01 情報セキュリティ, 個人情報保護法, 外国法

今回から何回かに分けて, GDPRの中でも最も重要な事項の一つである, 第5章に定めるEU域内からEU域外への個人データ移転に関する規定(第44～49条)(以下の構成参照)について解説します。今回は, 総論として, これらの規定自体の内容を一通り解説し, 次回以降は, 移転の法的根拠ごとに各論を解説します。

なお, 本稿で, 「EU域内」, 「EU域外」とは, GDPRはEU以外の国も含む欧州経済領域(European Economic Area：EEAに適用されるので, 実際には「EEA域内」, 「EEA域外」ですが, 記述の都合上, 「EU域内」, 「EU域外」とします。

【GDPR第5章の構成】

CHAPTER V Transfers of personal data to third countries or international organisations(第三国または国際機関に対する個人データの移転)

Article 44 General principle for transfers(移転の一般原則)

Article 45 Transfers on the basis of an adequacy decision(十分性認定に基づく移転)

Article 46 Transfers subject to appropriate safeguards(適切な保護措置に基づく移転)—SCC, BCR等

Article 47 Binding corporate rules(BCR)—BCRの認定要件・内容等

Article 48 Transfers or disclosures not authorised by Union law(EU法に基づくものでない移転または開示)—第三国の判決等による移転要求の取扱い

Article 49 Derogations for specific situations(特定の場合における例外)—十分性認定・SCC等が利用できない場合における例外的移転根拠

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: EU域外への個人データ移転に関する原則・趣旨は？

Q2: 規制対象となるEU域外への個人データの域外移転とは？

Q3: 域外移転は第5章の域外移転規制だけ遵守すればOK？

Q4: 十分性認定に基づく移転とは？

Q5: 適切な保護措置に基づく移転とは？

Q6: 第三国の判決等による移転要求とは？

Q7: 十分性認定・SCC等が利用できない場合における移転は？

Q1: EU域外への個人データ移転に関する原則・趣旨は？

A1: 以下の通りです。

【GDPR第44条】

個人データの第三国または国際機関(*)への移転(当該第三国から他の第三国への再移転(onward transfers)を含む)[以下「域外移転」ともいう]は, その個人データが移転後に処理されまたは処理が予定されている場合(personal data which are undergoing processing or are intended for processing after transfer), GDPRの他の章の規定に従うことを条件として(subject to the other provisions of this Regulation), 本章(GDPR第5章(44～49))に定める義務が管理者および処理者により遵守される場合のみ行うことができる。

本章の全ての規定は, GDPR上保障される個人の保護水準が損なわれることがないよう(not undermined)適用されなければならない。

(*) 国際機関(international organisation)とは, 国際公法(public international law)上の組織およびその下部組織, または, 複数国間の協定に基づき設立されたその他組織を意味する(4(26))。— 国際機関は各国国内法等(EU法を含む)の適用を受けないと解される可能性もあります[1]。そこで, 国際機関がEU域内またはEU域外いずれにあるかを問わず, 国際機関への個人データ移転を第三国への移転と同様に扱うこととしたものと思われます。

【域外移転規制の趣旨(GDPR前文101)】

この点に関し, GDPR前文101では次の旨が述べられています。

EU 域外への個人データの移転は国際取引および国際協力を拡大するために必要である。

しかし, EU域内から第三国にある者または国際機関に個人データが移転されることにより, GDPRに基づきEU域内で保障されている[個人データの]保護の水準が低下してはならない(should not be undermined)。

従って, EU域外への移転は, GDPR上の他の規定の遵守を前提として(subject to the other provisions of this Regulation), 域外移転に関する規制[具体的には第5章(44～50)]に従ってのみ行うことができる。

page top

Q2: 規制対象となるEU域外への個人データの域外移転とは？

A2: 欧州データ保護委員会(EDPB)(EU各加盟国の監督機関の連合組織)は, 域外移転に関連し, 2021年11月19日に「GDPR第3条の適用と同第5章国際移転規定の相互関係に関するガイドライン案」[2](意見募集期間：2022年1月31日まで)を公表しています。本ガイドライン案はまだ確定していませんが, 以下に記載する内容については大きく変更されることはないと思われるので, 本ガイドライン案を参照しつつ域外移転の意味について解説します。

【域外移転に該当するための三要件】

本ガイドライン案では, 以下の(1)～(3)の三要件全てが満たされる場合, その移転は域外移転に該当するとしています(7)。

(1)管理者または処理者が域外移転しようとする個人データの処理についてGDPRの適用を受けること。

— 典型的には, 管理者または処理者がEU域内に所在し, GDPRの適用を受ける場合が該当します。しかし, この他, EU域外の第三国(例：日本)に所在する者(例：日本の会社)がGDPR第3条第2項によりGDPRの域外適用を受ける場合[3]も該当し(10—本ガイドライン案左端にあるパラグラフ番号。以下同様), この場合, その者から(EUから見て)第三国(日本を含む)に移転する場合もGDPRの域外移転規制の適用を受けることになります。

(2)管理者または処理者(以下「輸出者」)が, 他の管理者, 共同管理者または処理者(以下「輸入者」)に対し, 当該個人データを送信(transmission)またはその他の方法により入手・利用できるようにする(makes... available)こと。

— 「管理者または処理者(以下「輸出者」)」からの移転であり, 例えば, EU域内のデータ主体が自らの意思で第三国(例：日本)の会社のWebサイトにアクセスしその個人データを入力・移転する場合, このデータ主体自身は輸出者には該当せず, 域外移転規制の適用はないとされています(12, Example 1参照)。

— 処理者も輸出者になる場合があります。例えば, 日本の会社(管理者)がその従業員の個人データの処理をEU域内の子会社(処理者)に委託するためそれを一旦日本から移転し, 委託処理終了後にEU域内子会社が個人データを日本の会社に送り戻す場合にはその送り戻し行為も域外移転に該当します(Example 3参照)。

— 輸出者からの移転であり, 例えば, EU域内企業の従業員が出張先の第三国から当該企業のEU域内データベースにリモートでアクセスし個人データを閲覧する場合は, その従業員はこの輸出者の一部であり, この閲覧行為は域外移転に該当しないとされています(Example 5)(従ってこの場合SCC等は不要)。

— 域外移転は個人データを「送信(transmission)またはその他の方法により[他の者が]入手・利用できるようにする(makes... available)こと」です。従って, 電子メールでまたは電子メールに添付したファイルで送信することは勿論, 例えば日本の会社のEU域内子会社が, その従業員の個人データを日本の会社の日本国内人事データベースに保存すること(Example 6参照)や, 日本の親会社にEU域内に保存している個人データへのアクセスを許可することも該当します。

(3)輸入者が第三国に所在するかまたは国際機関であること。

この点に関し, 輸入者がGDPR第3条第2項によりGDPRの域外適用を受けるか否かは域外移転規制とは無関係(別問題)とされています(19)。例えば, 域外適用を受ける者はEU域内から個人データの移転を受ける場合は域外移転規制の適用も受けます。

page top

Q3: 域外移転は第5章の域外移転規制だけ遵守すればOK？

A: そうではありません。第5章の域外移転規制だけでなくGDPRの他の規定も遵守しなければなりません。

【域外移転の前提条件】

GDPRの各規定が適用される「処理」(processing)とは, 個人データの全ての取扱い(any operation)を意味します(4(2))。よって, GDPR第5章に言及されている個人データのEU域外への「移転」(transfer)も当然に「処理」(processing)の一種です。

従って, 個人データのEU域外への移転は, 第5章の域外移転規制だけでなく, 「GDPRの他の章の規定に従うことを条件として」(subject to the other provisions of this Regulation)行うことができることになります(44)。

これは, Q1で触れたように, 第5章の規定は, [その処理がEU域内で行われていれば当然に]「GDPR上保障される個人の保護水準が損なわれることがないよう(not undermined)適用されなければならない」とされていることからも明らかです。すなわち, 第5章の域外移転規制は, 域外移転という, 他の処理に比べ十分な保護がされなくなるおそれのある処理に対する上乗せの規制であるということです。

その結果, 例えば, 域外移転の前提として, 「移転」という「処理」について, 第6条のデータ主体の同意, 管理者の正当利益等の処理の適法性の根拠が必要となります(十分性認定, SCC等だけでは足りない)。また, EU域内の管理者は, 移転を十分性認定, SCC等により行う場合でも, 個人データの移転先である処理者との処理委託契約(28)の締結または共同管理者との取決め(通常は契約締結)(26)等の他の規定に基づく義務を遵守しなければなりません。

page top

Q4: 十分性認定に基づく移転とは？

A4: GDPR上, 域外移転が認められる場合の一つで, GDPR第45条に以下のように規定されています。

【十分性認定に基づく移転(45)】

欧州委員会が, 第三国(または第三国内の地域もしくは特定部門)が十分な個人データの保護をしていると認定(adequacy decision)(以下「十分性認定」という)した場合は, 個人データをEU域内から当該第三国に移転することができる(45(1))。

— この認定は, 日本に対する十分性認定のように条件付き(日本側で補完的ルールの遵守が条件)でもできます。

page top

Q5: 適切な保護措置に基づく移転とは？

A5: GDPR上, 域外移転が認められる場合の一つで, GDPR第46条に以下のように規定されています。

【適切な保護措置に基づく移転(46)】

個人データの移転先の第三国について十分性認定がない場合, 移転元である管理者または処理者は, 以下の(a),(b)両方が満たされることを条件として, 第三国に個人データを移転することができる(46(1), (2))。

(a)移転元の管理者等が「適切な保護措置」(appropriate safeguards)を講じること。

(b)データ主体が権利を行使することができ(enforceable)かつ実効性ある(effective)法的救済(legal remedies)を受けることができる(available)こと。

上記(a)の「適切な保護措置」(appropriate safeguards)としては, 以下のものが挙げられる。

①拘束的企業準則 (BCR)(4'7)

②標準データ保護条項 (SDPC)(SCC)

③行動規範およびデータ保護認証

—上記(b)の要件について, 例えば, SCCでは, 移転元および移転先のデータ主体に対する義務も規定されており, データ主体は, 「第三受益者」(third-party beneficiary)として, EU域内の移転元のみならず, EU域外の移転先に対しても, EU加盟国の裁判所に提訴して, 直接損害賠償または履行を求めることができます。

page top

Q6: 第三国の判決等による移転要求とは？

A5: GDPR第48条に以下のように規定されています。

【第三国の判決等による移転要求(48)】

第三国の裁判所・審判廷(tribunal)の判決・審決または行政機関(administrative authority)の決定であって, 管理者等に対し個人データのEU域外への移転・開示を義務付けるものは, 次のいずれかに基づく場合のみ承認され(recognised)または執行することができる(enforceable)(48)。

(a)GDPR第5章に定める移転根拠 (例：十分性認定, SCC)

(b)刑事共助条約(mutual legal assistance treaty)等, 移転要請元の第三国と EU または加盟国間の国際協定

page top

Q7: 十分性認定・SCC等が利用できない場合における移転は？

A5: GDPRは, 移転先の第三国について十分性認定がなく, かつ, 「適切な保護措置」さえも利用できない例外的状況に限り認められる域外移転の根拠(本シリーズでは「49条例外事由」という)についても定めています。

今回は以上です。

page top

【筆者の最近の個人情報保護関連書籍】

NEW!! 「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05

『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24

「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[4]

【注】

[1]【国際機関とGDPR】 (参考) Petruta Pirvan "EU GDPR applicability to international organizations" Mar 12, 2021, IAPP

[2]【「GDPR第3条の適用と同第5章国際移転規定の相互関係に関するガイドライン案」】　2021年11月19日欧州データ保護委員会(EDPB)公表(意見募集期間：2022年1月31日まで). "Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR" (18 November 2021). (本ガイドライン案に関する解説)(1) Baker McKenzie - Benjamin Slinn "What is a “transfer” of personal data under the GDPR? New draft EDPB Guidelines on the interplay between Art 3 & Chapter V of the GDPR" November 22 2021, Lexology. (2) Nishimura & Asahi - Noriya Ishikawa, Yujin Suga and Atsunaka Fukushima 「GDPRの域外適用と越境移転の交錯に関するガイドライン案の公表 (2021年11月22日号)」 November 21 2021, Lexology

[3] 【GDPR第3条第2項によりGDPRの域外適用を受ける場合】 本シリーズ第15回, 第16回参照

[4]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。

GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録