【GDPR実践的詳解~こんな時どうする?(全6回)】
第1回:個人データの第三国移転パターンに応じたSCCモデル条項の使い分け
バックナンバー
2017/06/09
IT担当者が取り組むべき「個人情報保護とデータローカライゼーション」対策セミナー
~世界の法規制・セキュリティ脅威の動向と、その対策を徹底解説~
SCCにはいくつかタイプがある
来年5月に施行されるEUの一般データ保護規則(以下「GDPR」)の規制下において、個人データを欧州域外の第三国へ持ち出す(移転する)ことが例外的に認められる場合の一つとして、EUの執行機関である欧州委員会(European Commission)が採択した標準的条項を含む契約によって十分な保護措置を講じられる場合があります。この標準的条項がSCC(Standard Contractual Clauses:標準契約条項)と呼ばれるものです。
SCCの基本的な考え方は、GDPRの効力が及ばない第三国においても、移転元の管理者/処理者が移転先管理者/処理者に対して、必要なデータ保護措置を契約上の義務として負わせるとともに、契約の第三受益者(third-party beneficiary)としてデータ主体に対して、監督機関への不服申立又は裁判によって保護措置の強制(legal enforcement)を求め、損害賠償など救済措置を受けられる法的地位を与えるということです。
一口に欧州域外への個人データ移転といっても移転元と移転先との関係に着目するといくつかのシナリオがあり、その違いに応じて適切なSCCモデル条項を利用しなければなりません。現在、欧州委員会が採択したSCCモデル条項には次の3タイプがあります。
タイプ1:域内管理者・第三国管理者間のモデル条項(Decision 2001/497/EC)
タイプ2:域内管理者・第三国管理者間のモデル条項(Decision 2004/915/EC)
タイプ3:域内管理者・第三国処理者間のモデル条項(Decision 2010/87/EU)
このほかに、まだ欧州委員会の正式採択を受けていない実務レベルのドラフトですが、タイプ4:域内処理者・第三国復処理者間のモデル条項案(2014/3/21, WP214)が公表されています。
なお、GDPRはまだ施行されていませんので、上掲のSCCモデル条項はいずれも旧指令(95/46/EC)第26条に基づくものです。
以下、個人データの第三国移転についていくつか具体的な例を挙げながら、それぞれのケースについて適用すべきSCCモデル条項とその際の留意事項を説明します。ここではsub-processorを「復処理者」と訳しますが、処理者から処理を再委託された別の処理者です。例えば、処理者であるクラウドアプリケーション事業者がオペレーションの一部をアウトソースする場合の受託者はsub-processor=復処理者です。
ケース1:域内管理者-第三国管理者のケース
例:日系企業の欧州法人(域内管理者)が取得した現地顧客(データ主体)の個人データをグローバルマーケティング施策の立案のために日本にあるグループ本社(第三国管理者)と共有する。
最もシンプルな第三国移転の例です。タイプ1又はタイプ2のSCCモデル条項が利用できます。いずれも域内管理者から第三国管理者への移転を想定したものですが、タイプ2は、実務の観点から使いやすいSCCモデル条項を作成しようとInternational Chamber of Commerce(国際商工会議所)の主導で世界の主要な経済団体が共同作成(日本からはJapan Business Council in Europeが参加)したドラフト案をもとに2004年に欧州委員会が正式採択したものです。
両者のもっとも顕著な違いは、データ侵害時の賠償責任の取扱です。タイプ1では、移転元及び移転先の両管理者がデータ主体に対して負う損害賠償責任を連帯債務(joint and several liability)と位置づけ、データ主体はどちらの管理者に対してもデータ侵害に伴う損害賠償の全額を請求することができました。
これに対して、タイプ2では、移転先管理者がこの契約条項に基づく法的義務を果たす能力があると判断するために合理的な努力を果たすべき責任(due diligence責任・デューディリジェンス責任)を移転元管理者に課し、due diligence責任を怠った程度に限って、データ主体は移転先管理者の責任範囲についても移転元管理者に賠償を求めることができるものとし、移転元管理者が移転先管理者の資質確認について十分な注意を払っていた場合にはその責任を若干軽減する内容となりました。なお、due diligence責任を果たしたことの挙証責任は移転元管理者にあります。
ケース2:域内管理者-第三国処理者のケース
例1)日系企業の欧州現地法人(域内管理者)が、現地従業員(データ主体)に関する個人データを日本所在の企業(第三国処理者)が提供するクラウドアプリケーションで処理させる。
例2)日系企業の欧州現地法人A(域内管理者)が欧州域内のデータセンターB(域内処理者)に保存する現地顧客(データ主体)に関する個人データをバックアップする目的で、当該個人データを日本に所在するデータセンターC(第三国処理者)に転送する。
例2のケースでは、データを転送するのは飽くまで管理者であり、域内管理者Aと第三国処理者Cの関係として捉えれば十分です。欧州域内データセンターBがサービスとしてバックアップマネジメントを提供し、Bが転送を行っている場合には、次に説明する「域内管理者-域内処理者-第三国復処理者」の関係となります。
これらの場合には、タイプ3のモデル条項が利用できます。第三国処理者が処理の一部を第三国において再委託する場合にもデータ保護措置を保証するため、タイプ3のモデル条項では、このような再委託の場合には、第三国処理者は事前に域内処理者から書面による同意を得ること、第三国処理者と(第三国又は以遠の)復処理者との間の委託契約は書面で行い、復処理者は第三国処理者が負う義務と同様の義務を負うこと、これらの義務に関して、復処理者との関係においてもデータ主体が第三受益者権の地位にあることなどが定められています。
ケース3:域内管理者-域内処理者-第三国復処理者のケース
例) 欧州企業A(域内管理者)が欧州域内のクラウド事業者B(域内処理者)が運営するクラウドストレージに顧客(データ主体)のデータを保管。Bはバックアップサービスを提供するために、第三国クラウド事業者C(第三国復処理者)が運営するクラウドストレージに同データを定期的に複製している。
域内処理者が処理の一部を第三国に所在する復処理者に再委託するケースです。域内処理者Bと第三国復処理者Cとの間に適用できる正式採択されたSCCモデル条項は、現在のところありません。このようなクロスボーダー移転を契約的枠組を利用して行おうとする場合、選択肢は2つ考えられます。
(1)管理者Aから域内処理者Bに対して、Aの名において、Aに代理して、第三国処理者Cと2010/87/EUモデル条項による契約を締結する権限を与える。
(2)まだ欧州委員会が正式採択していない域内処理者-第三国処理者のモデル条項ドラフトである上記タイプ4(WP214)を利用し、GDPR第46条第3項に基づくアドホックな保護措置として関係加盟国監督機関の承認を受ける。
(1)は責任の所在について議論の余地があり、(2)はデータ主体が欧州域内複数国に散在する場合、データ主体所在国の監督機関すべての承認を受ける必要があるので非常に時間がかかる解決です。このパターンのクロスボーダー移転はそれなりに需要があるはずなので、移転パターンをカバーするモデル条項を欧州委員会が正式決定することが待たれます。
ケース4:域内管理者-第三国処理者-第三国復処理者のケース
例)欧州旅行会社A(域内管理者)が欧州在住顧客(データ主体)に日本旅行手配を行うために個人データを取得し、現地手配をする日本の旅行会社B(第三国処理者)に移転、Bは手配のためにさらに個人データを交通機関、宿泊施設、飲食店など(C、第三国復処理者)に移転。
域内管理者Aと第三国処理者Bとの間は、タイプ3モデル条項(2010/87/EU)を締結すればよいでしょう。同モデル条項11条により、処理者が処理の一部をさらに別の処理者(復処理者)に再委託する場合には、以下の2条件を満たすことが必要です。
・再委託について管理者から書面による事前の同意を得ること。
・処理者と復処理者との間で書面による契約を締結すること。
この復処理契約には、復処理者が処理者と同等の義務を負うこと、データ主体が第三受益者として復処理契約に基づく義務履行を強制できることなどを明定する必要があり(第11条2項)、復処理契約中のデータ保護に関する取極めについては、データ輸出国であるEU加盟国の法律を準拠法とするとされています(第11条3項)。
復処理に関する管理者の書面による事前同意は、包括的に与えることも、個別に与えることもできます。上の例について言えば、管理者である欧州旅行会社Aは(一次)処理者である日本の旅行会社Bに対して、一定の信頼できる復処理再委託先(長く取引関係にある交通機関やホテルなど)を限って、処理者と再委託先との間の交通、宿泊などの手配に関する基本契約内容を事前にチェックした上で、個人データ移転を許す範囲を事前に包括的に同意する一方、取引実績が少ない業者への現地手配に伴う個人データ移転についてはその都度個別に事前同意を求めるというような取極めをすることもできます。
まとめ
クロスボーダーなデータ移転のトポロジーは多岐にわたります。上に挙げたいくつかの例を考えただけでも、現時点で欧州委員会が正式採択しているSCCモデル条項だけではカバーしきれないものがあります。実際の事業活動においては、もっと複雑なデータ移転トポロジーもあるでしょう。そのような場合、SCCの枠組を利用して管理者から業務プロセスの辺縁部に位置する復処理者まで、SCCの枠組が意図する十分な保護措置、拘束力、法的強制性、データ主体に対する第三受益者効などの法的効果を遺漏なく及ぼすことは極めて難しくなりますし、その中に1つでも監督機関の個別承認が必要なアドホック契約があると、時間的にも現実的とはいえなくなります。
インターネット上で様々な国際ビジネス展開が加速し、クロスボーダーな個人データ移転の必要性がますます高まるであろう状況において、欧州委員会の迅速な対応が求められます。
- 第1回:個人データの第三国移転パターンに応じたSCCモデル条項の使い分け
- 第2回:GDPRで強化される外注管理義務
- 第3回:「職場の個人データ処理について」29条作業部会意見書の解説
- 第4回:個人データ侵害通知に関するガイドラインの概要
・IIJ GDPR対策ソリューション
・IIJ DPOアウトソーシングサービス
・IIJコンプライアンスプラットフォーム for GDPR
株式会社インターネットイニシアティブ ビジネスリスクコンサルティング部
プリンシパルコンサルタント 鎌田 博貴
