GDPRの新たな標準契約条項を採択、2022年末までに対応を

(EU)

ブリュッセル発

2021年07月09日

EUの一般データ保護規則(GDPR、注1)で利用される標準契約条項(SCC)の改定版を付属書として含む委員会実施決定2021/915外部サイトへ、新しいウィンドウで開きます委員会実施決定2021/914外部サイトへ、新しいウィンドウで開きますが、6月27日から施行された。これらの実施決定は、2020年7月のEU司法裁判所による、EUから米国への個人データの移転に関する枠組みであるプライバシー・シールドの無効判決(2020年7月17日記事参照)を受けたものだ。欧州委員会は2021年6月4日、2020年11月に発表した改定案に基づき(2020年11月17日記事参照)、欧州データ保護会議(EDPB)などの意見を踏まえた上で、今回の実施決定を採択外部サイトへ、新しいウィンドウで開きますした。

EUでは、GDPRに基づき、欧州経済領域(EEA、注2)から域外国への個人データの移転を原則禁止している。域外国への個人データの移転は、欧州委が移転国に対して行う「十分性認定」(法整備などに基づき十分に個人データ保護を講じていること)や、SCCの使用など適切な保護措置に基づく場合に限り、例外的に認められている。日本はEUから2019年1月に、十分性認定を受けていることから(2019年1月24日記事参照)、民間企業においては、EEA内から日本への個人データの移転時に、SCCを利用する必要はない。ただし、EEA内から米国などの十分性認定がされていない域外国への個人データの移転を行っている企業は、新たなSCCに基づく対応が必要となる。

18カ月の移行期間を設置、新たな要件の追加も

今回の実施決定は、これまで利用されてきたSCC(実施決定2001/497および2010/87)を廃止するものだ。新たなSCCの利用に際して、18カ月の移行期間が設けられており、2022年12月27日までに現行のSCCに基づく契約を、新たなSCCを用いた契約に置き換えることが必要となる。なお、2021年9月27日までは現行のSCCを利用した契約締結は可能なものの、それ以降の新たな契約締結では新たなSCCを利用しなければならない。

新たなSCCは、モジュール方式を採用し、これまでの複数のSCCを統合することで、データ移転の幅広いシナリオに対応するものとなっている。これにより、データ処理の複雑なプロセスにも対応するとともに、2つ以上の当事者が同一のSCCを利用することが可能になった。ただし、プライバシー・シールドの無効判決を反映していることから、新たな要件も追加されている。データ移転国の当局から、個人データへのアクセス要請を受けた場合や、個人データへの直接的なアクセスを受けた場合には、データ輸入者からデータ輸出者への通知などが必要となる。また、データ移転国の当局によるデータ開示の要請やデータへのアクセス承認などについて、データ移転国の現地法に関する事前調査を実施した上で、現地法に基づくデータへのアクセスが、EU法や加盟国法によりGDPRの適用を制限しうる安全保障などの目的の達成において、必要かつ比例した程度で、SCCに反しないことを保証することが求められる。さらに、必要に応じて、データの暗号化などの追加的な措置も必要となる。

(注1)「特集 EU一般データ保護規則(GDPR)について」を参照。

(注2)EU加盟国とノルウェー、アイスランド、リヒテンシュタイン。

(吉沼啓介)

(EU)

ビジネス短信 09a1c5f9bdcdfbaf