら、既に個人情報保護委員会のホームページに同じものがありましたね。。

https://www.ppc.go.jp/files/pdf/310118_siryou1-1_betten2.pdf

 

OECD GDPR APPI1
OECD GDPR APPI2

せっかく途中まで作っちゃったので、完成させてブログにアップします。個人情報保護委員会資料に、細々と足しています。ほぼ自身の備忘用まとめですが。

 

GDPRは、5条で基本原則をバシッと定めているので、この基本原則の中にOECDガイドラインの各要素の大半が入ってきてます。

収集・利用等の個人データ処理をひっくるめて「取扱い」という定義をしているので、「収集制限の原則」と「利用制限の原則」双方に、6条以下の「取扱の適法性」等の規定が分類されますね。これらには、「データ内容の原則」や「目的明確化の原則」の要素も入っているように思えますが、そのものズバリな内容とは思えなかったので、この分類表の当該項目からは外しました。

そして、日本の個人情報保護法と比べ、「安全保障の原則」に詳細な規定があるとともに、「個人参加の原則」における個人の権利が手厚いことも見て取れるかと思います。

ここに入れていませんが、欧州代理人やデータ保護オフィサー(Data Protection Officer)も重要な要素ですね。

越境移転についても、言わずもがな。

 

次はアメリカのCCPAや連邦ガイドラインをこの分類に当てはめて理解したいところ。GDPRは個人情報保護委員会のホームページに仮約がありましたが、こちらは原文に当たるしかないのかな。