EUデータ保護規則(GDPR)―EU域外への個人データ移転⑤/特例による移転

EUデータ保護規則-EU域外への個人データ移転①/概観&十分性の決定”では、EUの構成国から第三国に個人データを移転するためには、3つの場合のいずれか(①十分性の決定を受けている国への移転、②十分な保護措置に基づいた移転、③特例による移転)に該当する必要があることを概観しました。
今回は、3番目の特例による移転を簡単に見ていきます。

特例による移転とは?

特例による移転とは、EUデータ保護規則第49条に定められている「特定の状況における例外」にあたる個人データの移転をいいます。

第49条第1項は、第45条第3項に基づく十分性の判断または拘束的企業準則を含む第46条に基づく適切な保護措置がない場合、特定の条件を満たした場合に、第三国に個人データの移転を行うことを認めています。
この特例は、次のような項目に分かれていて、いずれかを満たせば移転することができます。(a)(b)・・・は、条文の号数です。

(a) データ主体が十分性判断及び適切な保護措置の欠如によりデータ主体に当該移転により発生しうるリスクを伝えた上で、データ主体が予定されている移転に明示的に同意をした場合
(b) データ主体と管理者との間の契約の履行に移転が必要な場合
(b) データ主体の請求により講じる契約前の措置の実施のために移転が必要な場合
(c) 管理者と第三者との間でデータ主体の利益のために交わされる契約の締結又は履行に移転が必要な場合
(d) 重要な公共の利益のために移転が必要な場合
(e) 法的主張の構築、行使又は防御のために移転が必要な場合
(f) データ主体または第三者の重要な利益を保護するために移転が必要で、データ主体が身体的または法的に同意を与えることができない場合
(g) EU法または構成国法に従って公に情報を提供し、公衆一般または正当な利益を証明できる者のいずれかによる閲覧のために公開されている記録から移転が行われる場合。但し、EU法または構成国法の定める閲覧の条件が特定の事案で満たされる程度に限られる。

(a)の同意ですが、同意はEUデータ保護規則で変更があったところですので、注意が必要です。”EUデータ保護規則――用語の定義:本人の同意がより厳しくなっています!”で説明しましたので、参考にしてください。

続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データの移転④/行動規範と認証 

前回の”EUデータ保護規則―EU域外への個人データの移転③/標準データ保護条項と契約条項“では、標準データ保護条項と契約条項の2つの方法のいずれかを利用すれば、EUから第三国に個人データが移転できることを確認しました。

繰り返しになりますが、EU域外にある十分性の決定を得ていない第三国に個人データを移転する方法は、十分な保護措置に基づくことが必要です。次のような方法があります。表を再掲します。

拘束的企業準則 (BCRs: Binding Corporate Rules) §46Ⅱ(b),§47
標準データ保護条項(欧州委員会が採択または監督機関+欧州委員会の承認) (SDPC: Standard Data Protection Clauses) §46Ⅱ(c)(d),§93Ⅱ
行動規範 (Code of Conducts) §46Ⅱ(e),§40
認証 (Certification) §46Ⅱ(f),§42
契約条項 (Contractual Clauses) §46Ⅲ(a)

今回は、このうちの行動規範(Code of Conduct)と認証(Certification)を簡単に見ていきます。

続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データの移転③/標準データ保護条項と契約条項

前回の記事”EUデータ保護規則-EU域外への個人データの移転②”では、十分性の決定を受けていない第三国にEUから個人データを移転する場合に、十分な保護措置に基づく移転であることが必要であることを概観しました。表を再掲します。

拘束的企業準則 (BCRs: Binding Corporate Rules) §46Ⅱ(b),§47
標準データ保護条項(欧州委員会が採択または監督機関+欧州委員会の承認) (SDPC: Standard Data Protection Clauses) §46Ⅱ(c)(d),§93Ⅱ
行動規範 (Code of Conducts) §46Ⅱ(e),§40
認証 (Certification) §46Ⅱ(f),§42
契約条項 (Contractual Clauses) §46Ⅲ(a)

十分な保護措置に基づく移転には、5つの場合があり、拘束的企業準則については、すでに前回の記事で触れたところです。
今回は、2番目の標準データ保護条項と5番目の契約条項を見ていきましょう。
続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データの移転②/十分な保護措置と拘束的企業準則

前回の”EUデータ保護規則―EU域外への個人データの移転①”では、EU域外への個人データの移転を行う場合には、3つの条件のいずれか(①十分性の決定、②十分な保護措置、③特例)を満たす必要があることと、3つの条件の最初の十分性の決定について見てきました。これから、2番目の「十分な保護措置」について考えていきます。まずは、拘束的企業準則について説明しましょう。
なお、2018年5月25日にはEU指令は廃止され、EUデータ保護規則が施行され、仕組みが一変することから、EUデータ保護規則を中心に記述しています。

十分な保護措置とは何か

EUから第三国または国際機関への個人データの移転は、十分な保護措置に基づく場合に行うことができます。十分な保護措置とは、adequate safeguardsを訳したものですが、適切な安全措置と訳す文献も見かけます。EUデータ保護規則によると、次の5つの場合のいずれかを満たす場合を指します。

拘束的企業準則 (BCRs: Binding Corporate Rules) §46Ⅱ(b),§47
標準データ保護条項(欧州委員会が採択または監督機関+欧州委員会の承認) (SDPC: Standard Data Protection Clauses) §46Ⅱ(c)(d),§93Ⅱ
行動規範 (Code of Conducts) §46Ⅱ(e),§40
認証 (Certification) §46Ⅱ(f),§42
契約条項 (Contractual Clauses) §46Ⅲ(a)

続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データの移転①/概観&十分性の決定

今回は、EU構成国からEU域外に個人データを移転する場合の規制について見ていきます。現代は、飛躍的に個人データが国境を越えるようになりました。たとえばクラウドコンピューティングやITサービスでは、日本国内にある企業であっても、他国に個人データが物理的に存在することがありうることがたやすく理解できるでしょう。
EUは、個人データのEU構成国以外の第三国への移転について、EU個人データ保護指令の時代から取り組んできたパイオニアです。個人データの越境移転について、EUデータ保護規則はどのように定めているのでしょうか。指令の時代と比べて、どの点に変更があるのでしょうか。

 

EU構成国間の個人データ移転

EUの構成国と構成国との間で、個人データを移転することは当然のことながら自由です。
個人データを自由に移転することができる地域は、欧州経済圏(EEA: the European Economic Area)にも拡大されています。つまり、EU構成国28か国とアイスランド、リキテンシュタイン、ノルウェーの31か国間では、個人データを自由に移転することができるのです。EU、EEAの関係については、ミニ知識-EFTA(欧州自由貿易協定)とEEA(欧州経済圏)を参考にしてください。

したがって、日本企業がEU構成国内に事業所を有していたり、その国の法律にしたがい子会社を設立している場合に、EU規則の規律を遵守しつつ、事業者や子会社から他のEU構成国、EEA加盟国に個人データを移転することについては、何ら制限はありません。 続きを読む →