EUデータ保護規則(GDPR)―EU域外への個人データ移転⑤/特例による移転

EUデータ保護規則-EU域外への個人データ移転①/概観&十分性の決定”では、EUの構成国から第三国に個人データを移転するためには、3つの場合のいずれか(①十分性の決定を受けている国への移転、②十分な保護措置に基づいた移転、③特例による移転)に該当する必要があることを概観しました。
今回は、3番目の特例による移転を簡単に見ていきます。

特例による移転とは?

特例による移転とは、EUデータ保護規則第49条に定められている「特定の状況における例外」にあたる個人データの移転をいいます。

第49条第1項は、第45条第3項に基づく十分性の判断または拘束的企業準則を含む第46条に基づく適切な保護措置がない場合、特定の条件を満たした場合に、第三国に個人データの移転を行うことを認めています。
この特例は、次のような項目に分かれていて、いずれかを満たせば移転することができます。(a)(b)・・・は、条文の号数です。

(a) データ主体が十分性判断及び適切な保護措置の欠如によりデータ主体に当該移転により発生しうるリスクを伝えた上で、データ主体が予定されている移転に明示的に同意をした場合
(b) データ主体と管理者との間の契約の履行に移転が必要な場合
(b) データ主体の請求により講じる契約前の措置の実施のために移転が必要な場合
(c) 管理者と第三者との間でデータ主体の利益のために交わされる契約の締結又は履行に移転が必要な場合
(d) 重要な公共の利益のために移転が必要な場合
(e) 法的主張の構築、行使又は防御のために移転が必要な場合
(f) データ主体または第三者の重要な利益を保護するために移転が必要で、データ主体が身体的または法的に同意を与えることができない場合
(g) EU法または構成国法に従って公に情報を提供し、公衆一般または正当な利益を証明できる者のいずれかによる閲覧のために公開されている記録から移転が行われる場合。但し、EU法または構成国法の定める閲覧の条件が特定の事案で満たされる程度に限られる。

(a)の同意ですが、同意はEUデータ保護規則で変更があったところですので、注意が必要です。”EUデータ保護規則――用語の定義:本人の同意がより厳しくなっています!”で説明しましたので、参考にしてください。

上記の(a)から(g)までに当てはまらない場合には、規則第49条1項の第2段落で、次のようなときに個人データの移転が認められます。

第三国又は国際機関への移転は、その移転が繰り返されず、限られた数のデータ主体にのみ関わり、データ主体の利益または権利および自由が優先しない管理者のやむにやまれぬ正当な利益の追求のために必要とされる場合に限り行われる。そして、管理者は、データ移転をめぐる環境すべてを審査し、その審査に基づき個人データの保護に適した保護措置を設けている必要がある。管理者は、その移転を監督機関に通知しなければならない。管理者は第13条および第14条にいう情報の提供のほか、データ主体に移転と追求するやむにやまれぬ正当な利益について通知しなければならない。

「やむにやまれぬ正当な利益」とは、アメリカ憲法でよく言われる”compelling interest”(やむにやまれぬ利益」の訳と合わせていますが、単なる正当な利益ではありませんので、かなり高度な利益を必要とするものと思われます。

まとめ

1 EU域外の個人データ移転は、特定の状況における例外(特例)の場合にも行いうる。

2 特例には、列挙されている7項目と、さらなる例外の1項目がある。

 

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。