欧州データ保護会議、個人データの取扱い等に関する異議申立てにおけるひな形
および、データ管理者における拘束的企業準則(BCR-C)の承認申請等に関する
提言の最終版を採択
アンダーソン・毛利・友常法律事務所*
弁護士 後 藤 未 来
弁護士 藤 田 琴
1 はじめに
欧州連合(以下「EU」という。)では、「EU一般データ保護規則(General Data Protection Regulation)」(以下「GDPR」という。)の下、EU域内で取得した個人データの域外移転を原則禁止している。これはEU域内の事業者だけでなく、EU域外の事業者にも適用され得る。違反に対しては高額の制裁金が課される可能性があるため、日本の事業者であってもEU域内の個人データを取り扱う場合には注意が必要である。GDPRの下で域外へ個人データを移転するには、①「十分性認定」を受けた国に対する移転、②標準契約条項(以下「SCC」という。)の締結、③拘束的企業準則(以下「BCR」という。)の締結、④明確な本人同意等の条件を満たす必要がある。
EDPB(欧州データ保護会議)は、2023年6月21日、①個人データの取扱い等に関する異議申立てにおけるひな形(以下「本ひな形」という。)[1]、および②データ管理者における拘束的企業準則(以下「BCR-C」という。)の承認申請等に関する提言[2]の最終版を採択した[3]。これらは、GDPRに基づく従来の個人データ保護の枠組みを補充するものである。以下、これらの内容を概観する。
2 個人データの取扱い等に関する異議申立てにおけるひな形
⑴ 個人データの取扱い等に関する異議申立て
GDPR上、すべてのデータ主体たる個人は、自己と関係する個人データの取扱い等がGDPRに違反すると判断するときは、管轄の監督機関(Data Protection Authorities)(以下「DPA」という。)に対し、異議(complaint)を申し立てる権利を有する(GDPR77条1項、51条、57条1項(f))。異議の申立てを受けたDPAは、その申立人に対し、異議申立ての審査状況および結果に関して情報提供するものとされている(GDPR77条2項)。
⑵ 本ひな形の意義
今回採択された、本ひな形は、データ主体が各加盟国のDPAに対し個人データの取扱い等に関する異議を申立てることを容易にするために作成されたものである。さらに、各加盟国のDPAに対する異議の申立てが共通の書式で行われることで、各DPA間の異議申請の処理に関する情報共有が活発化し、各DPAによる処理の効率化・迅速化に資することが期待されている。EDPBでは2022年4月28日、各DPA間の連携強化によりGDPRの統一的解釈や適用の推進を目指す旨の声明[4]が発出されており[5]、今回の本ひな形採決はその流れを汲んだものである。
なお、各加盟国のDPAが本ひな形を採用するか否かはその自主性に委ねられているが、本ひな形は各加盟国の法および慣習の相違を考慮に入れており、それぞれの加盟国の法慣習上の要件にも適合させることができるような内容になっている。また、本ひな形は、データ主体本人からの異議申立てのみならず、データ主体を代理する団体等による申立てにおいても使用可能なものである。
⑶ 異議申立てに対する受領通知書のひな型
今回、本ひな形とともに、異議申立てに対する受領通知書のひな形も新たに作成された。受領通知書のひな形は、異議申立人が受領通知書を受け取ることにより異議申立て後の大まかな流れを把握できるようにするとともに、申立人のDPAによる有効かつ法的拘束力を持つ決定を得る権利を強調することを目的として用意されたものである。
3 BCR-Cの承認申請等に関する提言
⑴ BCRとその承認プロセス[6]
- ア 拘束的企業準則(BCR)
- 拘束的企業準則(Binding Corporate Rules)とは、EU域内の企業が、そのグループ内でEU域外に個人データを移転する際に遵守すべきルールのことである(GDPR4条20号)。
BCRには、データ移転の適切な保護措置を確保するため、必要的記載事項が定められている(GDPR47条2項)。 - イ BCRの承認プロセス
- DPA(GDPR57条1項(s))によって承認されたBCRに企業が従っているとき、データ主体の権利およびデータ主体のための効果的な司法救済が利用可能なことを条件として、企業グループ内で個人データの域外移転が可能となる(GDPR44、46条)。そこで、企業がグループ内において個人データの域外移転をGDPR上適法に行うための手段の一つとして、所轄のDPAからBCRの承認を得ることが考えられる(BCRの承認を申請するグループが、複数の加盟国に事業体を持つとき、BCRの承認手続には複数のDPAが関与する可能性がある。その場合、主たる拠点の管轄機関が原則として主要監督機関(BCR Lead)となり、当該グループのBCRに関する承認を行う[7]。)。このとき、所轄のDPAは、提出されたBCRが、法的拘束力を持ちグループ内の関係する構成員すべてにより遵守されている等のGDPR47条の要件を満たしている場合、GDPR63条に規定された一貫性メカニズム(Consistency mechanism)に従い、そのBCRを承認することとされている。また、DPAは、提出されたBCRに関する内部決定案を事前にEDPBに伝え、それに対するEDPBの意見をふまえて改訂されたBCRを承認するという流れになっている(GDPR64条1項(f))。
なお、現在は廃止されている指令95/46/EC(Directive 95/46/EC)[8]の規定(GDPR94条)に基づく監督当局によるデータ移転に関する許可(Authorization)は、その監督当局が必要に応じて修正、置き換え、廃止するまで有効であるものとされている。
⑵ BCR-CとBCR-P
BCR-Cは、GDPRの地理的範囲(GDPR3条)に含まれるデータの「Controller」(以下「管理者」という。)から、十分性認定がされていない第三国に所在する同じグループ内の管理者または「Processor」(以下「処理者」という。)への個人データの移転について規律する。
一方、BCR-Pは、GDPRの地理的範囲に含まれる企業が、そのグループ外の管理者のために処理者としてデータを取扱った上で、十分性認定がされていない第三国に所在するグループ内の別の処理者に対してデータを域外移転する場合について規律する。
今回採択された提言は、BCRのうち、上記のBCR-Cのみを対象とするものであり、BCR-Pを対象とする提言については目下準備中とのことである。
⑶ BCR-Cに関する本提言の意義・概要
BCR-Cに関する本提言は、その承認基準を含む既存のBCR-Cに関する参考資料や標準承認申請書を統合して一元化するものである。さらに、GDPRの適用開始以降、各加盟国のDPAのBCR承認申請手続の過程で得られた取決め、欧州連合司法裁判所の適切な保護施策を講じている場合の域外データ流通の許容性に関するSchrems II判決[9]をふまえ、既存のBCRに関する指針や標準申請書を更新するものである。本提言は、BCR-Cに含むべき内容(GDPR47条)を明確化するとともに、BCR-Cに含まれなければならないものとBCRの承認申請において主要監督機関に提示しなければならないものとを区別することをも目的として構成されている。
本提言により、BCRの承認申請者に従来以上の指針を提供するとともに、すべてのBCR承認申請者に公平な競争条件を確保することが期待されている。
なお、本提言は、交付された時点から、すべてのBCR-C制定者に適用されるが、実務上、すべてのBCR-C制定者ならびに新規および係属中のBCR-Cの承認申請者はそれぞれの状況に応じて、承認申請手続中または2024年の年次更新手続の一環として、BCR-Cを提言に定められた要件に沿ったものにしなければならない点に留意が必要である。
4 おわりに
今回採択された個人データの取扱い等に関する異議申立てにかかるひな形、BCR-Cの承認申請等に関する提言は、EU域内の個人データを取り扱う等によりGDPRの遵守を求められる日本の事業者にとっても、今後の実務の参考になり得るものと思われる。GDPRの運用を巡っては、各国のDPAの更なる連携強化に向けた議論やBCR-Pに関するEDPBの今後の動向についても注目されるところである。
以 上
[1] Template Complaint form and Template Acknowledgement of receipt | European Data Protection Board (europa.eu)
[2] Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR) | European Data Protection Board (europa.eu)
[3] EDPB adopts template complaint form and a final version of Recommendations on the application for approval and on the elements and principles to be found in Controller BCRs | European Data Protection Board (europa.eu)
[4] Statement on enforcement cooperation | European Data Protection Board (europa.eu)
[5] DPAs decide on closer cooperation for strategic files | European Data Protection Board (europa.eu)
[6] 「Binding Corporate Rules (BCR)」(European Commission)Binding Corporate Rules (BCR) (europa.eu)
[7] 「Working Document on the approval procedure of the Binding Corporate Rules for controllers and processors (wp263rev.01)」(European Commission、2018年4月16日)ARTICLE29 – Working Document on the approval procedure of the Binding Corporate Rules for controllers and processors (wp263rev.01) (europa.eu)
[8] 「Directive 95/46/EC」(EUROPEAN DATA PROTECTION SUPERVISOR、1995年10月24日)Directive 95/46/EC | European Data Protection Supervisor (europa.eu)
[9] バシリ ムシス他「EU LAW NEWSLETTER」(アンダーソン・毛利・友常法律事務所、2020年10月)EU_201002.pdf (amt-law.com)および「CJEUのSchrems II判決の概説」(S&K Brussels 法律事務所)
Microsoft PowerPoint – Schrems II判決の概要(日本DPO協会第2回オンライン例会2020.08.27)_S&K Brussels_Final_20200827
[/groups_member]
(ごとう・みき)
アンダーソン・毛利・友常法律事務所パートナー、弁護士・ニューヨーク州弁護士。理学・工学のバックグラウンドを有し、知的財産や各種テクノロジー(IT、データ、エレクトロニクス、ヘルスケア等)、ゲーム等のエンタテインメントに関わる案件を幅広く取り扱っている。ALB Asia Super 50 TMT Lawyers(2021、2022)、Chambers Global(IP分野)ほか選出多数。AIPPIトレードシークレット常設委員会副議長、日本ライセンス協会理事。
(ふじた・こと)
アンダーソン・毛利・友常法律事務所アソシエイト。2019年京都大学法学部中退(3年次修了後、法科大学院へ飛び級進学)。2021年京都大学法科大学院卒業。2022年弁護士登録(第2東京弁護士会所属)。
アンダーソン・毛利・友常法律事務所外国法共同事業 https://www.amt-law.com/
<事務所概要>
アンダーソン・毛利・友常法律事務所外国法共同事業は、日本における本格的国際法律事務所の草分け的存在からスタートして現在に至る、総合法律事務所である。コーポレート・M&A、ファイナンス、キャピタル・マーケッツ、知的財産、労働、紛争解決、事業再生等、企業活動に関連するあらゆる分野に関して、豊富な実績を有する数多くの専門家を擁している。国内では東京、大阪、名古屋に拠点を有し、海外では北京、上海、香港、シンガポール、ホーチミン、バンコク、ジャカルタ等のアジア諸国に拠点を有する。
<連絡先>
〒100-8136 東京都千代田区大手町1-1-1 大手町パークビルディング
* 「アンダーソン・毛利・友常法律事務所」は、アンダーソン・毛利・友常法律事務所外国法共同事業および弁護士法人アンダーソン・毛利・友常法律事務所を含むグループの総称として使用