GDPR関連資格をとろう！QAで学ぶGDPRとCookie規制(53):49条例外事由に基づく域外移転
2022/04/01   情報セキュリティ, 個人情報保護法, 外国法

 

今回は, GDPR第49条例外事由に基づく個人データの域外移転について解説します。なお, 本稿で, 「EU域内」, 「EU域外」とは, GDPRはEU以外の国も含む欧州経済領域(European Economic Area：EEAに適用されるので, 実際には「EEA域内」, 「EEA域外」ですが, 記述の都合上, 「EU域内」, 「EU域外」とします。

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: 49条例外事由とは？ Q2: 49条例外事由を使える前提は？ Q3: 49条「データ主体の同意」に基づく移転の条件は？ Q4: 49条「契約履行」等の移転根拠は？ Q5: 49条「やむを得ない正当利益」の移転根拠とは？

 

Q1: 49条例外事由とは？

A1:十分性認定または適切な保護措置(SCC/BCR等)がない場合に個人データを第三国または国際機関(以下単に「第三国」という)に移転する根拠となり得る例外的事由(derogations)であり, GDPR第49条に限定列挙されています。

【解　説】

GDPRにおいては, 第45条に十分性認定に基づく移転(第50回参), 第46条に適切な保護措置(BCR, SCC, 行動規範, データ保護認証など)(第51回参照)に基づく移転が規定されていますが, この49条例外事由は, これらがない場合に(in the absence of)例外的・特例的に認められる個人データの第三国への移転条・根拠です。

page top

Q2: 49条例外事由を使える前提は？

A2: 49条例外事由は, 「十分性認定または適切な保護措置がない場合」であることが大前提で, その場合に初めて使える可能性があります。

【解　説】

GDPR第49条の標題は“Article 49 Derogations for specific situations”(特定の場合における例外事由)です(“Derogation”はここでは例外・特例の意味)。そして, その標題のもと, 49条1項本文は以下のように定めています。

“In the absence of an adequacy decision pursuant to Article 45(3), or of appropriate safeguards pursuant to Article 46, including binding corporate rules, a transfer or a set of transfers of personal data to a third country or an international organisation shall take place only on one of the following conditions:”

(筆者訳)「第45条第3項の十分性認定またはBCRを含め第46条の適切な保護措置がない場合(In the absence of)は, 次にいずれかの条件に基づいてのみ, 第三国または国際機関への個人データを移転することができる。」

上記の「...十分性認定または...適切な保護措置がない場合」(in the absence of an adequacy decision ...., or of appropriate safeguards ...)とはどのような意味でしょうか？

一つの解釈として, 十分性認定もしくは「適切な保護措置」(SCC/BCR等)によるかまたは49条例外事由によるかは当事者の自由であり, 十分性認定または適切な保護措置により域外移転を行うことも十分可能であるが, そうすることなく49条例外事由(例えばデータ主体の同意)により域外移転を行うこともできるという解釈が考えられます。

しかし, この解釈には次のような問題があります。

・この解釈は, 十分性認定やSCCによる移転と49条例外事由による移転を同列に扱うものです。しかし, GDPRは, 第45条で十分性認定による移転を, 第46条でBCR/SCC等「適切な保護措置」による移転を, そして, 第49条で「特定状況における例外」(Derogations for specific situations)と題して49条例外事由を規定しています。

このことからすれば, 域外移転の根拠としては十分性認定やSCCが原則であって49条例外事由は正に特定の状況(specific situations)においてのみ根拠とすることができるこの原則の例外(derogations)と解すべきです。

なお, このことは, 49条例外事由に関し, 欧州データ保護会議(European Data Protection Board：EDPB)が2018年5月25日に採択したガイドライン(以下「49条例外ガイドライン」という)において, 次のように述べられていることからも裏付けられます(「PPCによる49条ガイドライン訳：原文併記」p 9^[1])。

— 『[GDPR]第49条に基づく例外事由は, (i) 十分な水準の保護が[移転先の]第三国で与えられる[と十分性認定で認定されている]場合, または, (ii)適切な保護措置[SCC, BCRなど]が与えれかつデータ主体が基本権および保護措置を受けることができるよう執行可能かつ実効的な権利を享受する場合に限り個人データを第三国に移転できるという一般原則からの例外である。このことから, かつ, 欧州法[EU法]に内在する原則に従い, 例外がルールとなってしまわないよう, この例外は限定的に解釈されなければならない。このことは, この例外は特定の場合に用いられるべきものであると述べている第 49 条の標題「特定の場合における例外事由」によっても裏付けられている。』

・「49条例外ガイドライン」では, また, 「データの移転元は, 先ず, [その個人データの]移転にGDPR 第 45 条[十分性認定]または第 46 条[適切な保護措置:SCCなど]に定める[移転]メカニズムを適用するように努力し, その適用の可能性がない場合に限り, 第 49 条1項に定められる例外事由を用いるべきである」と述べられています(「PPCによる49条ガイドライン訳：原文併記」p 5^[2])。

従って, 十分性認定やSCCによる移転が十分可能であるならそれらにより移転しなければならず, 49条例外事由により域外移転を行うことができるのは, 次のような場合に限られると解釈することが妥当と思われます。

(i)何らかの合理的事情で十分性認定によることができずかつSCCにもよることができない場合

(ii)十分性認定やSCCではなくその例外事由により移転することに合理性・妥当性がある場合

その典型例は, 49条1項(f)の「データ主体が物理的または法的に同意をすることができず, かつ, データ主体または第三者の命等に係る利益(vital interests)を保護するため移転が必要な場合」です。これは, 例えば, EU域内に住むある個人(データ主体)がEU域外の旅行先国(第三国)で意識を失う程の重傷を負いその命を救うためにその個人のEU域内の主治医からその個人の医療データを旅行先国の病院に移転するような場合を想定しているものと思われます(「49条例外ガイドライン」 2.6参照)。

このような場合には, 移転元(例：EU域内の主治医)がそのような事態を事前に予想して移転先(例：十分性認定されていない第三国の病院)との間でSCCを締結しているということは期待できません。しかし, それでもなお移転の必要があるから十分性認定やSCCによらない移転が正当化されると解すべきでしょう。

これと同様に, 49条例外事由は, より具体的には, 次のような場合・例に限り, 域外移転の根拠とすることができると解すべきでしょう。

(a)何らかの合理的事情で十分性認定によることができずかつSCCにもよることができない場合

(例)移転が突発的でかつ緊急の必要があるが移転先国が十分性認定を得ておらずまたその移転を事前に予想できなかったためSCCを締結していない場合

(b)十分性認定やSCCではなくその事由により移転することに合理性・妥当性がある場合

(例)非十分性認定国で法的権利(legal claims)を裁判上行使するための移転(移転先である裁判所との間でSCCが締結されているということはあり得ない)

page top

Q3: 49条「データ主体の同意」に基づく移転の条件は？

A3: EU域内の移転元は, 「十分性認定または適切な保護措置がない場合」で, データ主体が, 十分性認定やSCCによらない移転であることにより生じ得るリスク(十分保護されないリスク)を伝えらえた上で, それでもなお, 明示的に(explicitly)GDPR第4条所定の要件を満たす同意を与えた場合, 第三国に個人データを移転することができます(49(1)(a))。

【解　説】

１．49条同意の要件

データ主体の同意を域外移転の根拠とする場合, 事業者は, 事前に, データ主体に対し, 十分性認定または「適切な保護措置」(BCR/SCC)による移転ではないことにより生じ得るリスクを伝えた上で明示的な(explicit)同意を得ておかなければなりません(49(1)(a))。

この同意は, GDPR第4条第11項により, 自由意思による(freely given), 目的ごとの(specific), 適切な情報を与えられた上での(informed)同意でなければなりません。

上記「適切な情報を与えられた上での」の要件については, 移転元が該当の個人データの取得当時からEU域外への移転を計画していた場合は, 次のタイミングで, 移転の目的・移転先等を, データ主体に対し, 他の項目(13,14)とともに情報提供しなければなりません。

(a)当該個人データをデータ主体から直接取得したときは当該取得時(13(1)(f))。

(b)間接取得(他の情報源からの取得)のときは所定の期間内(但し遅くとも取得から1か月以内)(14(1)(f), (3))。

移転元が個人データの取得の後に初めてEU域外への移転を計画した場合は, 移転実行前に, 改めて十分時間を置いてその情報をデータ主体に提供しその同意を得なければなりません(13(3), 14(4) )(WP29「透明性ガイドライン」^[3]参照)。

２．第49条の同意と第6条・第9条の同意の相違

GDPR第6条の同意および第9条の特別カテゴリーの個人データの処理に対する同意は, 個人データのあらゆる処理(移転を含む)に共通して要求される適法性(Lawfulness of processing)の根拠の一つであり, 域外移転に関して言えば, 域外移転の目的・移転先等移転の実質的内容に対する同意と言えます。

これに対し, 第49条の同意は, 域外移転の方法(十分性認定にもSCC等にもよらず域外移転すること)とそれに伴うリスクの許容についての同意と言えます。しかも第49条の同意はそのようなリスクを伝えられた上でなお自由意思によると言い得るものでなければなりません。

従って, 第49条の同意は, 企業の通常の事業活動において安定的に域外移転の根拠とすることができるようなものではないと言えます。域外移転に関して言えば, 移転の目的・移転先等の移転の実質的内容に対する同意を第6条の処理の適法性の根拠(他に管理者の「正当利益」等がある)として得た上で, 域外移転の方法としてはSCC等によるということが域外移転の通常の形でしょう。

３．EU域内から日本に第49条の同意に基づき移転する可能性

日本は, 日本国内の移転先企業などで「補完的ルール」を反映した社内規程を整備しその遵守体制を確立しておくという条件付きで, EUから十分性認定を受けていますが, (i) 日本国内の移転先がEU域内から個人データの移転を受けることは通常ないため補完的ルール整備・遵守体制が確立されていない場合で, かつ, (ii)同じ理由で移転元と移転先の間でSCCも締結されていないような場合は, 「十分性認定または適切な保護措置がない場合」に該当すると解釈可能でしょうから, 以下の要件を満たすときには, 第49条の同意に基づく移転も利用できる可能性があると思われます。

(a)補完的ルールの反映やSCC締結を待てない緊急の移転の必要があること

(b)データ主体が十分性認定やSCCがないために生じ得るリスク(例：目的外利用のリスク)を伝えられそれでもなお自由意思で明示的に同意したと言えること。

前述Q2の医療データの移転の例で言えば, データ主体が重い病状にあるがなお正常な判断と同意書面への署名等明示的な同意が可能な場合が該当するでしょう。

但し, EU域内から個人データの移転を受けることが度々ありまたは十分予想される日本企業であれば事前に補完的ルール整備・遵守体制を確立しておくことまたはそのような移転の当事者間で事前にSCCを締結しておくことが当然期待されます。従って, このような場合は, 49条の同意を根拠として域外移転を行うことはできないものと思われます。

結局, EU域内の企業がその事業上日本国内の企業に対して行う個人データの移転については, それが緊急かつ必要不可欠で予想外の移転でもない限り49条の同意を根拠とすることはできないでしょう。

page top

Q4: 49条「契約履行」等の移転根拠は？

A4: データ主体の同意以外で, EU域内の移転元が, 「十分性認定または適切な保護措置がない場合」に第三国に個人データを移転することができる以下の例外的移転根拠です。

(a)移転が, データ主体と管理者との契約の履行のため, または, データ主体の要求により行われる契約前の措置のために必要な場合(49(1)第１文(b))　(*)

(b)移転が, データ主体のため(in the interest of the data subject)管理者と他の個人または法人との間で締結される契約の締結または履行のため必要な場合(49(1)第１文(c)) (*)

(c)移転が重要な公益的理由(important reasons of public interest)のため必要な場合(49(1)第１文(d))

(d)移転が法的権利(legal claims)の立証(establishment), 行使または防御のため必要な場合(49(1)第１文(e)) (*)

(e)データ主体が物理的または法的に同意をすることができず, かつ, データ主体または第三者の命等に係る利益(vital interests)を保護するため移転が必要な場合(49(1)第１文(f))

(f)移転が, EUまたは加盟国の法令に基づき公開されている公的記録(register)[例：会社役員等の商業登録データ], または, 法的な正当利益(legitimate interests)を有することを証明した者が請求した場合開示される公的記録から得られた個人データについて行われる場合(49(1)第１文(g))。

【解　説】

「49条例外ガイドライン」では, とりわけ上記の(*)印が付いた事由による移転は偶発的な(occasional)ものでなくてはならず反復的な(repetitive)移転であってはならないとされています(1. 総論)。

これは, そのような移転が反復して行われるのであれば事前にSCCを締結しなければならないということでしょう。

従って, 49条「契約履行」等の移転根拠も企業が継続・反復的に行う移転の根拠とすることのできるものではないと言えます。

page top

Q5: 49条「やむを得ない正当利益」の移転根拠とは？

A5:十分性認定やSCCのみならず, 上記Q3のデータ主体の同意やQ4の契約履行等の移転根拠によることさえできないという究極の場合, 以下の極めて厳しい条件を全て満たすことを条件として認められる移転根拠です(49(1)第2文)。

(a)反復的でないこと(not repetitive)

(b)対象のデータ主体の数が限定されていること。

(c)管理者のやむを得ない正当利益(compelling legitimate interests)のために必要であること。

(d)上記の正当利益がデータ主体の利益または権利および自由に優先されることがないこと。

(e)管理者がデータ移転に関する全ての事情を評価し当該評価に基づいて個人データ保護に関する適切な保護措置を講じること。

なお, この場合, 管理者は, 監督機関に当該移転を通知するとともに, データ主体に対し, 当該移転および上記(c)の「やむを得ない正当利益」について他の項目(13,14)とともに情報提供しなければなりません。

従って, 49条「やむを得ない正当利益」を企業の通常の事業活動において現実的に域外移転の根拠とすることができる場合・可能性はほとんどないと言えます。

page top

今回は以上です。

 

【筆者の最近の個人情報保護関連書籍】

 

NEW!! “China Data and Personal Information Laws” 2022/1/31

「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05

『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24​​

「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

​「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

「GDPR関連資格CIPP/E準拠 詳説GDPR (上)- GDPRとCookie規制」 2019年11月

「GDPR関連資格CIPP/E準拠 詳説GDPR (下)- GDPRとCookie規制」 2019年11月

^[4]

【注】

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

^[1] 【49条例外ガイドライン】Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 (規則2016/679第49条の例外に関するガイドライン2/2018). 「PPCによる49条ガイドライン訳：原文併記」p 9には, 以下の記述がある："Therefore, derogations under Article 49 are exemptions from the general principle that personal data may only be transferred to third countries if an adequate level of protection is provided for in the third country or if appropriate safeguards have been adduced and the data subjects enjoy enforceable and effective rights in order to continue to benefit from their fundamental rights and safeguards. Due to this fact and in accordance with the principles inherent in European law, the derogations must be interpreted restrictively so that the exception does not become the rule. This is also supported by the wording of the title of Article 49 which states that derogations are to be used for specific situations (“Derogations for specific situations”)."

^[2] 【49条例外事由の例外性】「PPCによる49条ガイドライン訳：原文併記」p 5 "Hence, data exporters should first endeavor possibilities to frame the transfer with one of the mechanisms included in Articles 45 and 46 GDPR, and only in their absence use the derogations provided in Article 49 (1)."

^[3] 【透明性ガイドライン】Article 29 Data Protection Working Party (第29条作業部会)“Guidelines  on  transparency”(2018年4月11日採択). 「PPCによる透明性ガイドライン和訳(原文併記)」

[4]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

 

【筆者プロフィール】 浅井 敏雄  (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School  (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP  (International Association of Privacy Professionals) 会員, CIPP/E  (Certified Information Privacy Professional/Europe) 【発表論文・書籍一覧】 https://www.theunilaw2.com/