国境を越えるデータ移転における規制
EEA域内で収集した個人情報をEEA域外に移転するためには、いくつかの方策が考えられます。
[1] 本人の同意を得る
厳しいEUデータ保護指令下にあっても、個人情報を提供する"本人の同意"を得れば、その個人情報をEEA域外へ送ることができます。このとき重要なのは、"本人の同意"が自由意思に基づいたもので、同意する対象が特定されていることです。そのうえで、付随する情報の告知を受けること、さらにこれが明示的になされる必要があります。また、ある契約に基づいて情報を取得した際には、該当する契約を履行するために本当に必要とされる範囲を限定して、個人情報の移転ができるようになります。ビジネスの形態によっては、このように詳細な同意を得ることもでき、有用であると言えます。本人の同意を得る方策の利点及び欠点を下表に示します。
| 利点 | 欠点 |
|---|---|
| 情報の移転に官公庁の許可等が不要。 | 実務上は困難性がある(情報の取扱い内容に変化があった場合には、新しいフォームを用意しなければならない等)。 |
| 個々人に柔軟に対応できる。 | 同意を得られない個人の情報の取扱いに困る。 |
| 将来の移転にも対応できる。 | 同意は特定の目的のために提供されなければならず、将来の利用に制限が生じる可能性もある。 |
[2] ECモデル契約を使用する
2つ目の方策としては、"ECモデル契約の使用"が挙げられます。ECモデル契約を活用し、データを移転する会社(EEA域内)とデータを受け取る会社(例えば、海外子会社と日本の親会社)の間で個人情報の取扱いに関わる契約を締結する方法です。EUデータ保護指令のもとでこの契約を結ぶと、個人情報をEEA域外の相手に対して移転することが許されるようになります。
この契約には、2種類のモデル契約があります。「情報取扱い事業者(Controller)に対する移転の場合」と「処理事業者(Processor)に対する移転の場合」が公表されています。ただし実際には、モデル契約で決められた細かな条項を契約書に入れ込まねばならず、個人情報の使用目的を特定して契約書に列記する必要もあります。そういったことから、特定の個人情報の利用形態ごとに個別の契約書を作成するという結果に陥りかねません。さらに、既存の契約がある場合には、その契約がモデル契約の定めに沿うよう、すべて見直さねばなりません。ECモデル契約を活用する場合の利点と欠点を下表に示します。
| 利点 | 欠点 |
|---|---|
| グループ会社間であれば、国・地域を問わず移転できる。 | 外部の委託先やベンダーに対する適用はない。 |
| 共通のコンプライアンス規制を採用することで、グループ会社における違反を減らすことができる。 | 相互承認システムはあるが、手続きが煩雑な部分は残る。 |
| グループ会社における違反について、内部で解決できる。 | 当局(DPA)の承認を受けなければならない。 |
[3] 拘束的企業準則(Binding Corporate Rules)を使用する
個人情報の移転がグループ会社(国外を含む)の中で行われる場合は、対象のグループ会社のすべてに対して厳しい個人情報保護の規則を課すことで、グループ間での情報移転が可能になります。
先に見たECモデル契約とは異なり、拘束的企業準則の内容に統一的なものがあるわけではありません。とはいえ、そこに含まれるべき内容の指針は公表されています。指針の中で指摘されている要求事項は、「主たる会社がグループ会社によるルール違反の責任を負わなければならない」、「データの提供者である個人に、個人情報の取扱いに関する会社へのクレーム申し立てを行う法的な権利を付与し、会社もこれを受け付けなければならない」などです。さらに、グループ会社間でなにかしらの違反が起こった場合、その責任者(個人)あるいは部署が違反を正せる規則となっていなければなりません。"Binding(拘束的)"という名前が付されているのはこのためです。
また、拘束的企業準則については、EEA内の各国において当局(Data Protection Authority : DPA)の承認を受ける必要があります。2008年からは相互承認システムが始まりました。ある国で承認を受ければ、相互承認システムに加入している国での承認が容易になりましたが、各国の独自手続きに従って承認を受けなければならないことに変わりはありません。さらに、グループ会社への個人情報の移転に関しては、他の方策をとらなければなりません。拘束的企業準則を使用する方策の利点と決定は下表の通りです。
| 利点 | 欠点 |
|---|---|
| 情報の移転に官公庁等の許可等が不要。 | 複数の契約書を用意しなければならない。 |
| EEA域内から全世界への移転に対応。 | 将来の移転は制限される(将来の移転先との間にも、ECモデル契約に従った契約を締結しなくてはならない)。 |
| 契約情報を起案する手間が省ける。 | 明確な解釈基準がない。 |
| 柔軟な対応が可能であり、取引先との対応も比較的容易。 | 取扱うデータが変われば、契約内容まで変更しなければならない可能性がある。 |
結局どうすればいいのか?
これまでに見てきた3つの方策から、最善の策を選ぶことは難しいものです。取得するデータの種類によって、選択される策が変わる可能性もあります。例を挙げて考えると、少数の従業員データのように、"本人の同意"を得る手続きが比較的容易で制御しやすいものは、個人の同意に基づく移転が適していると言えます。一方、金融機関などのように、グループ会社内でやりとりされるデータを主に扱う場合には、拘束的企業準則の使用が適していると言えるでしょう。どの方策が最適であるかを決定するには、各企業が収集する情報の種類と利用形態などを考慮するべきです。
多くのプロジェクトに参加してきた達野先生は「このような判断では、全世界統一的な取扱いが肝になるので、日本の親会社がイニシアティブをとってプロジェクトを主導し、費用を負担することが主流になると思います」と言葉を重ねます。「全世界の拠点で真剣にこの問題に取り組もうとすると、コストもかかります。このため、親会社が特命グループを作るくらいの決意をもたなければ、うまくいくケースは少なくなります。どの方策が正解かは言いにくく、企業の形態や、どの地域に子会社を持っているかによります。あえて言うなら、モデル条項に基づく契約がメジャーだと思います」
- 第1回 グローバルの個人情報保護体制構築ことはじめ
- 第2回 世界的に個人情報移転を可能にする方法
- 第3回 AECで変わるアジア:個人情報保護法動向の変化
- 最終回 世界における個人情報の適切な取得
達野 大輔 氏
ベーカー&マッケンジー法律事務所(外国法共同事業)
弁護士
経営研究所名誉顧問
98年東京大学法学部卒業。00年弁護士登録。04年ノースウエスタン大学ロースクール修了(LL.M)。著作「ミログ第三者委員会報告書から考えるプライバシー情報ビジネス利用の問題」がある。
