個人データを、ビジネスを守る、IIJ

欧州委員会、GDPR46条のSCCを10年ぶり改訂へ


EUの執行機関である欧州委員会(European Commission)は、11月12日までに、個人データの域外移転に伴うデータ保護措置の一つとしてGDPR第46条に位置づけられている標準契約条項(SCC)を改訂するドラフト(以下「新SCC案」)を公表した。新SCC案は、(1)契約的義務としてのデータ保護の確保、(2)データ主体に第三受益者として契約義務を強制する権利を付与、(3)EU域内の裁判所による司法救済の保障という従来からの基本的枠組みを維持しつつ、移転パターンの複雑化、多数当事者による締結に対応するとともに、いわゆるSchremsII判決に対応した移転当事者の義務内容が新たに加えられた。新SCC案の主要なポイントは以下の通り。

新SCC案の主要なポイント

1.移転パターン多様化への対応
従来のSCCは、管理者から管理者または処理者への移転をカバーするものだったが、新SCC案は、考えうるすべてのパターン、すなわち、管理者から管理者、管理者から処理者、処理者から復処理者、処理者から管理者の4つの移転パターンをすべてカバーするものとなっている。

2.条項のモジュール化
カバーする移転パターンの多様化に対応して、SCC条項のうち各移転パターンに適用されるものをモジュール化し、実際の移転パターンに従って必要なモジュールを組み入れ、SCCをカスタマイズする仕組みとなった。

3.28条処理契約の標準契約条項
これまで域外移転に処理者が関与する場合、SCCと併せて、GDPR第28条に規定された事項を含む処理契約を管理者と処理者との間で締結する必要があったが、新SCC案では、処理契約に必要な条項が盛り込まれ、GDPR第28条7項に基づく処理契約の標準契約条項としての位置づけが新たに与えられた。

4.多数当事者による契約
複数のグループ企業や関連する処理者が関与する域外移転のパターンや個人データ再移転(onward transfer)に対応するため、契約締結後に新たな管理者・処理者を当事者として追加することができる仕組みが加えられた。

5.ShremsII判決への対応
新SCCには欧州司法裁判所(CJEU)のSchremsII判決に対応する部分が新たに加えられた。具体的には、(1)移転当事者は、移転先国の法令およびその運用を調査し、それらがSCCが当事者に課するデータ保護義務を阻害しないことを検証し、保証する義務、(2)移転先国法令の改廃、公的機関からの移転対象データへのアクセス命令など、同義務を阻害する状況が生じた場合、データ輸入者がデータ輸出者、EU加盟国の監督機関に通知する義務、(3)この場合、移転中止を含む必要な措置をとる義務が追加された。

新SCCへの切替は、正式決定後1年の猶予

新SCC案は、12月10日までの公開意見聴取の後、EU加盟国データ保護当局の代表などから構成される欧州データ保護会議(EDPB)での加盟国間意見調整などの手続を経て、欧州委員会で正式決定される。この手続は、SchremsII判決への対応の緊急性を踏まえ、早急に行われると思われる。正式決定後、企業がすでに締結済みの旧SCCに準拠したデータ移転契約を新SCCに準拠したものに締結し直すことについては、1年間の猶予が与えられることが新SCC案を紹介する決定のドラフトに明記されている。

速めの準備作業着手が必要

ただ、多数移転当事者による移転をカバーするSCCの一本化、様々な移転パターンへのモジュール化対応、処理者契約標準契約条項の組み込みなどの新SCCのメリットを最大限に活用し、グループ企業間でSCCを一本化するためには、少なくとも正確なデータマッピングが完了し、移転パターンが詳細に把握できていることが前提となるので、専門家のアドバイスを得てグループ企業および取引先との間の個人データの移転に関するデータマッピングには早めに着手することが望ましい。

新SCC案はいわゆるSchremsII判決を受けて、移転先国の法制度および運用に関するデュー・デリジェンスおよび補完的措置の義務も組み込んでいるが、この件については、新SCC発効を待たず、先にEDPBが公表したガイドラインでも移転当事者の義務であることが再確認されている。したがって、なるべく早い機会に、移転データが公的アクセスの対象となる可能性、それに備えてのガイドラインで例示された補完措置の確定などを行い、一連の評価結果について作業を文書化する必要がある。大規模な企業グループの場合、この作業にも数ヶ月を要すると思われるので、早めの着手が望まれる。

【欧州委員会による新SCC案】
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries

関連情報

★ソリューション・コンテンツ

GDPR関連ニュース・コンテンツ

★サービス

IIJ DPOアウトソーシングサービス

IIJ DPOアウトソーシングサービスは、EU GDPRで求められるDPO(Data Protection Officer:データ保護責任者)のアウトソーシングサービスです。
プライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームが、お客様のGDPR遵守対応をサポートします。

IIJ EU代理人サービス

EUに拠点をもたずEUと取引をする企業は、管理者、処理者に関わらず、EU代理人(EU representative)を選任する義務があります。IIJ EU代理人サービスは、EU各国(27カ国と英国)のEU代理人が、EU各国の監督機関やデータ主体(EUに所在する個人)から、英語、フランス語、ドイツ語、スペイン語、イタリア語での問い合わせに対応します(その他のEU公用語も対応可能です)。また、日本語でお客様に取り次ぐと共にGDPRの専門家としてのアドバイスも行います。

IIJビジネスリスクアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします

関連記事