15 情報セキュリティ, 個人情報保護法, 外国法

今回は, 標準契約条項：Standard Contractual Clause(SCC)に基づくEU域内からEU域外への個人データ移転について解説します。

なお, 本稿で, 「EU域内」, 「EU域外」とは, GDPRはEU以外の国も含む欧州経済領域(European Economic Area：EEAに適用されるので, 実際には「EEA域内」, 「EEA域外」ですが, 記述の都合上, 「EU域内」, 「EU域外」とします。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: SCCとは？

Q2: 新SCCとは？

Q3: 新SCCの利用開始・旧SCC廃止等の日程は？

Q4: 新SCCの和訳・概要は？

Q5: 日本への移転の選択肢／SCCと十分性認定の比較は？

Q6: 新SCCに関する日本企業の要対応事項は？

Q1: SCCとは？

A1: 前回解説した個人データをEU域内からEU域外に移転するための「適切な保護措置」(appropriate safeguards)の一つであり, GDPR上は, 「標準データ保護条項」(“Standard Data Protection Clause”)として登場するものです。

【解　説】

標準データ保護条項(Standard Data Protection Clause)(SDPC)(46(2)(c)(d))は, 個人データの移転先(在EU)と移転先の間で, 欧州委員会が採択(または各監督機関が採択し欧州委員会が承認)した契約条項を内容とする契約を締結しこれに基づき個人データを移転するものです。

但し, その実際の名称としては, 現在まで, データ保護指令以来の「標準契約条項」(“Standard Contractual Clause”)(SCC)が使用されています。

page top

Q2: 新SCCとは？

A2: データ保護指令時代に採択されGDPR施行後も有効とされていたSCC(以下「旧SCC」)に代わり, 2021年6月4日に欧州委員会が採択したSCCです(その採択決定はこちらのEU官報に掲載—同決定のANNEXとして新SCCが添付されている)。

【解　説】

この新SCCは, 第50回のQ3で触れた, 2020年7月のEU司法裁判所(CJEU)によるプライバシーシールド(米国への十分性認定)無効判決(「Schrems II判決」)を契機として, 従来のSCCに代わるものとして作成されたものです。

page top

Q3: 新SCCの利用開始・旧SCC廃止等の日程は？

A3: 以下に示します。

2021年6月4日	新SCC採択決定(以下「決定」という)日。
2021年6月7日	決定のEU官報掲載日。
2021年6月27日	上記官報掲載日から20日後。決定発効(決定4条(1))。同日以降新SCCの利用可能。
2021年9月27日	旧SCC廃止。同日前までは旧SCCの締結可能。同日以降は旧SCCの締結不可／新SCCのみ締結可能。
2022年12月27日	締結済み旧SCC失効(決定4条(2),(3))。それまでは締結済み旧SCCによる移転は有効(但し, その対象である個人データ処理に変更がなくかつ旧SCCが対象の移転に関し適切な保護措置となっていることが保証される場合に限る)(決定4条(4))。従って, この日前までに締結済みの旧SCCを新SCC(または十分性認定)に切り替え要。

page top

Q4: 新SCCの和訳・概要は？

A4: 以下の通りです。

【新SCCの和訳】

和訳については例えば, 日本の個人情報保護委員会が公表した参考訳などはありません。但し, 筆者が全訳したものがありますのでこちらにそのPDFファイル掲載サイトへのリンクを示します(同サイトには同時に採択されたGDPR第28条の個人データ処理委託契約標準契約条項(SCC)の仮訳も掲載)。

【新SCCの概要】

１．新SCCの構造－移転タイプ(モジュール)ごとの適用条項・記載事項

新SCCは, 下表の通り, 主にEU域内のデータ輸出者(以下「移転元」という)とEU域外のデータ輸出者(以下「移転先」という)との関係に応じ以下の4タイプの移転をカバーできるようになっており, この移転タイプごとに適用される契約条項と別紙等の記載事項がモジュール1～4として用意されています。

(下表の注)「管理者」：単独でまたは他の者と共同して個人データの処理の目的および手段を決定する者(GDPR 4条(7))。「処理者」：管理者に代わり個人データを処理する者(GDPR 4条(8)), 「再処理者」：処理者から個人データの処理の再委託を受けた者。

(移転元(在EU)・移転先の関係による)移転タイプ	適用される契約条項・要記載事項
①管理者から管理者への移転	モジュール1
②管理者から処理者への移転	モジュール2
③(他の管理者の)処理者から(再)処理者への移転	モジュール3
④処理者から管理者への移転	モジュール4

従って, 実際に新SCCを締結する場合は, 上記の移転タイプに対応するモジュールの契約条項(オプション条項もある)を選択しかつその移転タイプに応じ別紙Appendix(一部契約本文中)に必要事項を記入することになります。

上記①～④の移転の例としては, 例えば, 以下のような場合が考えられます。[1]

移転タイプ①：EU域内のグループ企業(管理者)がその従業員・顧客の個人データをEU域外の同じグループ内企業(管理者)に共有のため移転する場合

移転タイプ②：EU域内の企業(管理者)がその保有する個人データをEU域外のサービスプロバイダーやクラウド業者(処理者)に処理, 保管のため移転する場合

移転タイプ③：他の企業(管理者)から個人データの処理の委託を受けたEU域内の企業(処理者)が, その処理をEU域外の企業(再処理者)に再委託するために当該個人データを移転する場合

移転タイプ④：EU域外の企業(管理者)からEU域内での治験に係る個人データの収集の委託を受けたEU域内企業(処理者)が, 収集した個人データをそのEU域外企業(管理者)に移転する場合

２．新SCCの構成：本文・別紙

以下のような構成となっています(各条の後の括弧内は主な規定項目)。

契約本文(各条ごとにモジュール別の契約条項が記載されている)
第1条(目的と範囲)／第2条(SCCの効果と変更禁止)／第3条(データ主体の第三受益者としての権利)／第4条(SCCの解釈)／第5条(他の契約等に対するSCCの優先)／第6条(移転の内容)／第7条(後からの当事者追加：参加)／第8条(データ保護措置)／第9条(処理者である移転先からの処理再委託)／第10条(データ主体の権利)／第11条(データ主体からの苦情の対応・紛争解決)／第12条(損害賠償責任・求償)／第13条(監督機関)／第14条(SCC遵守を妨げる移転先国法令・実務の不存在保証等)／第15条(移転先国の公的機関からの開示要求等への対応)／第16条(SCC不遵守と契約解除)／第17条(準拠法)／第18条(裁判管轄)
Appendix(移転または関係ごとに複数添付可)
Annex I	A. 当事者のリスト	データ輸出者／データ輸入者それぞれ複数可。
	B. 移転の内容	データ主体・個人データのカテゴリー／機微個人データの保護措置／移転の頻度／移転目的・移転後の処理目的／保存期間／(処理者への移転の場合)委託処理の対象・内容・期間, などを記載。
	C. 管轄監督機関	第13条に従いEU加盟国の監督機関指定(モジュール4は適用なし)
Annex II	セキュリティー等のための技術的・組織的措置を具体的に記載(記載項目の例として仮名化・暗号化等計17項目が挙げられている)(モジュール4は適用なし)
Annex III	(処理者への移転の場合)管理者が事前承諾した再処理者のリスト(モジュール2・3のみ)

３．新SCCの特徴

新SCCの特徴として以下のような点を挙げることができます。

(1) SCCの利用上の柔軟性強化

・旧SCCでは上記移転タイプ①・②しかありませんでしたが, 新SCCでは上記移転タイプ③・④もカバーしています。

・旧SCCは, 移転元・移転先各1社しか想定されていませんでした。新SCCでは移転元・移転先いずれも複数社可能です(従って, 企業グループ内での移転に利用し易くなった)

・新SCC締結後に他の者が参加することが可能です(SCC第7条)。

・GDPR第3条2項によりGDPRの域外適用を受ける第三国の者からEU域外への移転にも新SCC利用可能(SCC第13条参照)。

(2) Schrems II判決対策

第14条・第15条等が追加されました。要旨以下の通りです。

【第14条】両当事者は, 各移転・移転後の処理の個別事情, 移転先国における, 公的機関へのデータ開示を要求する(または公的機関によるアクセスを許容する)法令・実務, それを踏まえた上で当事者が講じる個人データ保護措置, その他例示された事項などを評価した上で, 移転先国法令・実務が移転先によるSCC上の義務履行を妨げないことを保証し, この評価(“Transfer Impact Assessment”：「データ移転影響評価」と呼ばれることがある)を文書化し, かつ, 要求に応じ同文書を管轄監督機関に提出する。SCC締結後この保証に反することを認識した場合, 移転先は移転元(在EU)に通知し, 移転元(在EU)は必要に応じ移転中断・SCC解除可能。

【第15条】移転先は, 実際に公的機関から開示要求を受けた場合, 移転元(在EU)(および可能であればデータ主体)に通知し, 可能なら異議申立をし, 要求に応じざるを得ない場合も開示範囲を最小限とする。

(3) 移転先の義務およびデータ主体の権利の大幅拡大

旧SCC, 例えば, 管理者から管理者への移転用の旧SCCでは, データ主体は, 第三受益者(日本法で言えば「第三者のためにする契約」の第三者)として, 移転元だけでなく移転先に対しても, SCC上の一部義務について権利行使できることになっていました。しかしその対象となる移転先の義務はセキュリティー確保・処理目的限定等の義務に限定されていました。

しかし, 新SCCでは, 以下の例示のように, あたかも移転先がEU域外ではなくEU域内にあるかのように, 移転先はGDPR上の管理者等の義務とほぼ同様の義務を負うとともに, データ主体は直接移転先に対してGDPR上の権利とほぼ同様の権利を行使できるようになっています。

【新SCC上の移転先の義務・データ主体の権利 -　例：上記移転タイプ①：モジュール1の場合】

・移転先の, GDPR第5条の処理の基本原則の遵守義務(8.1～8.4)

・移転先の,処理のセキュリティー措置を別紙(Annex II)に具体的に記載し遵守／個人データ侵害発生時は直接監督機関および高度リスクの場合にはデータ主体に通知(8.5)

・機微個人データ(特別カテゴリーの個人データ＋有罪・犯罪歴)についての特別な処理制限・追加保護措置義務(8.6)

・移転先は, 個人データをEU域外(移転先国を含む)の第三者(処理者を含む)に開示(再移転)する場合, GDPR上の域外移転と同様の制限に従う(例えば, その第三者もその新SCCに同意要)(8.7)

・移転先の, SCC遵守証明／処理の文書化／監督機関への同文書提出義務(8.9)

・データ主体は直接移転先に対してGDPR上の権利とほぼ同様の権利を行使可能(10)

・データ主体は移転先についてもEU加盟国の監督機関・裁判所に苦情申立・提訴可能(11)

・移転元・移転先のデータ主体に対する損害賠償責任(12)

・移転先の, EU加盟国の監督機関の管轄・その措置(是正命令・賠償命令等)に服す義務(13)

・移転先の, EU加盟国裁判所の管轄に服す義務(18)

page top

Q5: 日本への移転の選択肢／SCCと十分性認定の比較は？

A5: 以下の通りです。

1 日本への移転の選択肢

以下のような選択肢があります(BCRは取得の負担が大きく一般には現実的ではないのでここでは検討しません)。

(1) 移転先(在日本)が移転元(在EU)の処理者の場合(上記移転タイプ②・③)

域外移転の根拠

必要な手続

(選択肢1)新SCC

新SCCの締結(モジュール2または3)

(選択肢2)十分性認定

・移転先(在日本)で補完的ルール遵守体制の整備(社内規程の整備・社員研修等)

・移転元(在EU)から移転先(在日本)への処理委託契約(今回同時に採択された処理委託用SCC(筆者全訳はこちらに掲載)を利用するかまたは独自作成したGDPR第28条の要件を満たす契約を使用)

(2) 移転先(在日本)が移転元(在EU)の共同管理者(GDPR第26条)の場合(上記移転タイプ①)

域外移転の根拠

必要な手続

(選択肢1)新SCC

新SCCの締結(モジュール1)＋共同管理に関する特約(GDPR 26条)

(選択肢2)十分性認定

・移転先(在日本)で補完的ルール遵守体制の整備(社内規程の整備・社員研修等)

・移転元(在EU)・移転先(在日本)間で共同管理の取り決め(契約, 企業グループ内取決め等)

(3) 移転先(在日本)が移転元(在EU)の共同管理者ではない管理者の場合(上記移転タイプ①)

域外移転の根拠

必要な手続

(選択肢1)新SCC

新SCCの締結(モジュール1)

(選択肢2)十分性認定

・移転先(在日本)で補完的ルール遵守体制の整備(社内規程の整備・社員研修等)

・移転元(在EU)から移転先(在日本)への移転契約(＊)

(＊)この移転の場合, 移転先(在日本)は単独で個人データの処理の目的および手段を決定する管理者ですから, 移転元(在EU)が何らの制約もしなければこの移転先(在日本)への個人データの域外移転は, データ主体にとり最もリスクの高い種類の「処理」行為ということになります。この場合, 移転元(在EU)はその域外移転(という処理)に関し, GDPR第24条・第25条・第30条等により, 個人の権利・自由に対するリスクを考慮した上, そのリスクに応じた適切な保護措置を講じ, かつ, その保護措置を講じたことを証明できなければなりません。このことを考慮すれば, 十分性認定による移転であっても, 移転元(在EU)は, この適切な保護措置の一つとして, 移転先(在日本)による個人データの処理を適切に制限・監督するための契約を締結する必要があると思われます。

(4) 移転元(在EU)が移転先(在日本)の処理者の場合(上記移転タイプ④)(日本側からEU側に処理委託)

域外移転の根拠

必要な手続

(選択肢1)新SCC

新SCCの締結(モジュール4)

(選択肢2)十分性認定

・移転先(在日本)で補完的ルール遵守体制の整備(社内規程の整備・社員研修等)

・移転先(在日本)から移転元(在EU)への処理委託契約

２新SCC・十分性認定比較

(1) 手続面

上記の通り, 十分性認定でも移転先(在EU)・移転先(在日本)間で何らかの契約が必要なので(上記1(3)については異論があるかもしれませんが), 手続的負担の点で差はあまりありません。

(2) 実体面

上記の通り, 新SCCでは移転先(在日本)の義務は大幅に拡大されています。従って, 移転先(在日本)から見ると十分性認定の方が新SCCより有利(義務が少なく軽い)と言えます。しかし, これを移転先(在EU)から見ると, 十分性認定はそれだけでは監査権や, 個人データ漏えい時に通知を受けこれを消去・返還させる権利さえもなく, 上記で触れたGDPR第24条・第25条・第30条等(個人データの適切保護義務)の遵守を確保する最低限の手段さえなく, 新SCCと比較すれば不利と言えます。

これは, データ主体から見ても同じで, 十分性認定はそれだけでは新SCCと比較すればデータ主体の保護レベルが低いということになります。

なお, 新SCCにおける日本への移転についてのTransfer Impact Assessment(データ移転影響評価)については, 新たな負担ではあるものの, 欧州委員会の日本に対する十分性認定文の別紙(ANNEX 2)に, 日本における刑事手続および安全保障に関わる国家機関の活動と個人のプライバシー保護に関する憲法上の枠組み, 判例等に関する日本政府提出の説明があり, これを踏まえて十分性認定がなされているので, このことに言及して日本への移転に関しては過度の公的機関のアクセス(ガバメントアクセス)はない旨の評価書作成が可能と思われます。

(3) 監督機関の調査等があった場合の有用性

監督機関は, GDPR第58条に基づき, EU域内の企業に対し, 監督機関の任務遂行のため必要とする全ての情報の提供を命ずる権限を有します。監督機関が, 日本への個人データの移転先(在EU)に対しその移転のGDPR上の根拠を照会した場合, 移転元(在EU)は, 新SCCを締結している場合には, それを示せば足ります。

一方, 十分性認定だけの場合, 移転先(在EU)は, 移転先(在日本)が補完的ルール遵守体制を整備していることについて移転先の社内規程の整備・社員研修実績等を示すこと, また, 移転先による個人データ利用目的については, 移転時に移転元(在EU)から明確に指定したこと(補完的ルールp 7参照)の証拠も要求される可能性が高いと思われます。

移転元(在EU)としては, これらを予め準備しているか, または, 調査時に移転先から入手できなければ, GDPR上の記録義務(30)・遵守証明義務(24(1))等の違反を問われる可能性があると思われます。

従って, この点では, 移転元(在EU)にとり十分性認定より新SCCの方が有用性が高いと言えます。

page top

Q6: 新SCCに関する日本企業の要対応事項は？

A6: 企業としては以下のような対応が必要と思われます。

(1)EU域内から日本への移転について

①前記の日程を踏まえ, 2021年9月27日以降に新たに発生する日本への移転(旧SCC上の移転とことなる種類の移転についてはその実施までに移転の根拠を新SCC, 十分性認定いずれにするかを決定すること。

②既に締結済みの旧SCCについては, 2022年12月27日までに, 日本への移転の根拠を新SCC, 十分性認定いずれに切り替えるのかを決定すること。

③上記①・②の決定に際しては, 移転先(在EU), 移転先(在日本), データ主体, いずれの利益を優先するかも含め, 新SCC, 十分性認定いずれを選択するかを決定すること(但し新SCCに比べ十分性認定は移転元(在EU)に不利なので, 移転元(在EU)が日本側の子会社等でない限り受入れさせることは困難かもしれません)。

(2)EU域内から日本以外の国への移転について

十分性認定国(カナダ等)を除き, ほとんどの国への移転について新SCC締結の必要があるが, その前提としてTransfer Impact Assessment(データ移転影響評価)が必要。特に移転先が米国, 中国, ロシア等の場合要注意。

今回は以上です。

page top

【筆者の最近の個人情報保護関連書籍】

NEW!! “China Data and Personal Information Laws” 2022/1/31

「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05

『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24

「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[2]

【注】

[1] 【各モジュールの移転の例】岩村浩幸「英EU企業実務セミナーデータ保護：UK/EU GDPR」 2021年2月29日, JETRO p. 9を参考とした。

[2]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録