EU一般データ保護規則を遵守するためのポイント
第4回 「EEA外へのデータ移転」
McDermott Will & Emery法律事務所
弁護士 Wilko Van Weert
弁護士 武 藤 ま い
今回は、日本企業が頻繁に行うEEAから日本へのデータ移転に関するルールについてみていきたい。
世界で最も厳格なデータ保護規制をもつと自負するEEAでは、EEAからEEA外の第三国又は国際機関への個人データの移転は、原則として禁じられている。EEA外へのデータの移転が許されるのは、①移転先の地域や国が、欧州委員会の決定により、十分なレベルの保護を確保していると認定されている場合(十分性の決定がある場合)、②移転先の組織が適切な保護措置を講じている場合、又は③規則上明記されている例外事由の一つに該当する場合に限られる。
現在日本は欧州委員会から十分なレベルの保護を確保していると認定されていないため、日本企業は、上記ルールを守らない形でEEAから日本へ個人データを移転しているか、適切な保護措置とされる標準契約条項(SCCs)に基づくデータ移転契約を締結した上で個人データを日本へ移転している。しかし、7月4日の欧州委員会の発表によると、2018年早期には欧州委員会より日本につき十分性決定が出される予定であり、それ以後は、EEAから日本へ個人データを移転するにあたり、適切な保護措置をとる必要がなくなる。これにより、これまで必要であったデータ移転契約の作成や同契約の監督機関への提出等の煩わしい作業がなくなる上、日本への移転につき法的安定性が生じる。これは、日本企業にとり間違いなく朗報である。
この点注意が必要なのは、①日本につき十分性決定が出されるまでは、日本に個人データを移転するには適切な保護措置を講じる必要があること、②日本につき十分性決定が出された後も、EEAから個人データを十分性決定を受けていない他の第三国に移転するには、適切な保護措置を講じる必要があること、③十分性決定が出された後も、データ最小化の原則に従い、目的達成に必要な範囲の個人データのみを移転しなければならないことである。
この点、法定の例外事由に基づきEEAから十分性の決定を受けていない第三国に個人データを移転することも可能ではあるが、例外事由は、データ主体とデータ管理者との間の契約の履行に移転が必要な場合や、法的請求権の証明、行使、又は防御のために必要な場合等の一定の限定的状況にしか用いることができないため、広範なデータ移転をカバーしきれない。また、たまにしか行われないデータ主体の数が限られた小規模なデータ移転については、状況に絞られない一般的な例外事由が設けられているが、監督機関への通知が必要である等、要件がかなり厳格であり、実務上用いられることはあまりないだろう。そのため、より広範なデータ移転をカバーしたい場合には、拘束的企業準則(BCRs)又は欧州委員会が採用した標準契約条項(SCC)を適切な保護措置として用いて国際データ移転を行うこととなる。この点、BCRsはグループ内での国際データ移転には有用であるが、グループ外での移転には用いられない上、認証手続きに時間と費用がかかる。そのため、グループ内でのデータ移転についても標準契約条項(SCCs)が用いられることが多い。
以上、EEAから日本へのデータ移転は、欧州委員会の十分性決定が来年出された後は、非常にスムーズに行えるようになるが、上記の留意点は忘れずにおきたい。