【データ法】国際データ移転規制(GDPR) ー十分性認定とEU SCCsー
こんにちは。
お読みいただきありがとうございます。
本日のテーマは、国際データ移転に関するGDPR上の規制です。
以前、GDPRの域外適用について書きました。
EUの域外に所在する事業者であっても、域内のユーザーに商品・サービスを提供していたり、モニタリングを行っている場合には、GDPRの適用があるという話でした。
この規定が、GDPRが定める高額な制裁金と、アグレッシブなデータ保護当局の存在とあいまって、海外事業者をビビらせているわけです。
もっとも、EU又はUKに拠点を持つ日本企業にとって、もっと留意すべきなのは、域外適用よりも国際データ移転に関する規定ではないかと、個人的には感じています。
本日は、国際データ移転に関する規制の基本的なところを紹介できればと思っています。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
なぜ、国際データ移転は規制されるのか
GDPRには、「国際データ移転」の定義はありません。しかし、一般的には、第5章のタイトルを参考に、第三国(又は国際機関)への個人データの移転を指す用語として用いられています。
GDPRは、EU加盟国全てに統一的に適用される規則であり、個人データが域内を移転する限りは、移転後も、GDPRに準拠して処理されるはずです。
しかし、国際データ移転の場合は事情が違います。例えば、個人データがひとたびデータ保護法制が不十分な国に移転してしまえば、その個人データが悪用され放題という事態も生じかねません。
加えて、個人データは、人やモノとは異なり、大した障壁もなく容易に国境を超えることが可能です。
このような事情を考えると、個人データが第三国に移転することでデータ主体の権利と自由が損なわれる事態を防ぐ必要がありますよね。そのため、GDPRは、国際データ移転を規制しているというわけです。
国際データ移転が起こる事例
規制の中身を見ていく前に、イメージしやすいように、どのような場面で国際データ移転が生じるのかを見ていきます。
① 日本の本社によるEU(又は英国)の現地法人の管理
日本企業がEUや英国に現地法人を設立している場合、現地法人がどれだけ巨大な組織であっても、その運営を彼らの全くのフリーハンドに任せている会社は、ほとんどいないのではないでしょうか。株主としての権利を行使したり、従業員を現地法人の取締役に置いたりすることで、多かれ少なかれ、モニタリングが行われているはずです。
そうなると、日本本社は、現地法人から人事に関するデータ、取引先や顧客のデータを一切受け取らずに現地法人を運営することは不可能に近く、必然的に、個人データが域外(日本)に移転することになります。
もし、個人データの移転経路が、現地法人→日本本社のみである場合には、日本は十分性認定(後述します。)を受けているため、大きな問題になりませんが、移転の過程で他の国が挟まる場合、これは厄介な問題を引き起こします。
② EU(又は英国)の現地法人による域外の処理者の利用
パッと思い浮かぶのは、域外の事業者が提供するSaaSを利用する場合ですね。もっとも、大手のプロバイダーのほとんどは、GDPRに準拠するように利用規約や契約書を調整していると思います。現地法人が、管理者といえども実態はサービスプロバイダーの「お客さん」的立ち位置にいる場合には、国際データ移転に神経質になりすぎる必要性は低いかもしれません。
他方で、域外の代理店を使ってマーケティングをする場合のように、文字通り管理者の立場で個人データを処理する場合には、国際データ移転の規制の遵守に慎重になるべきです。
国際データ移転における原則
GDPRは、次のように定めています(*1)。
(国際データ移転は)本規則の他の条項に従い、本章に定める要件が管理者及び処理者によって遵守される場合においてのみ行われる。
つまり、国際データ移転は、原則として禁止されています。裏を返せば、
GDPRは、所定の要件に従う場合に限って、例外的に国際データ移転を認めています。
例外①:十分性認定のある国への移転
既に述べたとおり、GDPRが国際データ移転を規制するのは、個人データ保護法制が不十分な国に個人データが移転してしまうことで、データ主体の権利が害される可能性があるからです。
そうだとすれば、個人データ保護法制がGDPRと同等に整備されている国への移転であれば、国際データ移転を禁止する理由はないはずです。
そこで、GDPRは、欧州委員会(EC)がデータ保護法制が十分であると認定した国等(*2)への国際データ移転を認めています。このような認定のことを十分性認定(adequacy decision)と呼んでいます。
現在、GDPRにおいて、十分性認定を受けている国等は、次のとおりです。
・アンドラ ・アルゼンチン ・カナダ ・フェロー諸島 ・ガーンジー島 ・マン島 ・イスラエル ・ジャージー ・ニュージーランド ・スイス ・ウルグアイ ・日本 ・韓国 ・UK
なお、UK GDPRにおいて、十分性認定を受けている国は、GDPRのそれと一致しており、GDPRがUKを十分性認定しているように、UK GDPRはEEA(EU+ノルウェー、アイスランド、リヒテンシュタイン)について、十分性認定を行っています。
このように、国際データ移転の問題に直面したら、まずは、移転先が十分性認定を受けているかどうかを確認してください。
例外②:適切な保護措置の下での移転
例外①を利用できない場合の対応として、GDPRは、適切な保護措置(appropriate safeguards)をリストアップしています(*3)。この適切な保護措置の下で国際データ移転を行うことで、GDPRに準拠することができます。
適切な保護措置は、全部で7種類あります。これらは大きく、2つの類型に分けることが可能じゃないかと思っています。
契約ルート:欧州委員会などの関与の下で策定された所定の条件に基づいて行う国際データ移転
認証・行動規範ルート:欧州委員会などの認証や行動規範に基づいて行う国際データ移転
もっとも、実務上、利用されているのは、契約ルートの一つである標準データ保護条項に基づく国際データ移転です(*4)。誤解を恐れずに言うと、手続コストと利便性を考えれば、実務上はこのスキーム一択だと思っています。
標準データ保護条項は、欧州委員会などが作成した、国際データ移転に当たって当事者が締結するデータ移転契約のひな型であり、EU SCCs(standard contractual caluses)などと呼ばれています。UK GDPRでは、ITDA(International Data Transfer Agreement)と呼ばれています。ややこしいので、できれば統一した呼び方にしてほしいですよね。
十分性認定のない国の受領者に個人データを移転する場合には、受領者との間でEU SCCs(ITDA)を締結することになります。なお、基本的に、当事者がEU SCCsの内容に変更を加えることは想定されておらず、そのままの内容で契約を締結しなければなりません。
例外③:特定の状況下での移転
見出しがざっくりとし過ぎていますがご容赦ください。
GDPRは、例外①も例外②も利用できない場合に、特定の状況下での国際データ移転を認めています(*5)。
例えば、次のような場合です。
データ主体が物理的又は法的に同意を与えることができない場合において、データ主体又はそれ以外の者の生命に関する利益を保護するために移転が必要となる場合
かなり例外的な場合だと、直感的に分かって頂けるでしょうか。
平時のビジネスでの国際データ移転に関して、例外③に依拠することはまず無いと思って頂いて良いと思います。
まとめ
いかがだったでしょうか。
国際データ移転に関するGDPRの規制をまとめると次の通りです。
・ 国際データ移転は、原則として認められない
・ 例外①:移転先の国が十分性認定を得ている
・ 例外②:適切な保護措置(基本的にEU SCC/ITDA)の下での移転である
・ 例外③:いろいろとあるが、利用することはほとんどない
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
【注釈】
*1 GDPR, Art 44
*2 国等とは、国、地域、特定の部門、国際機関です。GDPR, Art 45をご参照ください。
*3 GDPR, Art 46
*4 GDPR, Art 46(2)(c)
*5 GDPR, Art 49
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。
この記事が気に入ったらサポートをしてみませんか?