GDPRを遵守して、個人データを海外に移転させる方法の個人的メモです。ご利用に当たっては必ず条文本体に当たってご自身でご確認ください。
- GDPR越境移転規制の概要
- 認められる方法①十分制認定を受けた国への提供 adequacy decision
- 認められる方法②適切な保護措置 appropriate safeguards
- (1) 公的機関又は公的組織の間の法的拘束力及び執行力のある文書(46条2項a)
- (2)拘束的企業準則(Binding Corporate Rules)(46条2項b)
- (3)欧州委員会によって採択された標準データ保護条項(Standard Contractual Clauses)(46条2項c)
- (4)標準データ保護条項(SCC)は個別監督当局が採択し欧州委員会が承認するものもあり(46条2項d)
- (5)行動規範(an approved code of conduct)(46条2項e)
- (6)認証方法( an approved certification mechanism)(46条2項f)
- (7)監督当局から承認を受けた契約(46条3項a)
- (8)公的機関又は公的組織の間の取決めの中に入れられる条項(46条3項b)
- 認められる方法③同意(49条1項a・3項)explicit consent
- 認められる方法④契約履行等(49条1項bc・3項)contract
- 認められる方法⑤公益(49条1項d・4項)public interest
- 認められる方法⑥法的主張(49条1項e)legal claims
- 認められる方法⑦生命保護(49条1項f)vital interests
- 認められる方法⑧公衆への情報提供(49条1項g)
- 認められる方法⑨例外パターン(49条1項後段(gの後))
GDPR越境移転規制の概要
GDPRでは個人データの越境移転が制限されています(44条)。
この考え方の背景は次の通りです。個人データの保護は、国によって適用される法律が異なっており、他国に移転された個人データが、自国並みに十分に保護されるかどうかが不明瞭だからです。
もっとも、EEAについては、同じくGDPRが適用されますので、理論上は、EEAは個人データに対して等しく同じ保護が及ぶと考えられ、この範囲内での個人データの移転は認められています。
問題はEEA外に個人データを移転する場合です。
以下では、EEA外に個人データを移転する場合としてGDPR上認められている方策について記載します。
なお、イギリスのデータ保護当局であるICO(Information Commissioner's Office)のサイトがすごくわかりやすいので、リンクしておきます。
認められる方法①十分制認定を受けた国への提供 adequacy decision
EEA外であっても、十分なデータ保護の水準を確保していると欧州委員会が決定した場合(十分制認定を受けた国の場合)は、移転がGDPR上可能です(45条1項)。
十分制認定を受けているのは、日本のほか、アルゼンチン、イスラエル、ニュージーランド、スイス、ウルグアイなどです。アメリカとはプライバシーシールドに基づいて移転可能ではあります。また韓国も十分制認定を取得する方向で動いているようです。
Andorra, Argentina, Canada (commercial organisations), Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Switzerland, Uruguay and the United States of America (limited to the Privacy Shield framework)
ゆえに、EEAから日本に移転することは可能です。例えば、フランスから日本に個人データを移転するなどです。
認められる方法②適切な保護措置 appropriate safeguards
EEA外であっても、適切な保護措置を確保している場合は、監督当局の個別承認を必要とせずに、移転がGDPR上可能です(46条1項)。
その方法は以下のように複数あります。有名なのがBCR、SCCでしょうが、それら以外にも認められている方法があります。
(1) 公的機関又は公的組織の間の法的拘束力及び執行力のある文書(46条2項a)
(2)拘束的企業準則(Binding Corporate Rules)(46条2項b)
47条も参照。承認まで12か月ぐらいかかるそうです。
(3)欧州委員会によって採択された標準データ保護条項(Standard Contractual Clauses)(46条2項c)
→JETRO資料参照
新しい標準条項が出るのでしょうかねえ。
ICOが次のように書いています。
The Commission plans to update the existing standard contractual clauses for the GDPR. Until then, you can still enter into contracts which include the Directive-based standard contractual clauses. Please keep checking the websites of the ICO and the Commission for further information.
(4)標準データ保護条項(SCC)は個別監督当局が採択し欧州委員会が承認するものもあり(46条2項d)
但し、まだこれは存在していないようです。以下ICOサイトの引用。
However, neither the ICO nor any other EEA supervisory authority has yet adopted any standard data protection clauses.
They are likely to be similar to those adopted by the Commission (above), but will be first adopted by the supervisory authority and then approved by the Commission.
We will add more details about using this option in due course.
(5)行動規範(an approved code of conduct)(46条2項e)
日本企業は難しい?
(6)認証方法( an approved certification mechanism)(46条2項f)
日本企業は難しい?
(7)監督当局から承認を受けた契約(46条3項a)
ICOではまだ認めた例がないそうです。
At present the ICO is not authorising any such bespoke contracts, until guidance has been produced by the EDPB.
(8)公的機関又は公的組織の間の取決めの中に入れられる条項(46条3項b)
認められる方法③同意(49条1項a・3項)explicit consent
十分性認定及び適切な保護措置が存在しないために、そのような移転がそのデータ主体に対して発生させる可能性のあるリスクの情報提供を受けた後に、そのデータ主体が、提案された移転に明示的に同意した場合
認められる方法④契約履行等(49条1項bc・3項)contract
データ主体と管理者との間の契約の履行のためにその移転が必要となる場合、もしくは、データ主体の要求により、契約締結前の措置を実施するためにその移転が必要となる場合
又は
管理者及びそれ以外の自然人若しくは法人との間でデータ主体の利益のために帰する契約の締結、もしくは、その契約の履行のために移転が必要となる場合
認められる方法⑤公益(49条1項d・4項)public interest
公共の利益の重大な事由の移転が必要となる場合。公共の利益は、EU 法又は管理者が従う加盟国の国内法において認められていなければならない。
認められる方法⑥法的主張(49条1項e)legal claims
法的主張時の立証、行使又は抗弁に移転が必要となる場合
認められる方法⑦生命保護(49条1項f)vital interests
データ主体が物理的又は法的に同意を与えることができない場合において、データ主体又はそれ以外の者の生命に関する利益を保護するために移転が必要となる場合
認められる方法⑧公衆への情報提供(49条1項g)
EU 法又は加盟国の国内法に従い、公衆に対して情報を提供することを予定しており、かつ、公衆一般及び正当な利益をもつことを説明することのできる者の両者に対して開かれているが、個々の案件において、照会に関してEU 法又は加盟国の国内法により定められた条件が充足する限度内のみに制限されている登録機関に限り、登録機関からの移転が必要となる場合
認められる方法⑨例外パターン(49条1項後段(gの後))
その移転が、反復的なものではなく、限定された人数のデータ主体に関係するものであり、データ主体の権利及び自由によって優先されるものではない管理者が求める義務的な正当な利益の目的のために必要であり、かつ、管理者がデータ移転と関連する全ての事情を評価しており、かつ、その評価に基づき、その管理者が個人データの保護に関連して適合する保護措置を提供した場合に限り、第三国又は国際機関に対する移転を行うことができる。その管理者は、監督機関に対して、その移転を通知しなければならない。その管理者は、そのデータ主体に対し、第 13 条及び第14 条に規定する情報に加え、その移転及び求められる義務的な正当な利益に関し、情報提供しなければならない。
水町考え
十分制認定、BCRが無難。SCCはただしアップデート要?
49条1項も選択肢としてなくはないが、危ないっちゃ危ないので、丁寧な検討と、データ保護当局とのやりとりが必要か。
