「プライバシーシールド」無効判決により、グローバルに個人情報の移転を行っている事業者にとってSCC(Standard Contractual Clauses:標準契約条項)の重要性が改めて見直された。この状況下において、2020年11月、今度はEU(欧州連合)の執行機関である欧州委員会(European Commission)が、SCCを改訂するドラフト(以下「改訂ドラフト」)を公表した。改訂ドラフトのポイントと改訂の背景を、中崎尚弁護士に聞いた。

グローバルに個人情報(データ)を移転するイメージ(写真/Shutterstock)
グローバルに個人情報(データ)を移転するイメージ(写真/Shutterstock)

 以前に紹介した2020年7月の「プライバシーシールド」無効判決(いわゆるSchrems II判決)では(参考記事「欧米間の『プライバシーシールド』が無効判決 日本への影響は?」)、個人データの域外移転に伴うデータ保護措置の1つとして、EU(欧州連合)のGDPR(一般データ保護規則)第46条に位置付けられているSCC(Standard Contractual Clauses:標準契約条項)の有効性が確認された。このことから、グローバルに個人情報の移転を行っている事業者にとって、SCCの重要性が改めて見直されようとしている。

 さらに同判決から4カ月後の20年11月に、EUの執行機関である欧州委員会(European Commission)は、SCCを改訂するドラフト(以下「改訂ドラフト」)を公表した。改訂ドラフトは、現行のSCCフォームを大幅に改訂するものであり、また締結済みのSCCについても1年以内のアップデートの義務付けが見込まれていることから、事業者もSCC対応に相当な負担を強いられることが予想される。

Q1 プライバシーシールド無効判決(Schrems II判決)においてSCCが有効と判断された理由は。

A1 Schrems II判決では、プライバシーシールドによる個人データの移転が無効と判断された一方で、SCCに基づく個人データの移転は引き続き認められた。その理由として、同判決は、SCC上の義務が順守できない場合、移転先は移転元に通知し、移転元は移転を中止しなければならない枠組みがSCCには組み込まれており、プライバシーシールドと異なり、データ保護の実効性が認められることを挙げている。

SCC締結後も補完的措置が重要

Q2 SCC締結後は、何の手当てもせずに、使い続けてよいのか。

A2 Schrems II判決を受けて、EUデータ保護当局を統括するEDPB(European Data Protection Board)がFAQを公表した。そのFAQによれば、SCCの枠組み自体が有効であることを前提としつつも、個別の事例において、SCCによって有効に移転できるか否かについては、移転の状況をケース・バイ・ケースで判断する。SCCに加え、講じられる補完的措置(supplementary measures)により、SCCが保障する十分なレベルの保護が可能であるかによる。こう述べており、補完的措置がポイントになることが明言されている。

 このため、SCCによって個人データをEU域内からEU域外に越境移転しようとする場合、SCCを締結してそれで終わり、ということにはならない。移転当事者は、移転先の国・法域の法制度・運用を継続的に検証し、場合によっては補完的なデータ保護措置が必要になってくる。

有料会員になると全記事をお読みいただけるのはもちろん
  • ①2000以上の先進事例を探せるデータベース
  • ②未来の出来事を把握し消費を予測「未来消費カレンダー」
  • ③日経トレンディ、日経デザイン最新号もデジタルで読める
  • ④スキルアップに役立つ最新動画セミナー
ほか、使えるサービスが盛りだくさんです。<有料会員の詳細はこちら>