EUデータ保護規則(GDPR)―EU域外への個人データの移転③/標準データ保護条項と契約条項

前回の記事”EUデータ保護規則-EU域外への個人データの移転②”では、十分性の決定を受けていない第三国にEUから個人データを移転する場合に、十分な保護措置に基づく移転であることが必要であることを概観しました。表を再掲します。

拘束的企業準則 (BCRs: Binding Corporate Rules) §46Ⅱ(b),§47
標準データ保護条項(欧州委員会が採択または監督機関+欧州委員会の承認) (SDPC: Standard Data Protection Clauses) §46Ⅱ(c)(d),§93Ⅱ
行動規範 (Code of Conducts) §46Ⅱ(e),§40
認証 (Certification) §46Ⅱ(f),§42
契約条項 (Contractual Clauses) §46Ⅲ(a)

十分な保護措置に基づく移転には、5つの場合があり、拘束的企業準則については、すでに前回の記事で触れたところです。
今回は、2番目の標準データ保護条項と5番目の契約条項を見ていきましょう。

標準データ保護条項とは?

標準データ保護条項とは、EU構成国内から十分性の決定を受けていない第三国に個人データを移転する場合に、移転元と移転先との間で、個人データの移転を可能にするために結ぶ場合に利用する欧州委員会や監督機関が採択した条項のことです。つまり、欧州委員会や監督機関がお墨つきをつけた契約なので、この条項を利用して契約を締結し、契約を遵守していれば、十分な保護措置に基づく移転と認められることになります。

多国籍企業が、企業グループ外に個人データを移転する場合には、この標準データ保護条項を利用する必要があります。企業グループ内の個人データ移転についても利用できますが、拘束的企業準則という別の仕組みが別にありますので、そちらを利用することになるでしょう。

標準データ保護条項には2種類ある

条文の根拠は、EUデータ保護規則第46条第2項本文および(c)(d)です。
欧州委員会が採択する標準データ保護条項と、構成国の監督機関によって採択され欧州委員会が承認する標準データ保護条項の2種類があります。いずれも欧州委員会の審査手続は、規則第93条第2項に基づきますが、この条文には、Regulation (EU) No 182/2011が適用されると規定されています。

 モデル条項

同様の仕組みは、EU指令の下でも存在しています。
モデル条項(Model Clauses)です。現在まで欧州委員会が3種類のものを承認しています。
<管理者から管理者へ移転する場合>
①Decision 2001/497/EC: Set I
②Decision 2004/915//EC: Set II
<管理者から処理者へ移転する場合>
③Decision 2010/87/EU (and repealing Decision 2002/16/EC)
なお、処理者から処理者への個人データの移転については、第29条作業部会がモデル条項を準備しましたが、欧州委員会は承認をしていません。

 EUデータ保護規則施行後のモデル条項の取扱い

EUデータ保護規則施行後であっても、欧州委員会のモデル条項に関する決定は、別な決定がなされない限り変更されません。したがって、施行後も欧州委員会があらたに標準データ保護条項を採択し、モデル条項を廃止するまでは、モデル条項は正当な移転の仕組みとして利用することができます。

 監督機関の承認は必要か

監督機関の承認は不要です。
EUの構成国の中には、モデル条項を利用した場合であっても、移転の前に監督機関への通知や監督機関による承認を要求する国もありました。
繰り返しになりますが、EUデータ保護規則は、構成国による立法を必要としせず、EU全体で解釈が統一されます。ここがEU指令と大きく異なるところです。EUデータ保護規則が施行される2016年5月25日以降は、標準データ保護条項を利用すれば、第46条第2項の条文のとおり、「監督機関による特定の承認を要せず」に移転することができるようになります。

契約条項

契約を締結することにより、十分な保護措置に基づく移転と認められる方法は、上記の標準データ保護条項を利用する方法のほかに、個別に監督機関から承認を得た契約条項を利用する方法があります。EUデータ保護規則第46条第3項⒜に定められています。個人データを移転する側(管理者または処理者)と受領する側(管理者、処理者または受領者)との間で結ぶ契約条項を監督機関に提出して、承認を得て、承認を受けた後に個人データを移転するという方法す。この方法は、何らかの特殊な事情により標準データ契約条項を利用することが困難な場合を想定しているものと思われます。
通常の場合には、標準データ契約条項を利用すれば足りるはずです。

まとめ

1 EU域外への個人データの移転は、標準データ保護条項を利用すれば行うことができる。

2 標準データ保護条項には、欧州委員会が採択したものと、監督機関が採択し欧州委員会が承認したものの2種類がある。

3 標準データ保護条項のほか、監督機関から承認を得た個別の契約条項を利用することもできる。

 

【参考サイト】

欧州委員会:Model Contracts for the transfer of personal data to third countries

 

 

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。