Japan: The Personal Information Protection Commission Has Published A Provisional Translation Of The Guidelines 8/2022 On Identifying A Controller Or Processor's Lead Supervisory Authority

１　はじめに

　2024年2月20日、個人情報保護委員会は、「管理者又は処理者の主監督機関の特定に関するガイドライン8/2022」（以下「本ガイドライン」という。）の仮日本語訳を公表した ^[1]。本ガイドラインは、EDPB（欧州データ保護会議）が2023年3月28日に採択したものであり、GDPR上の「主監督機関」を特定するための基準等を示したものである。

　本稿では、GDPR^[2]の監督体制、越境取扱いの概要についても触れた上で、本ガイドラインの要点について紹介する。

２　GDPRの監督体制

　GDPR上、各加盟国には最低1つの監督機関が設置され（GDPR51条1項）、当該監督機関が、その領土内において、GDPRの適用の監視・執行等を行うものとされている（同57条1項）。当該監督機関には、このような業務を遂行するため、制裁金の賦課を含む、調査権限、是正権限および承認・助言権限が付与されている（同58条1項ないし3項）。

　もっとも、管理者または処理者（以下「管理者等」という。）がEEA（ヨーロッパ経済領域）内の複数の国においてデータを取り扱うに当たっては、一定の要件を満たす場合、すべての監督機関に対応する必要はなく、主監督機関を唯一の担当窓口として対応すれば足りるものとされている（このような仕組みを「ワンストップショップ・メカニズム」という。）。

　一方で、管理者等が自由に主監督機関を選択できるとした場合には、自らに有利な主監督機関を選択するいわゆるフォーラム・ショッピングの問題が生じうること等から、主監督機関の特定について本ガイドラインが定められている。

To view the full article click here

Originally Published by Shojihomu Co., Ltd.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.