クライアントアラート
新SCCの公表―変更点と実務
June 11, 2021
新井敏之[1]
ドラフト開示後、 6 か月にも及ぶ検討期間ののち、欧州委員会 (European Commission) は 6 月 4 日に新Standard Contractual Clauses (SCC) の決定稿を公表した。 SCC は欧州から外国に個人データを移転する際に依拠することのできる根拠の一つである。
GDPR (General Data Protection Regulation) のもとで、欧州の個人データを外国に移転するためには、①その外国が適正な個人データ保護の仕組みを有しているか、または② GDPR に記載される移転のメカニズムに依拠していることが必要である。②のメカニズムの一つがSCCである。GDPR が施行された2018年 5 月時点では欧州委員会の2004/915/EC, 2010/87/EUの二つの決定が有効であり、その中にSCCの内容が含まれていた。GDPR 上、欧州委員会の決定は、それが変更されるまでは有効とされているので、現時点で上記の2決定も有効ということになる。
但し、現行の SCC は制定時期が GDPR に先行しており、両社の整合性は完全ではないし、現在のデータ移転の方法は当時のそれと技術革新とともに大きく変化し、複雑化してきている。これらの事情から現行の SCC はアップデートの必要が強く感じられていた。
それに加えて 2020 年7月の EU の Shrems II 判決は、現行のSCCに規定がデータ移転の根拠として実質的に不十分であることを示した。この事情も現時点で SCC の改訂が必要となった理由である。
新SCCの使用方法
欧州委員会の決定によれば、 SCC の存在理由は個人データの国際移転に対して適切な安全策を講じる点にある。個人データ移転の当事者はSCCの内容に追加的文言や安全策を付加することができ、その際には標準文言と矛盾しないことと、データ主体の権利・自由に制約を加えないことが必要である。
新 SCC には、当事者追加のメカニズムが付与される。①アネックス 1 ではデータ移転の実態に応じて、当事者に複数人を設定できる。②またアペンディックスでは当事者のSCCへのドッキング(accession)規定が設けられている。これらはグループ内のデータの移転の際に、柔軟性を与える。
更に新 SCC は個人データ移転の態様に応じて、以下の 4 つの独立文言(モジュール)を用意している。①コントローラーからコントローラー、②コントローラーからプロセッサー、③プロセッサーからプロセッサー、及び④プロセッサーからコントローラー、である。
SCC の制定にあたっては、一般規定以外に、実際のデータ移転の態様が上記の 4 の移転のうちどれに該当するかを特定し、それのみを組み入れればよい。一見複雑に見えるが、実際に使ってみると、勝手が良いことが分かる。また現行の SCC には③、④の流れはなかったので、この点でも進歩がみられる。
新 SCC の始期
新 SCC は EU 官報掲載時から 12 日後に施行される。現行の SCC は官報掲載後 3 か月後に失効する。その後は新規のデータ移転には現行の SCC を利用することはできず、新 SCC を用いなければならない。
但し、現行の SCC を利用してなされているデータ移転は文言や移転の態様に変更ない限り、官報掲載後 18 か月継続することができる。この 18 か月間に、新 SCC 対応の手続きを取れというわけである。
特筆すべき変更点
現行の SCC が GDPR と十分に整合していなかったことに鑑み、新 SCC はその整合性を精緻化した。例えばデータ移転先の当事者が GDPR の対象となるとは限らないので、 SCC の契約的効果により、 GDPR と同様の規制を達成するなどの仕組みである。例としては、モジュール 1 を参照のこと。
Shrems II 判決の影響
同判決の問題提起は、個人データ移転は EU 内で認められている保護と主要な点で同等の保護を構成していなければならないという点であった。現行の SCC を締結していても、この保護は多くの場合達成できない。そこで新 SCC ではその保護を実現するために安全確保条項の規定を置いている。
またもう一つの問題提起は、移転先の外国政府による個人データ侵害の可能性である。このリスクに対処するために新SCCの Section III では移転両当事者が、データ輸入者についてSCC上の義務を履行することについて障害がないことについての表明・保証を置いている。この義務には政府による情報蹂躙の可能性がないことを含む。
安全確保義務(security obligations)
新 SCC のモジュールを見ると、そこにはデータの安全確保をする義務が記載されている。具体的には、組織的、技術的な安全措置を講じる必要がある。問題はどのような場合に、どのような安全確保措置を講じるべきかについて明確な指針がないことで、それによりとりわけ中小企業に負担が生じるのではないかと危惧される。
安全確保措置の内容について、それを確定するのは EDPB なのか、加盟国のデータ規制当局なのか、移転当事者自身なのかは不明である。しかしこの問題がGDPR下での優先度の高い問題であることはまぎれもない事実である。
データ主体の権利(第三者のためにする契約の受益者)
移転される個人データのデータ主体は、第三者のためにする契約である新SCCの規定の受益者として、その規定を行使することができるとされる。但し、データ主体がSCCの規定を実際上十分に知っているか、知りえるかは疑問である。現実にはプライバシーポリシーの中にSCCに内容が開示することになるだろうが、それでデータ主体が自らの契約上の権利を十全に行使できると考えるのは早計ではないか。
この権利を実質あるものにするためには、データ主体にどうやってSCCの規定の恩恵に与るかを告知する手段・方法が必要だろう。
データ処理契約の要件具備(GDPR 第 28 条)
新 SCC に関する欧州委員会決定第9段落には、 SCC にはデータ処理契約 (data protection agreement, DPA) に関する GDPR 第 28 条 3 項、 4 項の規定を充足すべきであることが記されている。それを受けて新 SCC にはデータ処理契約の標準内容が網羅されている。このことは中小企業のようにリソースに限りのある場合には重宝されようが、より経験のある大きな企業体には、個別性が不十分だと批判されることが多いだろう。
この問題を避けるためには SCC のデータ処理契約部分を、別段のデータ処理契約により排除することを記載することが必要である。
英国の取り扱い
ブレクジットによって、新 SCC を英国のデータ輸出者が利用することはできなくなった。しかし英国 ICO (Information Commissioner’s Office) は新 SCC と同様の文書を採択すると述べているので、その場合の取り扱いは新 SCC と並行したものとなる。
当事者が行うべき今後の作業
新 SCC の採択に伴って、データ輸出者、データ輸入者として行うべきは以下の事項である。欧州・日本以外の国を含む情報移転のある日本の多国籍企業についても同様である。
- プロジェクトチームの組成:新 SCC に関する対応を遺漏なく行うために、グループ会社から過不足なく、適切な人材を確保し、下記の活動にあたらせることが必要である。グループ会社は世界中のそれを含めることが目的にかなう。また、メンバーの職務範囲もデータプライバシーはもちろん、法務、人事、製品・サービススペシャリスト、 IT 等を含む必要がある。
- データマッピング:一番重要で、手間がかかるのが、①どのようなデータが②どのような経路で ③どのような外国の移転先に移転されるかを網羅的に特定することである。いったん情報が域外に出ても、そこでやめずにそれ以降のマッピング(onward transfers) も行う。
- データ移転のメカニズムの決定:データマッピングの中で、各移転について適用される移転のメカニズムを特定し、記載する。特に大切なのは、現行のSCCが利用される場面と、何の根拠なく移転されている場合を特定することである。
- 移転方法の検討:データ輸入者とともにデータ移転の方法について評価を行う。新 SCC にはそれを要求する規定がある。
- 新 SCC の締結:必要な場合は新 SCC を締結すること。その際には、アペンディックスに記載された情報が正確であることを確認する。現行のSCCを使用している場合でも、その内容を真に受けず、批判的に検討すること。
18 か月間の猶予があっても、複雑な国際的データ移転を伴う多国籍企業の対応としては時間が不十分な可能性は否めない。新 SCC のもとでのデータ移転の実際について検討を始めるのは速やかに行うべきである。
以上
[1] この論考は Sarah Pearce, Ashley Webber & Daniel Sullivan-Bryne: “Are the New SCC Worth the Wait” (Paul Hastings June 2021) の内容に依拠しており、感謝する。是非英文版を読んでいただければと思う。但し、本項の意見、見解については最終的に筆者のものであることを注記しておきたい。