EUデータ保護規則(GDPR)―EU域外への個人データの移転①/概観&十分性の決定

今回は、EU構成国からEU域外に個人データを移転する場合の規制について見ていきます。現代は、飛躍的に個人データが国境を越えるようになりました。たとえばクラウドコンピューティングやITサービスでは、日本国内にある企業であっても、他国に個人データが物理的に存在することがありうることがたやすく理解できるでしょう。
EUは、個人データのEU構成国以外の第三国への移転について、EU個人データ保護指令の時代から取り組んできたパイオニアです。個人データの越境移転について、EUデータ保護規則はどのように定めているのでしょうか。指令の時代と比べて、どの点に変更があるのでしょうか。

 

EU構成国間の個人データ移転

EUの構成国と構成国との間で、個人データを移転することは当然のことながら自由です。
個人データを自由に移転することができる地域は、欧州経済圏(EEA: the European Economic Area)にも拡大されています。つまり、EU構成国28か国とアイスランド、リキテンシュタイン、ノルウェーの31か国間では、個人データを自由に移転することができるのです。EU、EEAの関係については、ミニ知識-EFTA(欧州自由貿易協定)とEEA(欧州経済圏)を参考にしてください。

したがって、日本企業がEU構成国内に事業所を有していたり、その国の法律にしたがい子会社を設立している場合に、EU規則の規律を遵守しつつ、事業者や子会社から他のEU構成国、EEA加盟国に個人データを移転することについては、何ら制限はありません。

第三国への個人データの移転は一定の条件下でのみ許される

一方、EU構成国から第三国に個人データを移転することは自由ではありません。日本にある日本企業が、EUの企業から個人データの移転を受けようとする場合またはEU構成国内の日本企業が日本を含む第三国にデータを移転しようとする場合に、EUデータ保護規則の規律がかかってきます。

EU個人データ保護指令では、次の3つの条件のいずれかを満たした移転の場合には、第三国への個人データの移転が認められています。
①欧州委員会から個人データの保護措置が十分であるとの認定を受けた第三国への移転
②十分な保護措置に基づく移転(拘束的企業準則や標準データ保護条項)
③特例に基づく移転

この枠組みは、EUデータ保護規則でも維持されています。ただし、②の安全措置や③の特例が広がったため、企業にとっては実務的に負担が軽減される傾向にあるといえます。
なお、規則は、第三国だけではなく国際機関への移転についても同様の規制を強いています。ここでは企業に関係のある第三国への移転を中心に考えていきます。

条件①十分性の決定に基づく移転

EUデータ保護規則は、欧州委員会が第三国が個人データについて十分な保護水準を確保していると決定した場合には、その他の安全対策を必要とすることなく、EU構成国からその第三国に個人データの移転ができると定めています(第45条)。
十分性とは、”adequacy”の訳語ですが、「適切性」と訳している文献もあります。

EU指令にも同様の規定がありましたが、EUデータ保護規則のほうが、欧州委員会が保護水準の十分性を決定する際に勘案すべき要素をより多く列挙しているといえるでしょう。勘案される要素は次のようなものとなっています(第45条第2項)。

<法の支配・法律の執行状況・法的救済措置>
法の支配、人権および基本的自由の尊重、公共の安全、防衛、国家の安全および刑事法を含む一般的および分野別の関連法制、ならびに公的機関の個人データへのアクセス
これらの法制、データ保護準則、職業上の規則ならびに保護措置の履行。これには、第三国が遵守する第三国への個人データの再移転に関する準則、判例法、有効で執行可能なデータ主体の権利並びに個人データが移転されるデータ主体に対する有効な行政的および司法的救済が含まれる。

<独立監督機関の存在>
データ保護規則の遵守を確保し執行する責任を有する第三国の独立監督機関の存在と有効な機能。これには、データ主体による権利行使を援助・助言し、構成国の監督機関と協力する適切な法執行権限が含まれる。

<国際的な活動>
当該第三国が締結した国際公約、または特に個人データの保護に関連して、国際的もしくは地域的な制度への参加。法的拘束力を有する規約もしくは協定から生ずるその他の義務

十分性の決定を受けた国は、その後4年ごとに定期的な審査を受けることになっています(第45条第3項)。十分性を確保していない判断された場合には、決定が取り消されることもあります(第45条第5項)。

十分性の決定を受けた国

EU指令の下で、欧州委員会が個人データの保護水準の十分性を満たしていると決定した国々は、これまで11か国あります。詳しい内容は、欧州委員会のウェブサイトに掲載されています。Commission decisions on the adequacy of the protection of personal data in third countries

アンドラ、アルゼンチン、カナダ(ただし商業的な団体)、フェロー諸島、ガーンジー、 イスラエル、マン島、ジャージー、ニュージーランド、スイス、ウルグアイ

EUデータ保護規則によると、この十分性の決定は、EU規則の施行後も、欧州委員会の修正、更改又は取消がない限り効力を有するとのことです(第45条第9項)。この11か国は、そのまま十分性を確保している取扱いがなされるわけです。

なお、アメリカ合衆国は、十分性の決定は受けていませんが、EUとの間でセーフ・ハーバー原則を結ぶことによって、EUから個人データの移転を受けることができるようになっていました。しかし、2015年11月5日、欧州司法裁判所は、Schrems vs Data Protection Commissionerの事案で、欧州委員会のセーフ・ハーバー原則に関する決定を無効と判断しました。このため、現在、アメリカの企業に個人データのより強い義務を求める新しい枠組みが模索されています。EU-U.S. Privacy Shieldです。すでに2016年2月29日に、欧州委員会は十分性の決定案を公表しています。今後、所定の手続を経て最終決定が下されるものと思われます。

 

日本は十分性の決定を受けることができるのか

さて、日本についてですが、EUと同様に一般法で個人データの保護を図っているものの、欧州委員会から保護水準の十分性についての決定を受けることは、今のところできていません。日本企業にとっては、日本が十分性の決定を受け、自由に個人データを移転できるようになれば、迅速に効率的な企業運営ができるようになり、利益であることはいうまでもありません。1つひとつの企業がそれぞれEUデータ保護規則の個人データの移転の条件を検討しなければならないのは、法務のコストもかかります。
企業からの要望を踏まえ、欧州委員会から十分性の決定を受けることができるような内容にするということも、2017年4月に全面施行される個人情報保護法の改正の背景にあったようです。
個人情報保護法の改正に加え、独立した監督機関である個人情報保護委員会が発足し、体制は整いつつあります。
これまで十分性の決定を受けた国々に関する29条作業部会の報告文書を見ると、法律の内容が詳しく分析され、罰則や救済措置などが検討されているものの、その他の事柄はそれほど詳しく記載されているようには思われません。これにならえば、日本の改正個人情報保護法について十分性の決定が得られる可能性は、以前にもまして高くなったように思われます。とはいえ、決定を得ることはそれほど簡単ではないようです。
しばらくの間は、十分な保護措置に基づく移転または特例に基づく移転によって、個人データを移転する必要があります。この2つの条件に基づく移転は、別な記事で説明することにします。

まとめ

1 EU域内の個人データ移転は自由

2 EU域外への個人データの移転は3つの条件(十分性の決定、十分な保護措置、特例)のいずれかを満たす場合に認められる。

3 日本は欧州委員会から保護水準の十分性の決定を受けていない。

4 決定を受けるまでは、十分な保護措置に基づく移転または特例に基づく移転が必要となる。

2016年10月4日更新:安全措置を「保護措置」という訳に変更しました。

 

 

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。