個人データを、ビジネスを守る、IIJ

欧州委員会 新SCCを正式採択 企業は契約再締結が必要


欧州委員会が新SCCを正式採択

EUの執行機関である欧州委員会は、6月4日、EU域外第三国に個人データを移転する場合の保護措置の一つとしてGDPR第46条に位置づけられている標準契約条項(standard contractual clauses)(以下「SCC」)の改訂版を正式採択した。新SCCは6月27日に有効となり、9月27日には旧SCC(Decision 2001/497/EC及びDecision 2010/87/EU)が廃止される。経過措置として、旧SCC廃止以前に旧SCCに基づいて締結されたデータ保護契約は、2022年12月27日まで有効とされる。つまり、来年12月27日までには、旧SCCに基づくデータ保護契約は新SCCに基づくデータ保護契約に締結し直す必要がある。

シュレムスII判決による義務を織込み

2020年7月に欧州司法裁判所(CJEU)が下したシュレムスII判決により、旧SCC準拠データ保護契約を保護措置としてEU域外第三国に個人データを移転する事業者等には、

  • 移転先国の法制度及びその運用によりSCCに基づく義務の履行が妨げられないかどうかを継続的にすること
  • SCCに基づく義務の履行が妨げられる事態が生じる場合には、一定の補完的措置を講じること
  • 補完的措置を講じてもなおSCCに基づく義務が履行できない場合には、移転を中心するなどの対応をとること

が求められている。新SCCはこれらの確認義務、確認結果の文書化義務および必要に応じた補完的措置義務を包含している。事業者等は、現在のデータ保護契約を新SCCに準拠したものに更改することにより、これらの義務を履行できることになる。したがって、事業者は、現時点で既に求められているシュレムスII判決への対応の選択肢として、18ヶ月の猶予期間を待たず、新SCC準拠契約への対応を考慮すべきである。

モジュール構成により様々な移転パターンに対応

契約に基づく権利・義務という観点から、新SCCは、旧SCCの骨格を踏襲している。それらは、以下の通りである。

  • GDPRに準ずるデータ保護義務を当事者の契約的義務とすること。例えば、利用目的限定、透明性確保、処理・保存最小化、安全管理などの義務を課する。
  • 移転当事者に対してSCCに基づく契約的義務の履行を求めることができる権利を契約当事者ではないデータ主体に付与すること
  • SCC義務違反に関して司法的救済を求める権利をデータ主体に付与すること

一方、旧SCCには、a)管理者から管理者へのデータ移転、b)管理者から処理者へのデータ移転にそれぞれ対応するバージョンが存在したのに対して、新SCCは複数のモジュールから構成され、a)管理者から管理者、b)管理者から処理者、c)処理者から処理者、d)処理者から管理者の移転パターンに応じて、必要なモジュールだけを選択する構成となった。

多数当事者間のデータ移転への対応

旧SCCは、基本的には、単一のデータ輸出者と単一のデータ輸入者間の契約を念頭に構成されていた。実務においては、様々な工夫により、例えば企業グループに属する複数法人を当事者として包括的に含める運用が行われてきたが、新SCCでは、このような多数当事者が関与するデータ移転を最初から想定し、さらに、事後的に当事者を加えることもできる構成となっており、グループ企業間の国際的データ移転におけるデータ保護措置として、旧SCCに比べて使いやすいと思われる。

企業にとって移転先国法制度の継続的確認は負担

上述の通り、シュレムスII判決を受け、新SCCは、移転先国における個人データ保護に関する法制度及びその運用について確認し、その評価結果を文書化し、当局の求めに応じてこのような評価文書を提出することを移転当事者に義務づける。

我が国の令和2年改正個人情報保護法においても、外国にある第三者に個人データを提供する場合、個人情報取扱事業者は、移転先国における個人情報保護制度について、本人に対して一定の情報提供を行うことが義務づけられた。日欧におけるこのような外国制度に関する調査・確認・文書化・情報提供義務は、事業者にとって相当な負担になると思われる。

EU公報に公示された新SCCに関する欧州委員会の決定

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914

関連情報

コンテンツ

GDPR関連コンテンツ

SCC関連コンテンツ

域外移転関連コンテンツ

サービス

IIJ GDPR対応状況セカンドオピニオンサービス

GDPR対応で監督機関への説明責任を果たすために、お客様が作成したドキュメントをレビューし、アドバイスを行うサービスです。また、必要があればドキュメントの修正も行います。ビジネスリスクアドバイザリーサービスと合わせてご利用いただくことで、GDPR対応の確実性を向上できます。

IIJ DPO/CPO補佐サービス

IIJ DPO/CPO補佐サービスは、 IIJのプライバシー保護法コンサルタントがお客様のGDPR、及び各国プライバシー保護法により企業に求められるDPO(Data Protection Officer:データ保護責任者)とCPO(Chief Privacy Officer:最高プライバシー保護責任者)をサポートするアウトソーシングサービスです

IIJ DPOアウトソーシングサービス

IIJ DPOアウトソーシングサービスは、EU GDPRで求められるDPO(Data Protection Officer:データ保護責任者)のアウトソーシングサービスです。
プライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームが、お客様のGDPR遵守対応をサポートします。

IIJ EU代理人サービス

EUに拠点をもたずEUと取引をする企業は、管理者、処理者に関わらず、EU代理人(EU representative)を選任する義務があります。IIJ EU代理人サービスは、EU各国(27カ国と英国)のEU代理人が、EU各国の監督機関やデータ主体(EUに所在する個人)から、英語、フランス語、ドイツ語、スペイン語、イタリア語での問い合わせに対応します(その他のEU公用語も対応可能です)。また、日本語でお客様に取り次ぐと共にGDPRの専門家としてのアドバイスも行います。

IIJビジネスリスクアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。

IIJ GDPR有事対応支援サービス

インシデント発生時に72時間以内の監督機関への報告対応、社内関係部署のしかるべき連携、対データ主体の情報開示といったセンシティブかつ急を要する対応について、お客様のチームに合流してアドバイスを行います。またご依頼に基づき、実際の各種報告書面の作成等の必要な作業を行います。

関連記事