見出し画像

プライバシーの監視を防ぐために企業が自ら率先してやるべき対策

Privacy by Design Lab(プライバシーバイデザインラボ)

欧州最高裁判所の下した決断によって、データを移転する企業には新たな課題が降りかかっています。

今回はドイツ銀行のシニアカウンセルとして法務業務に携わり、ブロックチェーン等の法制度にも詳しいマティアスさんに今後の動向をお伺いしていきたいと思います。

画像2

前回の記事(スノーデン事件とインターネット空間でのデータの権利が残したもの)

新しく企業に課せられることになったデータ移転時の契約条件

Matthias: 直ぐに対策が必要なこととしては、欧州と十分性認定を結ぶことができていない第三国へデータを移転する際には、新しいSCCを利用する必要があります。広い意味では、2021年の6月に欧州委員会が新しくSCCをしたことは、シュレムⅡGDPR28条で求められる内容であったからです。新しいSCCは第三国への越境データ移転で必要な要素をデータ移転先の事業者やサービスの状況含めて把握するための要素を備えたテンプレートです。

加えて、企業は移転元と移転先のベンダーと協力して、年内(2022年)にこれまで使用していたSCCを、新しいSCCへと移行する必要があります。ここからは新しいSCCに関して紹介していきます。

新しいSCCでは4つのモジュールが一つの契約の中にテンプレートとして設定されています。4つのモジュールを理解して、審査することは容易ではないですね。ですので、一つの契約テンプレートを4つの契約テンプレートに分割して、4つそれぞれのデータ移転の場面を切り取って最後に全てに反映させることをオススメします。

図:新しいSCCのイメージ

画像2

SCCに対応する際にまずやるべきことは、どういったデータを現在も移転させているのかを理解することです。大抵のケースではデータ管理者がデータ処理方法を管理しているケースが多いので、データの処理方法に合わせたテンプレートにそってGDPR28条で示されているシュレムⅡの条件に合わせて対応します。

新しいSCCではデータ輸出者に対して責務が課せられています。これはとても重要な責務で、データ輸出者は永続的にデータ移転先の第三国の監視に関連した法制度と実際に行われている監視の動きを把握しておく必要があります。データ移転先の海外の第三国の法制度を理解し、データ移転のリスクを評価することをデータ移転影響度評価と呼びます。

プライバシーの監視を防ぐために企業が自ら率先してやるべき対策

実務的には、始めに対象となる第三国の法制度と環境の評価を実施する必要があります。そして、その法制度がどのように実装されているのかも調べる必要があります。次に、個別の第三国へのデータ移転が、第三国のデータ輸入者によって処理されているか輸入者の審査を行います。

図:データ移転影響度評価のイメージ

画像3

データ移転影響度評価は評価内容のドキュメント化も必要になります。もし作成したドキュメントに誤りがあれば、制裁措置が加えられることになります。どういった内容をどのように評価したのか結果をドキュメントとして適切に残しておくことが重要です。

きっちりと評価した証拠をいつデータ保護監督局からの指摘が入っても大丈夫なように残しておくために、評価結果を公表できるようにしておく必要があります。

今求められていることをまとめると、企業はドキュメントの必要事項に沿ってデータ移転を実施する際に審査を行います。ここからが重要になるのですが、定期的に移転先の国の監視にまつわる法制度や実態の調査等を継続的にモニタリングしておく必要があります。

Kohei: ありがとう御座います。お話しをお伺いしただけでもとても複雑だという事がわかりました。既にこれまでのSCCを採用してデータ移転を行っている企業もいると思いますが、新しいSCCにも対応する必要がありそうですね。契約的な審査だけでなく、組織や技術的な審査もデータ移転影響度評価では必要になると思います。追加の審査を実施することが企業に求められるようになりそうですね。

次の質問はSCCと関連して、BCR(拘束的企業準則)に準拠してデータ移転を行っている企業もあると思います。日本企業でもいくつかの企業が公表しているのですが、BCRでもデータ移転影響度評価が必要になると思います。欧州企業の視点でBCRでデータ移転影響度評価を実施する際はどのように対策すれば良いのでしょうか?

これまでのルールにプラスして必要になる新しい視点

Matthias: 大切な質問ですね。BCRとデータ移転の評価もとても難しい問題です。難しい理由は、多くの企業で実施しているBCRに加えて対応する必要があるからです。大規模な取引を実施する際にはいつでもBCRは対象のデータ保護監督局から承認が必要です。

これまでにいくつかの企業とBCRに関して議論をしてきたのですが、BCRを承認してもらったことで、追加で対策が必要ではないと考えている企業が多いと感じています。

ここから頂いた質問にお答えしたいと思います。BCRを実施している企業が、さらにデータ移転影響度評価を行うかどうかということですよね。欧州データ保護委員会はシュレムⅡの動きに対応するために、BCRを利用して欧州に居住する個人のデータを第三国へ移転する場合は追加の安全対策としてデータ移転影響度評価を実施する必要があるとしています。

契約条項で実施する方法と同様にデータ移転影響度の評価を実施します。BCRを利用している企業が気をつけておく点として、BCRを選択した理由の一つでもある社内で採用したデータ移転ゾーンの効力が弱くなっていく可能性があるということです。

政府から承認されBCRを利用してデータ移転を行う場合にも、データ移転のケースに合わせてリスク分析を実施する必要が出てくると考えられます。この新しい動きは企業への負担がとても大きく、データ移転を実施する際には都度対応が必要になる動きが進んでいます。

Kohei: なるほど。企業にとっては重要な変化ですね。政府から承認を受けたとしても、追加の対応がデータ保護のために求められることになると、今現在の手法でデータ移転を実施している企業も新たな状況に適応していく必要がありますね。

ここからは今現在の日本と欧州の十分性認定に関する話をお伺いしたいと思います。欧州データ保護委員会が公表しているガイドラインを拝見し、二国間で越境データ移転を行う際には、十分性認定が受けられているかどうかで大きく対策が異なることを理解しました。

国と国とで培った信頼関係が果たす企業への大きなメリット

日本と欧州間でのデータ移転は現在十分性認定を受けている環境下ですが、実務としてはどういったことが求められるのでしょうか?

Matthias: そうですね。私が第三国へのデータ移転の話をする時には移転先の第三国とは十分性認定が行われていなケースを引き合いに出すことが多いですね。欧州委員会はカナダや最近だと韓国、2019年には日本にも十分性認定を認めています。欧州委員会が十分性認定を認めたことは、日本には個人情報保護法があり、日本の法律を精査した結果十分にデータ保護が行われているという判断に基づいているのだと思います。

日本には独立したデータ保護監督機関があり、そのことが十分性認定を取得する事につながっていると思います。日本から欧州の個人のデータを域外に移転する際には同様のルールに沿って対応することが必要になります。

図:十分性認定とは一体何か

画像4

欧州と日本では2019年2月から十分性の条約を結び、二国間では安全にデータ保護が実施されることを保証したことは素晴らしいことだと思います。
この条約のお陰で、欧州に拠点のある企業が欧州域内の個人データを十分性認定が認められている日本に移転する際に、わざわざSCCのようなテンプレートを利用して契約を行う必要はありません。

日本から別の第三国へデータ移転が実施される場合は、日本の個人情報保護法に従って対応することになるので、欧州から日本へのデータ移転は大きな問題になることはないと思います。

Kohei: 今のお話をお伺いして、データ移転先と移転元の国で十分にデータ保護が実施される体制になっているかどうかは企業に与える影響が大きく異なることを知り、とても重要な話なのだと理解しました。

今の欧州と日本の関係性は双方の国の企業に課せられる負担コストから考えても、双方にメリットのある良い関係であるということですね。これまでに培ってきた両国の関係性を維持していくために、引き続きデータ保護と監視に対する取り組み、消費者保護を推進していくことが必要だと感じています。

Matthias: 日本はとても安全な国なので、SCCのようなものをわざわざ採用する必要はないのではないかと考えています。さらに実務上重要なことは、これまで説明してきたデータ移転影響度評価を実施する必要がないということです。欧州から日本へデータを移転することをわかりやすく例えると、ドイツからフランスにデータを移転することと同様に、データ保護の同意さえ取得することができれば問題ありません。

Kohei: 素晴らしいですね。次は少し違った角度から質問させて頂きます。これまで私もブロックチェーン領域で数年間活動を行ってきました。合計して約3、4年になります。前回Matthiasさんとカンファレンスで同じセッションになった際に、ブロックチェーンとGDPRというとても重要なテーマに関して話をさせて頂きました。 

Web3のような新しいテクノロジーの動きが広がっていくと考えた際に、データ領域で起こりうることを聞いていきたいと思います。データ保護とブロックチェーン技術の普及の双方が発展していく未来を考えた際に、どういった問題を克服する必要があるのでしょうか?

インタビューは後編に続きます。

 データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。

Interviewer, Translation and Edit 栗原宏平
Headline Image template author  山下夏姫



この記事が気に入ったらサポートをしてみませんか?