【データ法】Transfer Risk Assessment ーUKとEUの比較ー

こんにちは。
お読みいただきありがとうございます。

本日は、GDPRにおける、移転リスク評価（以下「TRA」）(*1)について書きたいと思います。

2018年5月にGDPRが施行されてから、もうすぐ5年が経とうとしています。TRAは、施行当時には無かった管理者の新たな義務に関わるものです。

GDPR施行当時は、域外適用と高額な制裁金のおかげで、日本企業が戦々恐々としながらコンプライアンス体制を整えたため、弁護士・コンサルタント界隈では「バブル」とも呼ばれました。

このTRAは、そんな激動期を経て、一息ついてから登場したものであるため、担当者の方の中にも知らない方が案外多い印象です。

そこで、今回は、TRAについて解説していきます。

なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。

TRAとは何か？

イギリスのデータ保護当局であるICOによれば、TRAは、次のように整理できると思います(*2)。

Transfer Risk Assessment (TRA)：
GDPR（UK GDPR）46条の適切な保護措置に依拠して行う域外への個人データの移転に関して、管理者が事前に行なうリスク評価

少し前提を説明すると、GDPRは、域外（つまり、EU+EEA外。UK GDPRならUK外）への個人データの移転を原則禁止しています。「適切な保護措置」というのは、個人データの移転先が十分性認定を得ていない場合に、次善の手段として管理者が依拠すべきものです。例えば、標準条項（EU SCCs）を使用した移転先とのデータ移転契約の締結は、適切な保護措置の一つです。

あまりピンとこなかったり、もう少し詳しい説明を聞きたい方は、こちらをご覧になってから、また戻って来ていただければと思います。

TRAの重要ポイントは、十分性認定を得ていない国への個人データの移転にで浮いて、単に適切な保護措置を取るだけでは適法に移転できないということです。前述のとおり、TRAは、GDPRの施行時には存在しなかった制度であり、実施の必要性を知らない担当者の方もいらっしゃいます。しかしながら、ICOやCNIL（フランスのデータ保護当局）は、TRAの実施はmustであると断言しており、たとえEU SCCsのような適切な保護措置を取っていたとしても、TRAを実施しないまま、個人データを移転することは、GDPR違反と判断される可能性が高いです。

なお、EU（UK）から日本に個人データを移転する場合には、日本は十分性認定を得ているため、TRAは不要です。そのため、TRAを気にしないといけない場面は、実は少ないかもしれません。

TRAが登場した背景：Schrems II

実は、GDPRには、「適切な保護措置に依拠して個人データを域外に移転するときは、事前にTRAを実施しなければならない」といったことは一切書いてありません。

TRAは、2020年7月16日、Schrems IIと呼ばれる、オーストリアの弁護士・アクティビストであるMax Schrems氏が、Meta社（旧フェイスブック）によるEUから米国への個人データの移転の適法性を争って、CJEU（EU司法裁判所）で勝訴した事件で言及されたものです。

Schrems IIでは、適切な保護措置に依拠して個人データを域外に移転する場合には、リスクアセスメントをしなければならないと指摘しました。このリスクアセスメントが、TRAに当たります。

Schrems IIについては、こちらでも詳しく説明しているので、よければご覧ください。

なお、Schrems IIが出されたのは、Brexitの移行期間中の出来事であったため、現在のイギリスにおいても、法的に有効です。そのため、UK GDPRでも、TRAが必要とされるわけです。

TRAの方式

ICO：テンプレート形式

ICOは、TRAを実施するためのツールを提供しています。

transfer-risk-assessments-tool-20221117.doc

368 KB

ファイルダウンロードについて

ダウンロード

まあツールといっても、ただのWordファイルであり、質問票に記入をしていくことで、域外へのデータ移転に係るリスク評価ができる形となっています。ダウンロードして頂いた奇特な方はビビると思います。なんと41頁にわたる長大ボリュームです。

EDPB：ロードマップ方式

GDPRを所管する欧州データ保護会議（EDPB）は、TRAを実施する際に従うべき手順を示したロードマップの形で情報提供を行っています。

edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

1.31 MB

ファイルダウンロードについて

ダウンロード

こちらのガイダンスも48頁です。これを読んでもTRAをすぐに行うことは難しく、実際には、ICOが出しているような質問票のテンプレートを作らないと、TRAは出来ないでしょうね。

ただし、このガイダンスは、域外への個人データの移転に関する典型的な事例を7つほど挙げており、それぞれの事例におけるTRAの留意事項を説明しており、これは参考になります。

なお、フランスのデータ保護当局であるCNILが、テンプレート案を公表して、最近までパブコメを受け付けていました。

Transfer Impact Assessment (TIA): the CNIL Consults You on a Draft Guide

このような感じで、他のデータ保護当局もテンプレートを公表してくれるともう少し便利になりそうです。

両者の比較

まず、一見便利なICOのテンプレート方式ですが、域内の一人の主体から域外の一人の主体への個人データの移転というかなりシンプルなデータフローを前提としているため、個人データの流れが複雑になると、使えない場合が出てきます。他方で、EDPB方式は、いわばテンプレートを作るための説明書なので、複雑なデータフローにも対応できます。

次に、方式と言うよりは中身の問題なのですが、ICOとEDPBでは、TRAのアプローチに若干の相違があります。ICOは、データ移転によってデータ主体の権利が侵害されるリスクに着目する一方で、EDPBは、EUと移転先の国の法律や慣行を比較することに重きを置いています。あと、一概には言えませんが、ぼくの感覚では、EDPBの方が、より保守的です。

さらに、ICOは、UK域外への個人データの移転について、EDPBのガイダンスに従って行ったTRAの有効性を認めています。つまり、UK域外・EU域外の両方について、統一的なTRAを実施することが可能です。他方で、EU域外の個人データ移転について、ICOのテンプレートを利用できるのか、定かではありません。

ぼくは、いつもこのnoteでGDPRとUK GDPRはほぼ同じと言い続けていますが、TRAに関してはじわじわと違いが表れ始めています。

まとめ

いかがだったでしょうか。
次のようにまとめます。

・　TRAとは、適切な保護措置に依拠して行う域外への個人データの移転に関して、管理者が事前に行なうリスク評価
・　TRAの不実施は、GDPRの違反となる可能性が高い
・　UKとEUで、TRAに対するアプローチは微妙に異なる

ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。

---

【注釈】
*1　英語ではTransfer Risk Assessmentです。Transfer Impact Assessmentと呼ばれることもあります。TRAは、ICOが使っている定義で、TIAは、どちらかと言えばEU圏で好まれます。
*2　こちらの"In Brief"の項をご覧ください。

---

免責事項：
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。

---

X（Twitter）もやっています。
こちらから、フォローお願いします！

このほかにも、データ法に関する解説を書いています。
よければご覧ください。

データ法を解説します｜弁護士 古田 俊文 (toshful)｜note