連載第3回では、EU(欧州連合)法上のデータの越境移転規制について、その対応実務のポイントを概観する。まずEUの一般データ保護規則(GDPR)上の越境移転規制を解説し、その中でも特に実務上最も依拠されることが多く、また2021年に大きな変更のあった標準契約条項(SCC)に的を絞って実務上の対応のポイントを解説する。

EU(欧州連合)域内でビジネスを展開する日本企業はGDPRの越境移転規制への対応が避けて通れない(写真/Shutterstock)
EU(欧州連合)域内でビジネスを展開する日本企業はGDPRの個人情報の越境移転規制への対応が避けて通れない(写真/Shutterstock)

GDPR上のデータの越境移転規制

 GDPRにおいても、日本の個人情報保護法と同様、データの越境移転が原則として禁止されている。この例外についてGDPRは主に5つを規定しているが、前回の日本の個人情報保護法と同じく、EU域内と同等以上のデータ保護をどの単位で担保しているかという観点から理解すると分かりやすい。

 まず、国レベルの保護を担保する十分性認定(個人データの保護レベルが同等とみなす国・地域)については日本法と同様である。日本以外にも、スイスや英国、南米諸国など複数の国が指定されている点に特徴がある。また、相手国の法制度が不十分であっても、国際協定などの実装行為をもって補完することで十分性を認めることがあり、かつての米国への十分性認定はこの例であった。

 なお、EUから日本への移転データについて、EUからの十分性認定に依拠するには個人情報保護委員会が定めたEUからの移転データに対する補完的ルールを順守する必要がある点に注意すべきである*1

 次に、組織単位の担保について、GDPRは日本法よりも豊富な選択肢を規定している。まず、主にグループ企業を一体として策定したルールである拘束的企業準則(BCR)に基づく移転がある。これは、グループ単位のポリシーを現地のデータ保護を担当するEU加盟国の政府機関、データ保護監督機関(DPA)に対して提出し、審査を経て認められるものである。現状、楽天グループやKUMON、Internet Initiative Japan(IIJ)などの日本企業がこれを取得している*2

 ただし、これはグループごとに起草する必要があり、自由度が高い分、認可に至るやり取りが複雑であるため、実務上はグループ単位での移転が活発な企業に限定されると思われる。他方、このように複雑なやり取りを規制当局と行うため、その過程で現地の規制当局の問題意識の把握や職員との関係づくりが行いやすくなる。また、規制当局にコストをかけてGDPRを順守する姿勢を目に見える形で示せるため、信頼関係が構築できるとのメリットも指摘されている。

最も実務的に利用頻度が高いのはSCC

 次に、組織単位の十分性を担保する手段のうち、最も実務的に利用頻度が高いのが、標準契約条項(SCC)である。SCCはこれまで、あらかじめEU当局から提示されたひな型にサインするだけで利用できるため(サインの手間などはあるものの)、実務上利用頻度が最も高かった。しかし、2021年の改正で大幅に改訂され、かつ旧来のSCCが無効になることも決定された。この点は実務上非常に重要な変更であるため、後に詳しく触れることとしたい。

このコンテンツ・機能は有料会員限定です。

有料会員になると全記事をお読みいただけるのはもちろん
  • ①2000以上の先進事例を探せるデータベース
  • ②未来の出来事を把握し消費を予測「未来消費カレンダー」
  • ③日経トレンディ、日経デザイン最新号もデジタルで読める
  • ④スキルアップに役立つ最新動画セミナー
ほか、使えるサービスが盛りだくさんです。<有料会員の詳細はこちら>
この記事をいいね!する