EUデータ保護規則(GDPR)―EU域外への個人データの移転②/十分な保護措置と拘束的企業準則

前回の”EUデータ保護規則―EU域外への個人データの移転①”では、EU域外への個人データの移転を行う場合には、3つの条件のいずれか(①十分性の決定、②十分な保護措置、③特例)を満たす必要があることと、3つの条件の最初の十分性の決定について見てきました。これから、2番目の「十分な保護措置」について考えていきます。まずは、拘束的企業準則について説明しましょう。
なお、2018年5月25日にはEU指令は廃止され、EUデータ保護規則が施行され、仕組みが一変することから、EUデータ保護規則を中心に記述しています。

十分な保護措置とは何か

EUから第三国または国際機関への個人データの移転は、十分な保護措置に基づく場合に行うことができます。十分な保護措置とは、adequate safeguardsを訳したものですが、適切な安全措置と訳す文献も見かけます。EUデータ保護規則によると、次の5つの場合のいずれかを満たす場合を指します。

拘束的企業準則 (BCRs: Binding Corporate Rules) §46Ⅱ(b),§47
標準データ保護条項(欧州委員会が採択または監督機関+欧州委員会の承認) (SDPC: Standard Data Protection Clauses) §46Ⅱ(c)(d),§93Ⅱ
行動規範 (Code of Conducts) §46Ⅱ(e),§40
認証 (Certification) §46Ⅱ(f),§42
契約条項 (Contractual Clauses) §46Ⅲ(a)

拘束的企業準則(Binding Corporate Rules)

▼拘束的企業準則とは

拘束的企業準則とは、binding corporate rules(BCRs)の訳語で、EU内にある企業が同じ企業の中で個人データを移転する際の方針を定めた内部規定のことをいいます。その企業以外の機関、団体、個人などに個人データを移転する場合の準則ではありません。

拘束的企業準則は、その性質からも明らかなように、主に多国籍企業によって用いられています。多国籍企業が、十分性の決定を得ていない第三国内にあるその企業の部署に個人データを移転する場合、その移転は第三国への個人データの移転にあたります。拘束的企業準則を用いていない場合には、個人データの移転ごとにいちいち契約を締結しなければならなくなり、経済活動の効率も低くなるおそれがあります。

▼拘束的企業準則の利点

拘束的企業準則には、欧州委員会のサイト(Overview on Binding Corporate rules)によれば、次のような利点があるとされます。

  • 企業内での個人データ移転が指令を充足
  • 企業内の個人データに関する実務の調和
  • 第三国への個人データの移転から生じるリスクの回避
  • 移転ごとの契約締結の回避
  • 企業の個人データ保護方針の外部への明示
  • 従業員への内部ガイド
  • ビジネスにおける個人データ保護の必須要素化

EUの多国籍企業で、拘束的企業準則を採用している企業は、欧州委員会のリストによれば88あるようです。

EU指令とEUデータ保護規則との違い

第29条作業部会(Article 29 Working Party)が作成したワーキング・ペーパーの要求事項を満たした拘束的企業準則による個人データ移転は正当であると認められてきました。しかし、EU指令の条文の中で、拘束的企業準則が正当な個人データ移転であると明示されていたわけではありません。あくまで第29条作業部会の勧告によるものでした。また、拘束的企業準則に加えてさらに監督機関の承認を要求していた構成国もありました。

これに対して、EUデータ保護規則は、明確に拘束的企業準則を正当な個人データの第三国への移転の仕組みの一つと位置付けました。また、構成国の監督機関の移転に対する承認は不要となりました。これは多国籍企業のビジネスにとってはプラスの要素です。

拘束的企業準則にはどのような内容でなければならないか

EUデータ保護規則によると、拘束的企業準則は、①拘束力があり、共同の経済活動に従事する事業グループまたは企業グループに属する個々の構成員および従業員に対して適用されるもので、個人データの処理に関しデータ主体に執行可能な権利を明確に付与している場合でなければなりません(§47Ⅰab)。加えて、規則第46条第2にあげられた事項を記載する必要があります(§46Ⅰc,Ⅱ)。主な事項を次にあげました。

  • グループ企業の構成と連絡先詳細
  • データ移転の内容
  • 法的拘束力の性質
  • データ移転に適用される一般データ保護原則、プライバシー・デザインや初期設定によるデータ保護、拘束的企業準則が及ばない企業等への再移転の用件
  • データ主体の権利と権利行使の手段
  • EU外の企業の部署の拘束的企業準則違反に対するEU内の企業の責任負担の受諾
  • 拘束的企業準則の仕組み
  • 拘束的企業準則に関する情報のデータ主体への提供方法
  • データ保護担当者またはその他の拘束的企業準則の遵守を監視する者の職務
  • 苦情処理手続
  • 拘束的企業準則の遵守の検証を確保する仕組み
  • 準則の変更を報告し記録し、監督機関にその変更を報告する仕組み
  • グループ企業の拘束的企業準則の遵守を確保するための関連監督機関との協力体制
  • 個人データに個人データに永続的かつ定期的にアクセスする職員に対する適切なデータ保護教育アクセスする職員に対する適切なデータ保護教育

拘束的企業準則の承認手続

EU指令では、第29条作業部会が、拘束的企業準則の必要な要素や特徴をあげたワーキング・ペーパーを作成しています。しかし、この解釈が、構成国によって異なることがありました。
EUデータ保護規則は、統一する仕組み(Consistency Mechanism)*を通して、監督機関が承認をします。このため、個々の構成国の監督機関が異なる判断をするということがなくなると見られています。
統一する仕組みについては、別の記事で説明します。

* 文献によっては、「一貫性ある仕組み」と訳されていることがあります。ここではわかりにくいので、解釈をすべての監督機関で統一する仕組みであることから、統一する仕組みと訳しています。

まとめ

1 拘束的企業準則は、企業グループ内の個人データ移転に関する内部規定である。

2 EUデータ保護規則の下で、正当な個人データの第三国への移転の仕組みの一つとして明記された。

3 拘束的企業準則に掲げるべき内容は多岐にわたる。

 

【参考サイト】

EU個人データ保護規則:General Data Protection Regulation

欧州委員会のサイト: Overview on Binding Corporate Rules

 

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。