GDPR新SCC最終版公表について(概要と全訳)
2021/06/11   海外法務, コンプライアンス, 情報セキュリティ, 個人情報保護法, 外国法

 

CIPP/E・GBL研究所理事 浅井敏雄[1]


【目  次】


 はじめに


 日程(新SCC利用開始・旧SCC廃止等)


 新SCCの構造・構成


 新SCCの特徴


 日本への移転の選択肢およびSCC・十分性認定比較


 企業の要対応事項

はじめに


2021年6月4日, 欧州委員会は, EUの一般データ保護規則(GDPR)に基づき個人データをEUの域内から域外の第三国に移転するための新たなStandard Contractual Clauses(以下「新SCC」という)を採択する最終決定を行い, 同決定はこちらの通りEUの官報に同年6月7日掲載されました(この決定のANNEXとして新SCCが添付されています)。

この新SCCは, 以前の記事で紹介した, 2020年7月のEU司法裁判所(CJEU)によるプライバシーシールド(米国への十分性認定)無効判決(以下「Schrems II判決」という)を契機として, 従来のSCC(以下「旧SCC」という)に代わるものとして作成されたものです。

日本企業も, その欧州子会社等から日本を含むEU域外に個人データを移転する手段として旧SCCを利用していたケースが多いのでないかと思われ, 今後どのように対応すべきかの検討が必要となります。

そこで本稿では, 以下に新SCCの概要を, また, こちらに新SCC全訳(筆者仮訳)を紹介します。

 

日程(新SCC利用開始・旧SCC廃止等)


 新SCCに関連する日程を以下に示します。
 

2021年6月4日


 

新SCC採択決定(以下「決定」という)日。


 

2021年6月7日


 

決定のEU官報掲載日。


 

2021年6月27日


 

上記官報掲載日から20日後。決定発効(決定4条(1))。同日以降新SCCの利用可能。


 

2021年9月27日


 

旧SCC廃止。同日前までは旧SCCの締結可能。同日以降は旧SCCの締結不可/新SCCのみ締結可能。


 

2022年12月27日



 

締結済み旧SCC失効(決定4条(2),(3))。それまでは締結済み旧SCCによる移転は有効(但し, その対象である個人データ処理に変更がなくかつ旧SCCが対象の移転に関し適切な保護措置となっていることが保証される場合に限る)(決定4条(4))。従って, この日前までに締結済みの旧SCCを新SCC(または十分性認定)に切り替え要。


 

新SCCの構造・構成


1. 新SCCの構造 - 移転タイプ(モジュール)ごとの適用条項・記載事項

 新SCCは, 下表の通り, 主にEU域内のデータ輸出者(以下「移転元」という)とEU域外のデータ輸出者(以下「移転先」という)との関係に応じ以下の4タイプの移転をカバーできるようになっており, この移転タイプごとに適用される契約条項と別紙等の記載事項がモジュール1~4として用意されています

(下表の注)「管理者」:単独でまたは他の者と共同して個人データの処理の目的および手段を決定する者(GDPR 4条(7))。「処理者」:管理者に代わり個人データを処理する者(GDPR 4条(8)), 「再処理者」:処理者から個人データの処理の再委託を受けた者。

 

(移転元・移転先の関係による)移転タイプ

 

適用される契約条項・要記載事項

 

①管理者から管理者への移転

 

モジュール1

 

②管理者から処理者への移転

 

モジュール2

 

③(他の管理者の)処理者から(再)処理者への移転

 

モジュール3

 

④処理者から管理者への移転

 

モジュール4

従って, 実際に新SCCを締結する場合は, 上記の移転タイプに対応するモジュールの契約条項(オプション条項もある)を選択しかつその移転タイプに応じ別紙Appendix(一部契約本文中)に必要事項を記入することになります。

 

2. 新SCCの構成:本文・別紙

 以下のような構成となっています(各条の後の括弧内は主な規定項目)。

 

契約本文(各条ごとにモジュール別の契約条項が記載されている)


 

第1条(目的と範囲)/第2条(SCCの効果と変更禁止)/第3条(データ主体の第三受益者としての権利)/第4条(SCCの解釈)/第5条(他の契約等に対するSCCの優先)/第6条(移転の内容)/第7条(後からの当事者追加:参加)/第8条(データ保護措置)/第9条(処理者である移転先からの処理再委託)/第10条(データ主体の権利)/第11条(データ主体からの苦情の対応・紛争解決)/第12条(損害賠償責任・求償)/第13条(監督機関)/第14条(SCC遵守を妨げる移転先国法令・実務の不存在保証等)/第15条(移転先国の公的機関からの開示要求等への対応)/第16条(SCC不遵守と契約解除)/第17条(準拠法)/第18条(裁判管轄)


 

Appendix(移転または関係ごとに複数添付可)


 

Annex I

 

A. 当事者のリスト

 

データ輸出者/データ輸入者それぞれ複数可


  

B. 移転の内容

 

データ主体・個人データのカテゴリー/機微個人データの保護措置/移転の頻度/移転目的・移転後の処理目的/保存期間/(処理者への移転の場合)委託処理の対象・内容・期間, などを記載。


  

C. 管轄監督機関

 

第13条に従いEU加盟国の監督機関指定(モジュール4は適用なし)


 

Annex II

 

セキュリティー等のための技術的・組織的措置を具体的に記載(記載項目の例として仮名化・暗号化等計17項目が挙げられている)(モジュール4は適用なし)


 

Annex III

 

(処理者への移転の場合)管理者が事前承諾した再処理者のリスト(モジュール2・3のみ)


 

新SCCの特徴


新SCCの特徴として以下のような点を挙げることができます。

1. SCCの利用上の柔軟性強化

・旧SCCでは上記移転タイプ①・②しかありませんでしたが, 新SCCでは上記移転タイプ③・④もカバーしています。

・旧SCCは, 移転元・移転先各1社しか想定されていませんでした。新SCCでは移転元・移転先いずれも複数社可能です(従って, 企業グループ内での移転に利用し易くなった)

新SCC締結後に他の者が参加することが可能です(SCC第7条)。

・GDPR第3条2項によりGDPRの域外適用を受ける第三国の者からEU域外への移転にも新SCC利用可能(SCC第13条参照)。

 

2. Schrems II判決対策

第14条・第15条等が追加されました。要旨以下の通りです。

【第14条】両当事者は, 各移転・移転後の処理の個別事情、移転先国における, 公的機関へのデータ開示を要求する(または公的機関によるアクセスを許容する)法令・実務, それを踏まえた上で当事者が講じる個人データ保護措置, その他例示された事項などを評価した上で, 移転先国法令・実務が移転先によるSCC上の義務履行を妨げないことを保証し, この評価(“Transfer Impact Assessment”(データ移転影響評価)と呼ばれることがある)を文書化し, かつ, 要求に応じ同文書を管轄監督機関に提出する。SCC締結後この保証に反することを認識した場合, 移転先は移転元に通知し, 移転元は必要に応じ移転中断・SCC解除可能

【第15条】移転先は, 実際に公的機関から開示要求を受けた場合, 移転元(および可能であればデータ主体)に通知し, 可能なら異議申立をし, 応じざるを得ない場合も開示範囲を最小限とする。

 

3, 移転先の義務およびデータ主体の権利の大幅拡大

 旧SCC, 例えば, 管理者から管理者への移転用の旧SCCでは, データ主体は, 第三受益者(日本法で言えば「第三者のためにする契約」の第三者)として, 移転元だけでなく移転先に対しても, SCC上の一部義務について権利行使できることになっていました。しかしその対象となる移転先の義務はセキュリティー確保・処理目的限定等の義務に限定されていました。

しかし, 新SCCでは, 以下の例示のように, あたかも移転先がEU域外ではなくEU域内にあるかのように, 移転先はGDPR上の管理者等の義務とほぼ同様の義務を負うとともに, データ主体は直接移転先に対してGDPR上の権利とほぼ同様の権利を行使できるようになっています。

【新SCC上の移転先の義務・データ主体の権利 - 例:上記移転タイプ①:モジュール1の場合】

移転先の, GDPR第5条の処理の基本原則の遵守義務(8.1~8.4)

移転先は, 処理のセキュリティー措置を別紙(Annex II)に具体的に記載し遵守個人データ侵害発生時は直接監督機関および高度リスクの場合にはデータ主体に通知(8.5)

・移転先の, 機微個人データ(特別カテゴリーの個人データ+有罪・犯罪歴)についての特別な処理制限・追加保護措置義務(8.6)

移転先は, 個人データをEU域外(移転先国を含む)の第三者(処理者を含む)に開示(再移転)する場合, GDPR上の域外移転と同様の制限に従う(例えば, その第三者もその新SCCに同意要)(8.7)

・移転先の, SCC遵守証明/処理の文書化/監督機関への同文書提出義務(8.9)

データ主体は直接移転先に対してGDPR上の権利とほぼ同様の権利を行使可能(10)

データ主体は移転先についてもEU加盟国の監督機関・裁判所に苦情申立・提訴可能(11)

・移転元・移転先のデータ主体に対する損害賠償責任(12)

移転先の, EU加盟国の監督機関の管轄・その措置(是正命令・賠償命令等)に服す義務(13)

・移転先の, EU加盟国裁判所の管轄に服す義務(18)

 

日本への移転の選択肢およびSCC・十分性認定比較


1. 日本への移転の選択肢

今後以下のような選択肢があります(BCRは取得の負担が大きく一般には現実的ではないのでここでは検討しません)。

(1). 移転先が処理者の場合(上記移転タイプ②・③)

 

域外移転の根拠

 

必要な手続


 

(選択肢1)新SCC

 

新SCCの締結(モジュール2または3)

 

(選択肢2)十分性認定

 

・移転先(日本側)で補完的ルール遵守体制の整備(社内規程の整備・社印研修等)


・委託元・委託先間の処理委託契約(今回同時に採択された処理委託用SCCを利用または独自作成したGDPR第28条の要件を満たす契約を使用)


 

(2). 移転先が共同管理者(GDPR第26条)の場合(上記移転タイプ①)

 

域外移転の根拠

 

必要な手続

 

(選択肢1)新SCC

 

新SCCの締結(モジュール1)+共同管理に関する特約(GDPR 26条)


 

(選択肢2)十分性認定

 

・移転先(日本側)で補完的ルール遵守体制の整備(社内規程の整備・社印研修等)


・委託元・委託先間で共同管理の取り決め(契約, 企業グループ内取決め等)


 

(3). 移転先が共同管理者以外の管理者の場合(上記移転タイプ①)

 

域外移転の根拠

 

必要な手続

 

(選択肢1)新SCC

 

新SCCの締結(モジュール1)


 

(選択肢2)十分性認定

 

・移転先(日本側)で補完的ルール遵守体制の整備(社内規程の整備・社印研修等)


・委託元・委託先間で移転契約(*)


(*)この移転の場合, 移転先は単独で個人データの処理の目的および手段を決定する管理者ですから, 移転元が何らの制約もしなければこの移転先への個人データの域外移転は, データ主体にとり最もリスクの高い種類の「処理」行為ということになります。この場合, 移転元はその域外移転(という処理)に関し, GDPR第24条・第25条・第30条等により, 個人の権利・自由に対するリスクを考慮した上, そのリスクに応じた適切な保護措置を講じ, かつ, その保護措置を講じたことを証明できなければなりません。このことを考慮すれば, 十分性認定による移転であっても, EU域内の移転元は, この適切な保護措置の一つとして, 常に, 移転先による個人データの処理を適切に制限する契約を締結する必要があると思われます。

 

(4). 移転元が移転先の処理者の場合(上記移転タイプ④)(日本側から処理委託)

 

域外移転の根拠

 

必要な手続

 

(選択肢1)新SCC

 

新SCCの締結(モジュール1)

 

(選択肢2)十分性認定

 

・移転先(日本側)で補完的ルール遵守体制の整備(社内規程の整備・社印研修等)


・委託元・委託先間で(移転先から移転元への)処理委託契約


 

2. 新SCC・十分性認定比較

 (1). 手続面

 上記の通り, 十分性認定でも移転元・移転先間で何らかの契約が必要なので(上記1(3)については異論があるかもしれませんが)この点で差はあまりありません

 

(2). 実体面 

上記の通り, 新SCCでは移転先(日本側)の義務は大幅に拡大されています。従って, 移転先から見ると十分性認定の方が新SCCより非常に有利(義務が少なく軽い)と言えます。しかし, これを移転元から見ると, 十分性認定はそれだけでは監査権や, 個人データ漏えい時に通知を受けこれを消去・返還させる権利さえもなく, 上記で触れたGDPR第24条・第25条・第30条等(個人データの適切保護義務)の遵守を確保する最低限の手段さえなく, 非常に不利と言えます。

これは, データ主体から見ても同じで, 十分性認定はそれだけでは新SCCと比較するとデータ主体の保護レベルが非常に低いということになります。

なお, 新SCCにおける日本への移転についてのTransfer Impact Assessment(データ移転影響評価)については, 新たな負担ではあるものの, 欧州委員会の日本に対する十分性認定文の別紙(ANNEX 2)に, 日本における刑事手続および安全保障に関わる国家機関の活動と個人のプライバシー保護に関する憲法上の枠組み, 判例等に関する日本政府提出の説明があり, これを踏まえて十分性認定がなされているので, このことに言及して日本への移転に関しては過度の公的機関のアクセス(ガバメントアクセス)はない旨の評価書作成が可能と思われます。

 

(3). 監督機関の調査等があった場合の有用性

 監督機関は, GDPR第58条に基づき, EU域内の企業に対し, 監督機関の任務遂行のため必要とする全ての情報の提供を命ずる権限を有します。監督機関が, 日本への個人データの移転元に対しその移転のGDPR上の根拠を照会した場合, 移転元は, 新SCCを締結している場合には, それを示せば足ります

一方, 十分性認定だけの場合, 移転元は, 移転先が補完的ルール遵守体制を整備していることについて移転先の社内規程の整備・社印研修実績等を示すこと, また, 移転先による個人データ利用目的については, 移転時に移転元から明確に指定したこと(補完的ルールp 7参照)の証拠も要求される可能性が高いと思われます。

移転元としては, これらを予め準備しているか, または, 調査時に移転先から入手できなければ, GDPR上の記録義務(30)・遵守証明義務(24(1))等の違反を問われる可能性があると思われます。

従って, この点では, 移転元にとり十分性認定より新SCCの方が有用性が高いと言えます。

 

企業の要対応事項


企業としては以下のような対応が必要と思われます。

(1)日本への移転について

①前記の日程を踏まえ, 2021年9月27日以降に新たに発生する日本への移転(締結済みの旧SCC上の移転とことなる種類の移転)についてはその実施までに移転の根拠を新SCC, 十分性認定いずれにするかを決定すること。

②既に締結済みの旧SCCについては, 2022年12月27日までに, 日本への移転の根拠を新SCC, 十分性認定いずれに切り替えるのかを決定すること。

③上記①・②の決定に際しては, 移転元, 移転先(日本側), データ主体, いずれの利益を優先するかも含め, 新SCC, 十分性認定いずれを選択するかを決定すること(但し新SCCに比べ十分性認定は移転元に不利なので, 移転元が日本側の子会社等でない限り受入れさせることは困難かもしれません)。

 

(2)日本以外の国への移転について

十分性認定国(カナダ等)以外, ほとんどの国への移転について新SCCに切り替える他ないが, その前提としてTransfer Impact Assessment(データ移転影響評価)が必要。特に移転先が米国, 中国, ロシア等の場合要注意。

以 上


 

[1] CIPP/E (Certified Information Privacy Professional/Europe)/一般社団法人GBL研究所理事UniLaw 企業法務研究所代表

シェアする

  • はてなブックマークに追加
  • LINEで送る
  • 資質タイプ×業務フィールドチェック
  • TKC
  • 法務人材の紹介 経験者・法科大学院修了生
  • 法務人材の派遣 登録者多数/高い法的素養

新着情報

公式メールマガジン

企業法務ナビでは、不定期に法務に関する有益な情報(最新の法律情報、研修、交流会(MSサロン)の開催)をお届けするメールマガジンを配信しています。

申込は、こちらのボタンから。

メルマガ会員登録

公式SNS

企業法務ナビでは各種SNSでも
法務ニュースの新着情報をお届けしております。

企業法務ナビの課題別ソリューション

企業法務人手不足を解消したい!

2007年創業以来、法務経験者・法科大学院修了生など
企業法務に特化した人材紹介・派遣を行っております。

業務を効率化したい!

企業法務業務を効率化したい!

契約法務、翻訳等、法務部門に関連する業務を
効率化するリーガルテック商材や、
アウトソーシングサービス等をご紹介しています。

企業法務の業務を効率化

公式メールマガジン

企業法務ナビでは、不定期に法務に関する有益な情報(最新の法律情報、研修、交流会(MSサロン)の開催)をお届けするメールマガジンを配信しています。

申込は、こちらのボタンから。

メルマガ会員登録

公式SNS

企業法務ナビでは各種SNSでも
法務ニュースの新着情報をお届けしております。

企業法務ナビに興味を持たれた法人様へ

企業法務ナビを活用して顧客開拓をされたい企業、弁護士の方はこちらからお問い合わせください。