EUデータ保護規則(GDPR)―行動規範と認証/コンプライアンスの仕組みの強化

今回は、EUデータ保護規則によって、規則の適切な適用のために、新しく定められた2つの仕組みについて見ていきましょう。行動規範(Codes of Conduct)と認証(Certifications)です。

行動規範とは何か

行動規範の意義

行動規範とは、業界団体が定め、その業界団体に属する企業が利用する個人データ保護のルールのことです。

EU指令にも行動規範の規定はあり、構成国がデータ保護の遵守を確保するために行動規範の作成を奨励することが予定されていました(第27条第1項)。策定された行動規範案が指令に沿ったものであるか否かを監督機関が確認する手続もありました。しかし、繰り返しになりますが、EU指令では構成国ごとに指令の解釈が異なることがあり、ある行動規範がある構成国の監督機関では指令に沿っているとみなされても、それが他の構成国でも同じようにみなされる保証はありません。
また、EU指令は、行動規範を第29条作業部会に審査のために提出しうることに触れていますが(第27条第3項)、承認をする手続が予定されているわけでもありませんでした。

これに対して、EUデータ保護規則は、行動規範を規則遵守の仕組みの一つとして、EU指令よりも強固なものに位置付けています。

第一に、構成国、監督機関、欧州データ保護評議会および欧州委員会は、中小・零細企業特有のニーズを考慮しながら行動規範を作ることを奨励しています。

第二に、複数の構成国にまたがる個人データの処理に関する行動規範案は、所定の手続を経て、EU内で一般的な有効性を持つことができます。EUのどこでも同じ有効性を持つことになるわけです。

第三に、EU域外の第三国に個人データを移転する場合、移転先の企業が行動規範を遵守し、データ主体の権利などについて拘束力と執行力をもつ適切な保護措置を備えている場合には、個人データの移転ができるようになります。この点は、別の記事”EUデータ保護規則-EU域外への個人データの移転④”にごく簡単に触れましたので、参考にしてください。

上記のような利点がありますので、行動規範を策定する方がビジネスの効率が高まるとともに、顧客に適正な個人データ保護措置を講じている業界であることを示すことにもなります。策定していない業界は準備を行い、すでに策定済みの業界も、規則に沿って行動規範の見直しをすることになるでしょう。

続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データの移転④/行動規範と認証 

前回の”EUデータ保護規則―EU域外への個人データの移転③/標準データ保護条項と契約条項“では、標準データ保護条項と契約条項の2つの方法のいずれかを利用すれば、EUから第三国に個人データが移転できることを確認しました。

繰り返しになりますが、EU域外にある十分性の決定を得ていない第三国に個人データを移転する方法は、十分な保護措置に基づくことが必要です。次のような方法があります。表を再掲します。

拘束的企業準則 (BCRs: Binding Corporate Rules) §46Ⅱ(b),§47
標準データ保護条項(欧州委員会が採択または監督機関+欧州委員会の承認) (SDPC: Standard Data Protection Clauses) §46Ⅱ(c)(d),§93Ⅱ
行動規範 (Code of Conducts) §46Ⅱ(e),§40
認証 (Certification) §46Ⅱ(f),§42
契約条項 (Contractual Clauses) §46Ⅲ(a)

今回は、このうちの行動規範(Code of Conduct)と認証(Certification)を簡単に見ていきます。

続きを読む →