CIPP/E・GBL研究所理事 浅井敏雄[1]
【目 次】
はじめに
2021年6月4日, 欧州委員会は, EUの一般データ保護規則(GDPR)に基づき個人データをEUの域内から域外の第三国に移転するための新たなStandard Contractual Clauses(以下「新SCC」という)を採択する最終決定を行い, 同決定はこちらの通りEUの官報に同年6月7日掲載されました(この決定のANNEXとして新SCCが添付されています)。 この新SCCは, 以前の記事で紹介した, 2020年7月のEU司法裁判所(CJEU)によるプライバシーシールド(米国への十分性認定)無効判決(以下「Schrems II判決」という)を契機として, 従来のSCC(以下「旧SCC」という)に代わるものとして作成されたものです。 日本企業も, その欧州子会社等から日本を含むEU域外に個人データを移転する手段として旧SCCを利用していたケースが多いのでないかと思われ, 今後どのように対応すべきかの検討が必要となります。 そこで本稿では, 以下に新SCCの概要を, また, こちらに新SCC全訳(筆者仮訳)を紹介します。日程(新SCC利用開始・旧SCC廃止等)
新SCCに関連する日程を以下に示します。|
2021年6月4日 |
新SCC採択決定(以下「決定」という)日。 |
|
2021年6月7日 |
決定のEU官報掲載日。 |
|
2021年6月27日 |
上記官報掲載日から20日後。決定発効(決定4条(1))。同日以降新SCCの利用可能。 |
|
2021年9月27日 |
旧SCC廃止。同日前までは旧SCCの締結可能。同日以降は旧SCCの締結不可/新SCCのみ締結可能。 |
|
2022年12月27日 |
締結済み旧SCC失効(決定4条(2),(3))。それまでは締結済み旧SCCによる移転は有効(但し, その対象である個人データ処理に変更がなくかつ旧SCCが対象の移転に関し適切な保護措置となっていることが保証される場合に限る)(決定4条(4))。従って, この日前までに締結済みの旧SCCを新SCC(または十分性認定)に切り替え要。 |
新SCCの構造・構成
1. 新SCCの構造 - 移転タイプ(モジュール)ごとの適用条項・記載事項 新SCCは, 下表の通り, 主にEU域内のデータ輸出者(以下「移転元」という)とEU域外のデータ輸出者(以下「移転先」という)との関係に応じ以下の4タイプの移転をカバーできるようになっており, この移転タイプごとに適用される契約条項と別紙等の記載事項がモジュール1~4として用意されています。 (下表の注)「管理者」:単独でまたは他の者と共同して個人データの処理の目的および手段を決定する者(GDPR 4条(7))。「処理者」:管理者に代わり個人データを処理する者(GDPR 4条(8)), 「再処理者」:処理者から個人データの処理の再委託を受けた者。| (移転元・移転先の関係による)移転タイプ | 適用される契約条項・要記載事項 |
| ①管理者から管理者への移転 | モジュール1 |
| ②管理者から処理者への移転 | モジュール2 |
| ③(他の管理者の)処理者から(再)処理者への移転 | モジュール3 |
| ④処理者から管理者への移転 | モジュール4 |
|
契約本文(各条ごとにモジュール別の契約条項が記載されている) |
||
|
第1条(目的と範囲)/第2条(SCCの効果と変更禁止)/第3条(データ主体の第三受益者としての権利)/第4条(SCCの解釈)/第5条(他の契約等に対するSCCの優先)/第6条(移転の内容)/第7条(後からの当事者追加:参加)/第8条(データ保護措置)/第9条(処理者である移転先からの処理再委託)/第10条(データ主体の権利)/第11条(データ主体からの苦情の対応・紛争解決)/第12条(損害賠償責任・求償)/第13条(監督機関)/第14条(SCC遵守を妨げる移転先国法令・実務の不存在保証等)/第15条(移転先国の公的機関からの開示要求等への対応)/第16条(SCC不遵守と契約解除)/第17条(準拠法)/第18条(裁判管轄) |
||
|
Appendix(移転または関係ごとに複数添付可) |
||
| Annex I | A. 当事者のリスト |
データ輸出者/データ輸入者それぞれ複数可。 |
| B. 移転の内容 |
データ主体・個人データのカテゴリー/機微個人データの保護措置/移転の頻度/移転目的・移転後の処理目的/保存期間/(処理者への移転の場合)委託処理の対象・内容・期間, などを記載。 |
|
| C. 管轄監督機関 |
第13条に従いEU加盟国の監督機関指定(モジュール4は適用なし) |
|
| Annex II |
セキュリティー等のための技術的・組織的措置を具体的に記載(記載項目の例として仮名化・暗号化等計17項目が挙げられている)(モジュール4は適用なし) |
|
| Annex III |
(処理者への移転の場合)管理者が事前承諾した再処理者のリスト(モジュール2・3のみ) |
|
新SCCの特徴
新SCCの特徴として以下のような点を挙げることができます。 1. SCCの利用上の柔軟性強化 ・旧SCCでは上記移転タイプ①・②しかありませんでしたが, 新SCCでは上記移転タイプ③・④もカバーしています。 ・旧SCCは, 移転元・移転先各1社しか想定されていませんでした。新SCCでは移転元・移転先いずれも複数社可能です(従って, 企業グループ内での移転に利用し易くなった) ・新SCC締結後に他の者が参加することが可能です(SCC第7条)。 ・GDPR第3条2項によりGDPRの域外適用を受ける第三国の者からEU域外への移転にも新SCC利用可能(SCC第13条参照)。 2. Schrems II判決対策 第14条・第15条等が追加されました。要旨以下の通りです。 【第14条】両当事者は, 各移転・移転後の処理の個別事情、移転先国における, 公的機関へのデータ開示を要求する(または公的機関によるアクセスを許容する)法令・実務, それを踏まえた上で当事者が講じる個人データ保護措置, その他例示された事項などを評価した上で, 移転先国法令・実務が移転先によるSCC上の義務履行を妨げないことを保証し, この評価(“Transfer Impact Assessment”(データ移転影響評価)と呼ばれることがある)を文書化し, かつ, 要求に応じ同文書を管轄監督機関に提出する。SCC締結後この保証に反することを認識した場合, 移転先は移転元に通知し, 移転元は必要に応じ移転中断・SCC解除可能。 【第15条】移転先は, 実際に公的機関から開示要求を受けた場合, 移転元(および可能であればデータ主体)に通知し, 可能なら異議申立をし, 応じざるを得ない場合も開示範囲を最小限とする。 3, 移転先の義務およびデータ主体の権利の大幅拡大 旧SCC, 例えば, 管理者から管理者への移転用の旧SCCでは, データ主体は, 第三受益者(日本法で言えば「第三者のためにする契約」の第三者)として, 移転元だけでなく移転先に対しても, SCC上の一部義務について権利行使できることになっていました。しかしその対象となる移転先の義務はセキュリティー確保・処理目的限定等の義務に限定されていました。 しかし, 新SCCでは, 以下の例示のように, あたかも移転先がEU域外ではなくEU域内にあるかのように, 移転先はGDPR上の管理者等の義務とほぼ同様の義務を負うとともに, データ主体は直接移転先に対してGDPR上の権利とほぼ同様の権利を行使できるようになっています。 【新SCC上の移転先の義務・データ主体の権利 - 例:上記移転タイプ①:モジュール1の場合】 ・移転先の, GDPR第5条の処理の基本原則の遵守義務(8.1~8.4) ・移転先は, 処理のセキュリティー措置を別紙(Annex II)に具体的に記載し遵守/個人データ侵害発生時は直接監督機関および高度リスクの場合にはデータ主体に通知(8.5) ・移転先の, 機微個人データ(特別カテゴリーの個人データ+有罪・犯罪歴)についての特別な処理制限・追加保護措置義務(8.6) ・移転先は, 個人データをEU域外(移転先国を含む)の第三者(処理者を含む)に開示(再移転)する場合, GDPR上の域外移転と同様の制限に従う(例えば, その第三者もその新SCCに同意要)(8.7) ・移転先の, SCC遵守証明/処理の文書化/監督機関への同文書提出義務(8.9) ・データ主体は直接移転先に対してGDPR上の権利とほぼ同様の権利を行使可能(10) ・データ主体は移転先についてもEU加盟国の監督機関・裁判所に苦情申立・提訴可能(11) ・移転元・移転先のデータ主体に対する損害賠償責任(12) ・移転先の, EU加盟国の監督機関の管轄・その措置(是正命令・賠償命令等)に服す義務(13) ・移転先の, EU加盟国裁判所の管轄に服す義務(18)日本への移転の選択肢およびSCC・十分性認定比較
1. 日本への移転の選択肢 今後以下のような選択肢があります(BCRは取得の負担が大きく一般には現実的ではないのでここでは検討しません)。 (1). 移転先が処理者の場合(上記移転タイプ②・③)| 域外移転の根拠 |
必要な手続 |
| (選択肢1)新SCC | 新SCCの締結(モジュール2または3) |
| (選択肢2)十分性認定 |
・移転先(日本側)で補完的ルール遵守体制の整備(社内規程の整備・社印研修等) ・委託元・委託先間の処理委託契約(今回同時に採択された処理委託用SCCを利用または独自作成したGDPR第28条の要件を満たす契約を使用) |
| 域外移転の根拠 | 必要な手続 |
| (選択肢1)新SCC |
新SCCの締結(モジュール1)+共同管理に関する特約(GDPR 26条) |
| (選択肢2)十分性認定 |
・移転先(日本側)で補完的ルール遵守体制の整備(社内規程の整備・社印研修等) ・委託元・委託先間で共同管理の取り決め(契約, 企業グループ内取決め等) |
| 域外移転の根拠 | 必要な手続 |
| (選択肢1)新SCC |
新SCCの締結(モジュール1) |
| (選択肢2)十分性認定 |
・移転先(日本側)で補完的ルール遵守体制の整備(社内規程の整備・社印研修等) ・委託元・委託先間で移転契約(*) |
| 域外移転の根拠 | 必要な手続 |
| (選択肢1)新SCC | 新SCCの締結(モジュール1) |
| (選択肢2)十分性認定 |
・移転先(日本側)で補完的ルール遵守体制の整備(社内規程の整備・社印研修等) ・委託元・委託先間で(移転先から移転元への)処理委託契約 |
企業の要対応事項
企業としては以下のような対応が必要と思われます。 (1)日本への移転について ①前記の日程を踏まえ, 2021年9月27日以降に新たに発生する日本への移転(締結済みの旧SCC上の移転とことなる種類の移転)についてはその実施までに移転の根拠を新SCC, 十分性認定いずれにするかを決定すること。 ②既に締結済みの旧SCCについては, 2022年12月27日までに, 日本への移転の根拠を新SCC, 十分性認定いずれに切り替えるのかを決定すること。 ③上記①・②の決定に際しては, 移転元, 移転先(日本側), データ主体, いずれの利益を優先するかも含め, 新SCC, 十分性認定いずれを選択するかを決定すること(但し新SCCに比べ十分性認定は移転元に不利なので, 移転元が日本側の子会社等でない限り受入れさせることは困難かもしれません)。 (2)日本以外の国への移転について 十分性認定国(カナダ等)以外, ほとんどの国への移転について新SCCに切り替える他ないが, その前提としてTransfer Impact Assessment(データ移転影響評価)が必要。特に移転先が米国, 中国, ロシア等の場合要注意。以 上
[1] CIPP/E (Certified Information Privacy Professional/Europe)/一般社団法人GBL研究所理事/UniLaw 企業法務研究所代表