欧州委、プライバシー・シールド無効判決受け、GDPRの標準契約条項の改定案発表

欧州委員会は11月12日、EUの一般データ保護規則（GDPR）（注）で利用される標準契約条項（SCC）の改定案を発表した。SCCとは、GDPRで個人データを適法に欧州経済領域（EEA）外に移転するための手段の1つで、欧州委が決定する契約書のひな型だ。欧州委が今回公表したのは、EUを含むEEA内の管理者と処理者の間で利用されるSCC案とEEA外への個人データの移転に利用されるSCC案の2つ。これらの改定案は、EU加盟国の監督機関の代表で構成する欧州データ保護会議（EDPB）などの意見を踏まえ、加盟国の承認後に欧州委が正式に決定する。

プライバシー・シールド無効判決によるSCC利用の厳格化が背景

欧州委がSCCを改定する背景の1つには、EU司法裁判所が7月16日に出した、EUから米国への個人データの移転に関する枠組みであるプライバシー・シールドの無効判決（2020年7月17日記事参照）がある。この判決は、米国内法に基づき政府機関がEUから米国に移転された個人データを監視対象とする場合に、米国内法上の個人データの保護はEU法上の保護と同等の水準とは認められないことから、プライバシー・シールドを無効としたが、SCCを利用したデータ移転は引き続き有効としたものだ。ただし、この判決では、SCCを利用して適法に行うデータ移転の場合でも、データの管理者は移転先である第三国の法律に基づく保護がEU法上の保護と同等の水準であるかを事案ごとに確かめる必要があるとした。さらに、SCCに含まれる保護措置がEU法上の保護と同等の水準か検証し、十分でない場合には、EU法上の保護水準を満たす実効的な措置を追加する必要があるとした。このことから、欧州委はこの判決に適合する保護措置の提供の必要性を明確にするかたちで、SCCの改定案を策定した。

EDPBは今後、管理者が取り得る追加的措置やその実施条件などを例示した勧告を公表する予定としているが、あらゆる事案で利用可能な万能な措置はなく、場合によっては十分な追加的措置の実施が不可能な事案もあり得るとして注意を喚起するなど、管理者への慎重な対応を求めている。

なお、日本とEU間の個人データの移転に関しては、2019年1月に相互に十分性認定をしていることから、EEA内から日本に個人データの移転を行う企業はSCCを利用することなく適法なデータ移転が可能だ。ただし、EEAから十分性認定を受けていない他の地域へ個人データを移転する場合には、SCCなどによる適切な対応を取る必要があり、欧州委が採択した後は、改定されたSCCを利用することになる。

（注）GDPRについては、ジェトロのウェブサイト「特集 EU一般データ保護規則（GDPR）について」を参照。

（吉沼啓介）