01 情報セキュリティ, 個人情報保護法, 外国法

今回は, 「適切な保護措置」に基づくEU域内からEU域外への個人データ移転について解説します。

なお, 本稿で, 「EU域内」, 「EU域外」とは, GDPRはEU以外の国も含む欧州経済領域(European Economic Area：EEAに適用されるので, 実際には「EEA域内」, 「EEA域外」ですが, 記述の都合上, 「EU域内」, 「EU域外」とします。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 「適切な保護措置」に基づく移転とは？

Q2: 拘束的企業準則(BCR)に基づく移転とは？

Q3: BCRの承認条件は？

Q4: 標準データ保護条項(SDPC)(SCC)に基づく移転とは？

Q5: 行動規範／データ保護認証に基づく移転とは？

Q1: 「適切な保護措置」に基づく移転とは？

A1: GDPR上, 以下のように規定されています。

— 個人データの移転先の第三国について十分性認定がない場合でも, 移転元である管理者または処理者(以下「管理者等」)は, 以下の二つのことを条件として, 第三国に個人データを移転することができる(46(1),(2))。

(i)移転元の管理者等が「適切な保護措置」(appropriate safeguards)を講じること

(ii)データ主体が権利を行使することができ(enforceable)かつ実効性ある(effective)法的救済(legal remedies)^[1]を受けることができる(available)こと

上記(i)の「適切な保護措置」(appropriate safeguards)としては以下のものが挙げられています。

①拘束的企業準則(Binding Corporate Rules：BCR)(47)

②標準データ保護条項(Standard Data Protection Clause：SDPCまたはStandard Contractual Clause：SCC)

③行動規範(Code of Conduct)またはデータ保護認証制度(Data Protection Certification Mechanisms)

page top

Q2: 拘束的企業準則(BCR)に基づく移転とは？

拘束的企業準則(Binding Corporate Rules)(BCR)に基づく移転とは, 管轄監督機関が承認した拘束力ある企業グループ内規則(BCR)に基づきグループ企業間において第三国に個人データを移転することです(46(2)(b),47)。

【解　説】

BCRのメリットは, 一旦BCRの承認を得れば, グループ企業間に限られるものの, SCCの個別締結が不要なこと, 監督機関の関与を通じコンプライアンス体制を構築でき違反リスク減少が期待されること等です。

BCRのデメリットとしては, 承認を得るための費用・時間・労力の負担が大きい事がなど指摘されています。また, EUの域内・域外を問わず, また, グループ外企業への移転には利用できません。

BCR承認取得済み日本関連企業：本稿執筆時点で, 欧州委員会のWebサイトに掲載されているBCR承認取得済み企業リスト^[2]には, 日本企業関連と分かるものでは, 楽天グループ, IIJジャパングループ, 公文グループ, フジクラオートモーティブヨーロッパグループ(FAEグループ)が掲載されてます。

page top

Q3: BCRの承認条件は？

A3:以下の通り規定されています。^[3]

—管轄監督機関は, BCRが次の全ての条件を満たす場合, そのBCRを承認しなければならない。但し, 事前に欧州データ保護会議(EDPB)の意見を照会する等, 第63条(EU全域におけるGDPRの一貫した適用を確保するための制度)に従わなければならない(47(1))。

【BCR承認条件】

(a)BCRに法的拘束性があること。また, BCRが, 事業体グループ(the group of undertakings)(4(19))(*1)または共同で経済活動を行う企業体グループ(group of enterprises engaged in a joint economic activity)(4(18))(*2)(以下総称して単に「企業グループ」という)の全関係者(その従業員を含む)に適用および執行されること。

—(*1)支配管理(control)する企業および当該企業により支配管理される企業を意味する(4(19))。[親子関係等がある企業グループ]

—(*2)その法的形態を問わず, 一経済活動(an economic activity)に通常業務として(regularly)従事する個人またはパートナーシップ, アソシエーションその他法人を意味する(4(18))。[上記との対比で親子関係等がない企業同士と思われる。]

(b)個人データの処理について, データ主体に対し執行可能な権利(enforceable)を明示的に付与していること。

(c)次の事項を全て規定していること(BCRの裁定規定事項)

① 企業グループまたはそのメンバー企業(以下単に「メンバー」という)の組織(structure)およびこれらへの連絡方法(contact details)

② メンバー間で行われる個人データの移転の内容(個人データ・処理・データ主体のカテゴリー, 処理の目的, 移転先国等)

③ BCRの対内的および対外的法的拘束性(legally binding nature)

④ 以下を含む, データ保護の原則が適用されること。

—目的の制限／データ最小化／保存期間の制限／データの正確性(data quality)／設計段階からのかつ標準設定でのデータ保護(Data protection by design and by default)／処理の適法性の根拠／特別カテゴリーの個人データの処理

—セキュリティー確保措置／BCRの拘束を受けない者への再移転の条件

⑤ 以下を含む, データ主体の権利およびその行使手段

—完全自動意思決定に服しない権利(22)／管轄監督機関への苦情申立権／加盟国の裁判所への提訴権(79)／救済を受ける権利／BCR違反に対する損害賠償請求権

⑥ EU域内管理者等による責任引受： EU域内で設立されていない[＝EU域外に本社等がある]メンバーがBCRに違反した場合の法的責任を加盟国内の管理者等が引受けること(acceptance)。—なお, これら加盟国内の管理者等は, 損害発生原因に責任がないことを立証した場合のみ, 責任の全部または一部を免れることができる。

⑦ 以下を含む, BCRに関する情報をデータ主体に提供する方法

—GDPR第13・14条に定める[個人データ取得の際にデータ主体に提供すべき]情報／上記④～⑥に関する情報

⑧ 企業グループ内のDPO, その他BCRの遵守・研修・苦情申立対応に責任を負う者(個人または組織)とその責任

⑨ 苦情申立手続

⑩ BCR遵守の検証(verification)メカニズム。—このメカニズムには, データ保護監査および是正措置を含めなければならない。この検証結果は, DPO, 企業グループ内の支配企業(controlling undertaking)の役員会議(board)および(要求があれば)管轄監督機関に報告・提出しなければならない。

⑪ 企業グループ内でのBCRの改訂の報告・記録および監督機関への報告の方法

⑫ 監督機関との協力体制(上記⑩の検証結果提供を含む)

⑬ メンバーのいずれかに適用されBCR[実施・遵守]に実質的悪影響を及ぼす(a substantial adverse effect)おそれがある(likely)第三国の法令がある場合, これを監督機関に報告するための制度

⑭ 個人データにアクセスする役員・従業員に対するデータ保護研修(data protection training)

page top

Q4: 標準データ保護条項(SDPC)(SCC)に基づく移転とは？

A4: 標準データ保護条項(Standard Data Protection Clause)(SDPC)(46(2)(c)(d))は, 個人データの移転元と移転先の間で, 欧州委員会が採択(または各監督機関が採択し欧州委員会が承認)した契約条項を内容とする契約を締結しこれに基づき個人データを移転するものです(46(2)(b),(c))。

但し, その実際の名称としては, 現在まで, データ保護指令以来の標準契約条項：Standard Contractual Clause(SCC)が使用されています。

SCCの内容については次回詳しく解説します。

page top

Q5: 行動規範／データ保護認証に基づく移転とは？

A5: 行動規範(Code of Conduct)とは, 業界団体等がGDPRの適切な遵守を目的として作成し監督機関が承認(40(2)(5))・登録・公表(40(6))する規範です。行動規範に基づく移転とは, 同規範に従い第三国に個人データを移転することです(46(2)(e))。

データ保護認証制度(Data Protection Certification Mechanisms) とは, 管理者等による個人データ処理がGDPRに適合していることを監督機関が認定した機関等が証明する制度(42)です。 データ保護認証制度に基づく移転とは, 同認証(42(5),43)を受けた第三国の者に個人データを移転することです(46(2)(f))。

行動規範およびデータ保護認証については, また, 後で解説します。

今回は以上です。

【筆者の最近の主な個人情報保護関連書籍・記事】

NEW!! “China Data and Personal Information Laws” 2022/1/31

「中国データ・情報関連法」 2021/9/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[4]

【注】

^[1] 【法的救済(judicial/legal/ remedy)】　一般的意味は, 権利等を侵害された者に対し, 法の規定に従いその損害・被害回復・防止のために裁判所が行う法的措置。損害賠償・特定履行(specific performance：契約履行等の特定行為)・差止等の命令, 無効宣言等。

^[2] 【BCR承認取得済み企業リスト】(1) 2018年5月25日まで認定分：欧州委員会サイト"Companies for which the EU binding corporate rules cooperation procedure is closed", "BCR overview until 25th May 2018." (2) 2018年5月25日より後の認定分：”Approved Binding Corporate Rules”

^[3] 【BCRの承認手続およびBCRの構成と要件】 以下の欧州委員会のサイトから参考資料を入手できる。”Binding Corporate Rules (BCR) Corporate rules for data transfers within multinational companies.”

[4]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録