EUデータ保護規則(GDPR)―EU域外への個人データの移転④/行動規範と認証 

前回の”EUデータ保護規則―EU域外への個人データの移転③/標準データ保護条項と契約条項“では、標準データ保護条項と契約条項の2つの方法のいずれかを利用すれば、EUから第三国に個人データが移転できることを確認しました。

繰り返しになりますが、EU域外にある十分性の決定を得ていない第三国に個人データを移転する方法は、十分な保護措置に基づくことが必要です。次のような方法があります。表を再掲します。

拘束的企業準則 (BCRs: Binding Corporate Rules) §46Ⅱ(b),§47
標準データ保護条項(欧州委員会が採択または監督機関+欧州委員会の承認) (SDPC: Standard Data Protection Clauses) §46Ⅱ(c)(d),§93Ⅱ
行動規範 (Code of Conducts) §46Ⅱ(e),§40
認証 (Certification) §46Ⅱ(f),§42
契約条項 (Contractual Clauses) §46Ⅲ(a)

今回は、このうちの行動規範(Code of Conduct)と認証(Certification)を簡単に見ていきます。

行動規範による個人データ移転

行動規範とは、業界団体が定め、その業界団体に属する企業が利用する個人データ保護のルールのことです。EUデータ保護規則で定められている行動規範については、”EUデータ保護規則―行動規範と認証/コンプライアンスの仕組みの強化”で詳しく説明していますので、参考にしてください。

EU域外の第三国に個人データを移転する場合、EU域内の移転元(exporter)の企業が十分な保護措置を有していることを前提に、かつEU域外の移転先(importer)の企業が行動規範を遵守し、データ主体の権利などについて拘束力と執行力をもつ適切な保護措置を備えている場合には、個人データの移転ができるようになります(規則第40条第3項)。

認証による個人データ移転

認証とは、認証機関が、企業の個人データ保護が一定の基準に達していることを証明する制度です。EUデータ保護規則で定められている認証については、EUデータ保護規則で定められている認証については、行動規範と同様に、”EUデータ保護規則―行動規範と認証/コンプライアンスの仕組みの強化”で詳しく説明していますので、参考にしてください。

EU域外の第三国に個人データを移転する場合、EU域内の移転元(exporter)の企業が十分な保護措置を有していることを前提に、EU域外の移転先(importer)の企業も認証の仕組みを遵守し、データ主体の権利などについて拘束力と執行力を持つ適切な保護措置を備えている場合には、個人データの移転ができるようになります(規則第42条第2項)。

EU指令と比較して、EU域外の個人データ移転の方法が広がりました。もっとも利用しやすい方法を使って個人データの移転を検討する必要があります。
現在、モデル契約を使用し、特に問題がなければそのまま契約を使用すればよいでしょう。
その際、標準データ保護条項や契約条項が欧州委員会によって承認されるのを確認する必要あり、新しい条項が公表されれば、これに合致するように契約を修正しなければなりません。
行動規範と認証は、これを遵守している限り、個別の契約を締結する必要はありませんので、こちらを利用する方が効率的な場合もありうるでしょう。

行動規範と認証による個人データの移転については、規則の条文も各々1条しかないため、現時点ではその詳細が明らかとなっているとまではいえません。監督機関による行動規範の承認や欧州データ保護理事会の設定する認証基準を確認しつつ、同一業種の策定した行動規範の内容やEU内の企業の認証の取得状況などに注意を払う必要があります。しばらくの間は、標準データ保護条項や契約条項を利用することになるのではないでしょうか。

 

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。