＜GDPR(EU一般データ保護規則)で2022年新SCC導入＞　欧州委員会によるGDPRの新しい標準契約条項(SCC)にどう対応するか？

2020年7月、欧州司法裁判所が下した「シュレムスⅡ判決」を受け、欧州委員会は2021年6月4日にGDPR(EU一般データ保護規則)の新SCC決定稿を公表しました。これにより、EUとアメリカ間における「プライバシーシールド」は無効となり、旧SCCに基づいて締結されていたデータ保護契約は2022年12月27日に有効期限を迎えます。旧SCCで運用していた企業は、それまでに新SCCに基づくデータ保護契約に締結し直す必要があり、日本も他人事ではありません。欧州委員会による新SCCは旧SCCとどのような違いがあるのでしょうか。シュレムスⅡ判決や欧州委員会が新SCC採択に至るまでの経緯などについてまとめました。

 

「GDPRのSCC」と「プライバシーシールド」について

GDPRの新SCCの前に、従来の「GDPRのSCC」と今回の問題の発端となった「プライバシーシールド」について解説します。

●GDPRのSCCとは？
GDPRのSCCとは、欧州委員会で取り決められた「EEA内での個人データをEEAに移転する場合の当事者間の契約書ひな形」のことです。EEAの個人データをEEA以外で行う場合には、SCCの締結が必要となり、主に3つのケースに分類されます。

ケース1：個人データがEEAの管理者からEEAの管理者へ移転されるケース
ケース2：個人データがEEA内の管理者からEEA外の処理者へ移転されるケース
ケース3：個人データがまずEEA内で管理者から処理者へ移転し、その後処理者からEEA外にいる複処理者へ移転されるケース

●プライバシーシールドとは？
「プライバシーシールド」は、正確には「EU-米国間プライバシーシールド(EU-U.SPrivacyshield)」と言います。2016年に欧州員会採択された、EUとアメリカ間っでの個人データを移転する為のオフィシャル機能です。本来であれば、EEA域外へ個人データを移転する場合には、上記のSCCを締結する必要がありましたが、アメリカに限り、プライバシーシールドの枠組みで承認を受けた企業に限りという条件下で適用されていました。

 

欧州委員会による新SCC導入採択までの経緯

今回欧州委員会が新SCCの導入を採択するにあたり、どのような経緯があったのでしょうか？シュレムスⅡ判決なども含めてみて参りましょう。

●シュレムスⅡ判決によるプライバシーシールドの無効化
シュレムスⅡ判決は、アメリカのFacebook社が、アイルランドに拠点を置く同社の子会社から、EU圏内の個人データをアメリカへ移転する際に、安全性が確保できないとして、EU在住の弁護士マック・シュレムス氏がアイルランドのデータ保護当局へ異議申し立てを行ったことが発端となっています。この異議申し立てがあった2013年当時、アメリカとEUの間ではプライバシーシールドの前身である「セーフハーバー協定」に基づいたものでしたが、2015年に出された判決で、欧州司法裁判所は、Facebook社に対して、セーフハーバーに基づいていないと認定しました。

その後、セーフハーバーはプライバシーシールドへと変わりましたが、シュレムス氏はプライバシーシールドに対しても「セーフハーバーの名前を変えただけで安全性は確保されていない」と主張し、欧州司法裁判所は「プライバシーシールドはEU市民のプライバシーを十分に保護していない」の判決を下し、プライバシーシールドが無効化する流れとなったのです。

●シュレムスⅡ判決の影響とは
シュレムスⅡ判決により、アメリカとEUのプライバシーシールドは無効化してしまいましたが、「SCCを利用したデータ移転は引き続き有効」とされています。ただし、SCCを利用したデータ移転は「データ管理者は移転先である第三国の法律に元づく保護がEU法上の保護と同等水準であるかを事案ごとに確かめる必要がある」としています。さらに追加項目として「SCCに含まれる保護措置がEU法上の保護と同等の水準か検証し、十分でない場合には、EU法上の保護水準を満たす実効的な措置を追加する必要がある」と示しました。

以上のような経緯があり、欧州委員会は現行のSCCを厳格化した新SCCの導入を決めたのです。ちなみに日本の場合は、2019年1月「相互に十分性認識をしている」という点から、EEA内に限り日本に個人データ移転を行う企業は、SCCの利用せずに適法なデータ移転が可能となります。他方、EEAから十分性認定を受けていない他の地域への個人データ移転は、SCCを利用しての対応を要します。

 

新SCC採択で実務はどう変わる？

新SCCが採択されることにより、実務はどう変わるのでしょうか？施行時期なども合わせて解説します。

●GDPRの新SCCはいつから施行なのか？
欧州委員会では、新SCCへの移行期間を18か月設けています。現況では2021年9月下旬ごろには、既存のSCCが使用できなくなるだろうと言われており、少なくとも第三国の企業や組織は、2022年12月下旬頃までに新SCCを導入しておかなければならないと推測されています。これはあくまで「推測」の為、今後情報が更新される可能性もあるでしょう。

●新SCCに移行するための作業について
データ輸出業者、データ輸入業者、それぞれ、新SCCの採択に伴い、以下の作業を執り行う必要があります。

(1)プロジェクトチームの立ち上げ
まずは新SCCへの移行をスムーズに執り行うため、適切な人材を確保して新SCCに特化したプロジェクトチームの立ち上げが先決です。データプライバシーに詳しい人材はもちろんのこと、人事、法務、IT、サービススペシャリストなど、あらゆる分野から人材を集めて、万事に備えます。

(2)データマッピング
データマッピングは一番重要な作業です。データの種類、経路、移転先などを網羅的に特定する必要があります。情報が域外に出ることがあっても、それ以降のマッピングも行い、精度を上げていきます。

(3)データ移転のメカニズム決定
データマッピングを行う中で、適用される移転のメカニズムを特定して記載します。現行のSCCが利用される場面と何の根拠もなく移転されている場合を特定することが目的です。

(4)移転方法の検討
新SCCには、データ方法の評価が含まれるため、データ輸入車とデータの移転方法について評価を実施します。

(5)新SCCの締結
新SCCの締結が必要だと判断したら、新SCCを締結します。その際、アペンディックスに記載された情報が正確である事を確認する必要があります。

これらの作業を移行期間と定められている18か月の間に実施しなければなりません。新SCCが必要と思われる企業は、スムーズな移行を目指して、速やかに対応することがポイントです。

 

GDPRや新SCCについてはセミナーがおすすめ

GDPRはEEAで個人情報を取り扱う企業にとって、重要な取り決めです。問題なく移行するためには、まずセミナーを受講することをお薦めします。セミナーでなら、GDPRやSCC、新SCCについての最新情報を仕入れることが可能です。ぜひお試しください！

■会場型セミナーで受講したい方は『ビジネスクラス・セミナー』
＞＞＞最新のビジネスセミナーを探す
※サイトにアクセスしたら、「GDPR」「EU一般データ保護規則」などでフリーワード検索してください。

■WEBセミナーで受講したい方は『Deliveru(デリバル)』
＞＞＞Webセミナーで最新セミナーを探す
※サイトにアクセスしたら、「GDPR」「EU一般データ保護規則」などでフリーワード検索してください。

 

【参照情報】
BizRis
＞＞＞欧州委員会　新SCCを正式採択　企業は契約再締結が必要

ONE ASIA LAWYERS
＞＞＞GDPRに関する欧州委員会による新しい標準契約条項(standard　Contractual clauses)導入について

JETRO
＞＞＞GDPRの新たな標準契約条項を採択、2022年末までに対応を

DIGIDAY
＞＞＞【一問一答】「標準契約条項」とは何か？：Googleも適用をはじめった、データ移転の条件を規定する枠組み

NTTDATA
＞＞＞EU一般データ保護規則(GDPR)の概要(後編)