15 情報セキュリティ, 個人情報保護法, 外国法

前回, GDPR第5章に定めるEU域内からEU域外への個人データ移転に関する規定(第44～49条)の全体について解説しました(総論)。今回は, その各論の第1回として十分性認定について解説します。

なお, 本稿で, 「EU域内」, 「EU域外」とは, GDPRはEU以外の国も含む欧州経済領域(European Economic Area：EEAに適用されるので, 実際には「EEA域内」, 「EEA域外」ですが, 記述の都合上, 「EU域内」, 「EU域外」とします。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: GDPRの十分性認定に関する規定内容は？

Q2: 日本に対する十分性認定の内容は？

Q3: EU・米国間のプライバシーシールドが無効になったのは？

Q1: GDPRの十分性認定に関する規定内容は？

A1: 以下の通りです。

(1).十分性認定に基づく移転(45(1))

欧州委員会(以下「欧州委」)が, 第三国(または第三国内の地域もしくは特定部門)が十分な個人データの保護をしていると認定(adequacy decision)(以下「十分性認定」という)した場合は, 個人データをEU域内から当該第三国に移転することができる。

(2).十分性認定の要件(45(2))

欧州委員会は, 対象となる第三国における個人データ保護の十分性評価において特に次の事項を考慮しなければならない。

(a)第三国における法の支配(rule of law), 人権保護, 法令, 判例法, データ主体に認められる救済措置等の状況

(b)適切な執行権限等を有する監督機関が存在し同機関が有効に機能していること

(c)第三国が加盟している個人データ保護に関する条約等

(3).十分性の認定と見直し(45(3), 93(2))

欧州委は, 個人データ保護水準が十分であると判断した場合, 第三国について, 実施規則(*)の形で(by means of implementing act), 十分性認定を行うことができる。(*)「実施規則」とは, EUの規則, 指令等を実施するために欧州委が定めるルール・決定を意味する(TFEU291(2)～(4))。

(十分性認定の手順)^[1]

(i)欧州委からの十分性認定の提案

(ii)欧州データ保護会議(European Data Protection Board：EDPB)による意見提出

(iii)EU加盟国代表による承認

(iv)欧州委による十分性認定

十分性認定の決定(実施規則)には, 最低限4 年ごとに全ての状況変化を考慮して認定を見直す旨規定しなければならない。

(4).十分性の取消し等(45(5), (7))

欧州委は, 十分性認定された第三国が十分な水準のデータ保護をしていないことが判明した場合, 必要な範囲で十分性認定を取消し, 修正しまたは停止しなければならない(但し遡及効はないものとする)(without retro-active effect)。

但し, この場合でも第46条から第49条までの規定(SCC等)により, 当該第三国に個人データを移転することはできるものとする。

(5).これまでになされた十分性認定

欧州委は, GDPR45条8項に基づき, そのサイト上で, これまでに欧州委から十分性認定を受けた国・地域を公表している。^[2]

(i)欧州内の国・島(アンドラ, スイス, マン島), イギリス連邦加盟国(カナダ(民間組織限定), ニュージーランド), イギリス王室属領(ガーンジー, ジャージー島), スペイン旧植民地(アルゼンチン, ウルグアイ), デンマーク自治領(フェロー諸島)

(ii)イスラエル

(iii)日本(補完的ルールの遵守が条件)

(iv)英国(2021年6月28日：自動更新はなく改めて更新手続がなされない限り4年後に失効)[3]

(v)韓国(2021年12月17日：一部対象外処理, 追加条件あり)[4]

なお, EUが過去に米国について行った十分性認定であるセーフハーバー協定(2000年)およびプライバシーシールド(2016年)はいずれも無効となった(Q3参照)。

page top

Q2: 日本に対する十分性認定の内容は？

A2: EU域内から日本への個人データの移転(「日本への移転」)については2019年1月に欧州委が日本に対し, 以下の内容の十分性認定を行いました。^[5] ^[6]

(1).日本に対する十分性認定の性格と効果

日本に対する十分性認定は, EU域内から移転された個人データに限定し移転先が日本の個人情報保護委員会が定めた「補完的ルール」を遵守することを条件に行われたものである。条件付きという点で, EU・米国間セーフハーバー協定およびプライバシーシールドと同じ性格のものである。十分性認定後もSCCによる移転を選択することも可能である。

(2).日本に対する十分性認定後の契約書の要否

日本に対する十分性認定により, 日本への移転は, 必ずしも所定の標準契約条項 (「SCC」)によらなくてもよいことになった。しかし, このことは, 以下に述べるように必ずしも日本への移転に契約書が不要になったことを意味しない。

(a)移転先が処理者(処理委託先)である場合

十分性認定後も, 移転元は, 第28条に基づく処理委託契約書の締結義務(28(3),(9))を免除されるわけではないから, 移転先との間でこの契約書を締結する義務を負う。

(b).移転先が共同管理者である場合

十分性認定後も, 移転元は, 第26条に基づく共同管理者間の「取決め」(arrangement)(通常は契約書)義務を免除されるわけではないから, 移転先との間でこの契約書を締結する義務を負う。共同管理者の関係は, 例えば, 日本の親会社とEU域内の子会社間で子会社の人事労務情報, 顧客・ユーザ, 取引先責任者・担当者等の個人データを同一のデータベースやクラウドシステム上で管理する場合を含め広い範囲で認定されると思われる。

(c).移転先が単独管理者である場合

日本への移転の移転先が処理者でも共同管理者でもない者(「単独管理者」)である場合は, その移転(「処理」(4(2)の一種)の適法性の根拠(6, 9)が何かにより次の通りとなる。

(i)データ主体の同意(6(1)(a),9(2)(a))である場合

この場合, 移転元は, データ主体が同意した範囲内で利用目的を特定しそれを移転先に伝え, 移転先における個人データの利用目的をデータ主体から得た同意の範囲内に制限しなければならない。また, 実際にそうしたことを証明する責任を負う(5(2), 24(1))。従って, 実務上, この場合も, 移転元としては通常契約書締結等の必要があるであろう。

(ii)契約履行等の必要性(6(1)(b))を根拠とする場合

この場合, 移転元は移転先による処理も契約履行等に必要な範囲に制限する義務を負うものと思われる。従って, 結局, この場合もそのために通常契約書締結等の必要があるであろう。

(iii)「正当利益」(6(1)(f))を根拠とする場合

これを根拠とする処理(移転)は, 管理者等の「正当利益」とデータ主体の利益等の保護の必要性を比較衡量し後者を優先すべき場合は許されない(6(1)(f)但書)。この比較衡量要素には, 処理の目的・内容がデータ主体の合理的な期待・想定に反しないことや, データ主体の不利益防止・軽減措置が含まれる。^[7] 従って, 結局, この場合も, 移転元としては, 移転先における処理の目的・内容の限定その他制限をするため移転先との間で契約書締結等の必要があるであろう。

(3).その他留意事項

日本への移転を十分性認定により行うためには, 大前提として, 日本国内の移転先において, 日本の個人情報保護委員会が定めた「補完的ルール」を反映した社内規程の整備, これに関する従業員に対する周知・研修, その他補完的ルールの遵守体制を確立しなければならない。

次に, 移転元においては, この移転先への移転根拠を従来のSCCから十分性認定に変更することに関し, 移転前に, データ主体への情報提供(13(1)(f), 14(1)(f))のやり直しまたはこれら情報を含むPrivacy Policy等の改訂を行わなければならない。

また, 移転元としては, GDPR第24条により, 処理がGDPRに従いなされるよう, かつ, それを証明できるようにしなければならないから, 移転先による補完的ルール遵守体制が適切か否かを確認しこれを文書化(30)する義務があると思われる。そのためには, 補完的ルールを反映した移転先の社内規程等の内部情報を要求せざるを得ず, これを関係会社以外の間で行うのはハードルが高いと思われる。

また, 十分性認定による移転はSCCによる移転に比べ, 移転元にとり内容的に不利な点がある(例：移転元の移転先に対する監査権がない)。また, データ主体にとっても不利な点がある(例：移転先に対する損害賠償請求権, EU加盟国での裁判等の保障がない)。

更に, 補完的ルールについては, 次のような点について, EUのプライバシー活動家等により問題とされる可能性がある。

①上記の通りデータ主体にとってSCCよりも不利な点がある。

②日本の個人情報保護委員会が定めた「補完的ルール」の法的拘束性に関する問題：日本の憲法(41)は, 国会は「国の唯一の立法機関である」と規定し(「国会中心立法の原則」), 国民の権利を制限しまたは義務を課すことは, 国会で成立した「法律」またはこの法律から個別具体的な委任を受けた「政省令」(「委任立法」)でなければ行うことができないと解されている。^[8]　この点, 補完的ルールは, 移転先に個人情報保護法にはない義務を課しており(だからこそ同法の「補完的ルール」), 個人情報保護委員会も同法よりも厳格なルールを定めるものと説明しているが, 上記の法律または政省令のいずれでもない。

page top

Q3: EU・米国間のプライバシーシールドが無効になったのは？

A3: 以下にこれまでの経緯を含め説明します。

１. セーフハーバー協定

米国には包括的な個人データ保護法制がなかったことなどから米国の国自体についてEUから十分性認定を受けることは困難と考えられ, EUと米国は, 外交交渉の結果, EU域内から米国への個人データの移転を容易にする"Safe Harbor Framework"(「セーフハーバー協定」)に合意し, 2000年, 欧州委はこれに対し十分性認定を行った。

２. Schrems I事件判決

【事件の概要】Facebookユーザであるオーストラリア人Maximilian(Max) Schrems氏(弁護士・プライバシー活動家)は, 他のユーザとともに, アイルランドの監督機関に申立てし, 同氏らからFacebookに提供されたデータがFacebookのアイルランド子会社から米国内のサーバに送信(移転)・処理されていることに関し, 米国国家安全局(NSA)等による諜報活動についてスノーデン氏が暴露した事実を考慮すれば, 米国は公的機関の諜報活動に関し個人データを十分に保護していないとの理由で, その移転禁止を求めた。なお, この事件は, 申立人の名前から次のSchrems II事件との関係でSchrems I事件と呼ばれている。

【CJEU判決(先決裁定)の要旨】この事件は, 最終的にEU司法裁判所(CJEU)の判断に委ねられ, 2015年10月6日, CJEUは, 次のように認定し, セーフハーバー協定(による個人データの保護に対し欧州委によりなされた十分性認定)は無効であるとの判決を下した。

—米国では国家安全, 公益および法の執行が協定に優越するから米国の国家安全等と協定上の義務が抵触する場合, 参加企業は協定上の義務を無視する義務を負う。公的機関によるアクセスの許容は個人の私的生活に関する基本権を損なうものである。

３．Schrems II 事件

Schrems I 事件判決を受けFacebook Irelandと米FacebookはSCCを締結したが, Max Schrems氏は, 申立内容をFacebookによるSCCに基づく移転の禁止に修正した。この事件では, SCCの有効性と, 2016年に行われたプライバシーシールドに対する十分性認定の有効性に関し, 概要以下の通りCJEUの先決裁定がなされた(判決本文, CJEUのプレスリリース文)。

(1) プライバシーシールドの無効性

プライバシーシールド(に対する欧州委による十分性認定)は以下の理由により無効である(164～)(数字は判決文中の段落番号。以下同じ)。

(a) プライバシーシールドは, セーフハーバー協定と同様, 米国の国家安全保障, 公益および法執行の必要性が, EU基本権憲章上保障されるデータ主体の基本権(私的生活・家庭生活および個人データの保護)(7,8)に優先することを認め, 当該基本権の侵害を認めるものである。

(b) 米国法上, EU域内から移転される個人データに対しても実施され得る米当局による監視プログラム(surveillance programmes)は, EU法上の比例原則(the principle of proportionality)上要求される必要最小限の(strictly necessary)範囲に制限されていない。

(c) プライバシーシールドに定めるオンブズパーソン[EU市民からの苦情申立先]の制度は, オンブズパーソンの独立性および米国諜報機関に対する拘束力ある命令権の欠如などから判断すれば, データ主体に対し, EU法と同等の法的救済を保障するものではない。

(2) SCCによる移転の条件付き有効性

SCCによる移転は以下の通り条件付きで有効である。

(a) EU基本権憲章に照らせば, GDPR上, 個人データのEU域外への移転に関し要求される保護(SCCなどの「適切な保護措置」並びにデータ主体の法的強制が可能な権利およびデータ主体に対する実効性ある司法的救済)のレベルは, データ主体が, GDPR上EU域内で与えられるものと本質的に同等でなければならない。このレベルの判断上, 移転先国当局による個人データへのアクセスおよび法制度も考慮しなければならない(94～105)。

(b) SCCは, 契約であるから, その当事者ではない移転先国当局を拘束することはできない。しかし, それだけでSCCが無効になるわけではない。SCCが有効か否かは, SCCに以下の両方を担保するメカニズムが組み込まれているか否かによる(136,137)。

① EU法上要求されると同等のレベルの個人データ保護が確保されること。

② 移転先がSCCを遵守せずまたは遵守できない場合には移転が中止されること。

① 移転元(SCC上の「データ輸出者」)および移転先(同「データ輸入者」)に対し, 個人データ移転前に移転先国の保護レベルを確認する義務を課していること(SCC 4(a)・(b), 5(a), 9, 11(1))。

② 移転先はSCCを遵守できないと判断した場合その旨データ輸出者に通知する義務を負うこと(SCC 5(a), (b), (d)(i))。

③上記②の場合, 移転元は, 個人データの移転を中止しまたはSCCを解除する義務を負うこと(基本権憲章7,8, GDPR 46(1),(2)(c), SCC 5(a), 4(a))。

④　データ主体は, データ輸出者またはデータ輸入者がSCCに違反した場合, SCC上, [第三受益者として]損害賠償請求する権利を与えられていること(SCC 3, 6)。

—なお, Schrems II事件判決を受け, 2021年6月4日, 欧州委は, EUの一般データ保護規則(GDPR)に基づき個人データをEUの域内から域外の第三国に移転するための新たなStandard Contractual Clauses(以下「新SCC」という)を採択した(その内容については次回解説)。

page top

今回は以上です。

【筆者の最近の個人情報保護関連書籍】

NEW!! 「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05

『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24

「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[9]

【注】

^[1] 【欧州委員会による十分性認定手続】欧州委員会サイト"Adequacy decisions"

^[2] 【欧州委による十分性認定国・地域】欧州委員会サイト"Adequacy decisions"

[3] 【英国に対する十分性認定】Claude-Étienne Armingaud, Sunny J. Kumar, Noirin M. McFadden, Keisha Phippen "EU-UK ADEQUACY DECISIONS FINALIZED" 30 June 2021, K&L Gates

[4] 【韓国に対する十分性認定】 (参考) (1) Reed Smith LLP - Cynthia O’Donoghue and Asel Ibraimova "South Korea granted adequacy decision" 17 December 2021, Lexology. (2) K&L Gates LLP - Andrew L. Chung, Eric Yoon, Claude-Étienne Armingaud and Camille J. Scarparo "EU-Republic of Korea adequacy decisions finalized" January 10 2022, Lexology

^[5] 【日本への十分性認定の詳細と十分性認定後の選択肢と対応】 以下参照.：浅井敏雄「EUから日本への個人データ移転」　『国際商事法務』 2019年9月号(Vol. 47, No.9) p.1143-1146, 浅井敏雄「日欧個人データ・個人データの国際移転の実務 [第3版] －十分性認定後の選択肢と対応－」　2019年　- IV-9

^[6] 【十分性認定に関する個人情報保護委員会の発表】 「日EU間の相互の円滑な個人データ移転を図る枠組み発効」

^[7] 【WP29正当利益意見書】Opinion 06/2014 on the "Notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC"　Choose translations of the previous link - WP217

^[8] 【「国会中心立法」の原則】憲法第41条を反映して内閣法第 11 条では次のように規定されている。：「政令には, 法律の委任がなければ, 義務を課し, 又は権利を制限する規定を設けることができない。」　　また, 国家行政組織法第12条第3項では次のように規定されている。：「省令には, 法律の委任がなければ, 罰則を設け, 又は義務を課し, 若しくは国民の権利を制限する規定を設けることができない。」

(委任立法の限界)。日本大百科全書(ニッポニカ)の解説「国会中心主義をとる日本国憲法の原則に照らして, 委任は個別具体的でなければならず, 白紙委任は許されない。」

[9]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録