EU在住者の個人データを保護する「一般データ保護規則(GDPR)」では、EU域外に個人データを移転する場合、移転先で個人データの十分な保護措置を確保している場合に限り、欧州委員会から認定を受けられる。この「十分性」を受けるには、どうすればよいのだろうか。

マカフィーが、公式ブログ「GDPR|EU域外データ移転を適法化する十分性認定等の安全管理措置」において、EU域外へのデータ移転を適法化することについてわかりやすく説明している。

「十分性」は、国・地域単位または企業単位で受けることができる。2018年3月時点で、「十分性の認定」を受けている国・地域は、アンドラ、アルゼンチン、カナダ、フェロー諸島、ガンジー島、イスラエル、マン島、ジャージ島、ニュージーランド、スイス、ウルグアイ、米国(プライバシーシールド内で)。

日本については、欧州委員会のジャン=クロード・ユンケル委員長と安倍晋三首相が2017年7月に、日本とEUの間の個人データの保護に関する共同声明を発表し、2018年早期を目途に十分性認定に向けた取り組みを推進することを表明した。

一方、企業単位で「十分性認定」を受ける方法は2つある。1つは、事業者間において所定の「標準契約条項(Standard Contractual Clauses : SCC)」の締結だ。

SCCは、欧州委員会によって決定された個人データを域外移転する際の契約書の雛形となる。EU内のデータ輸出者とEU域外のデータ輸入者の間で、雛形を使ってデータ移転の契約を締結することで適切な保護措置のもと、法的にデータ移転を可能にする。

SCCの雛形としては、「EU controller to non-EU or EEA controller Set Ⅰ(2001)」「EU controller to non-EU or EEA controller Set Ⅱ(2004)」「EU controller to non-EU or EEA processor」の3種類が用意されている。詳細は、欧州委員会のWebサイトで確認できる。

もう1つの方法が「拘束的企業準則((Binding Corporate Rules : BCR)」だ。BCRは、監督機関に世界水準のプライバシー保護基準を導入していると承認されることにより、グループ企業内の個人データの域外移転を可能にする枠組みだ。日本では初めて、楽天が2016年12月にルクセンブルクのデータ保護機関「Commission nationale pour la protection des données(CNPD)」から承認を取得したことを発表している。

SCCとBCRにはどのような違いがあるのだろうか。SCCは雛形があるので作成が容易だが、データ移転の案件ごとに結ぶ必要がある。一方、BCRはグループ内のデータ移転は適法と見なされるが、SCCに比べてコストと時間がかかると言われている。

JETROが、「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)」において、SCCとBCRについて説明しているので、参考にされたい。

本稿執筆時点で、日本はEUから「十分性の認定」を受けていない。したがって、GDPRが施行される5月25日にもこの状況が続いていて、EU在住者の個人データの域外移転を行う場合、SCCやBCRなどの措置が必要となる。