EU - Business & Law(ビジネスアンドロー)

© Business & Law LLC.

はじめに

本シリーズの各回で概説しているように、「デジタル時代」たる現代において、世界各国でデータの越境移転規制を導入する、または見直す動きが耳目を集めています。なかでも、欧州で2018年5月25日に適用が開始されたEU一般データ保護規則(General Data Protection Regulation:GDPR)注1は、日本企業にも大きな影響を与える個人データに関する包括的な法規制として、2016年の公布以来、実務上高い注目を集めており、2022年4月から施行される日本の改正個人情報保護法の議論にも影響を与えています。

特に、「個人データの域外移転」という側面については、GDPRが個人データのEU域外への移転について一定の制限を設けるなかで、2020年7月に欧州司法裁判所(European Court of Justice:ECJ)がEUから米国への個人データの適法な移転の枠組みであった「プライバシーシールド」を無効とする判決を下したほか、2021年6月4日には、欧州委員会がEU域外への個人データの移転に利用される標準契約条項(Standard Contractual Clauses:SCC)の改訂版を公表する等、近年重要な動きが相次いでいます。
GDPR上の義務違反には高額の制裁金が課されるおそれがあるため、欧州で事業活動を行っている、または今後行うことを検討している日本企業としても、これらの動向等を常にフォローしておく必要があります。

そこで、諸外国におけるデータ越境移転規制について解説する本シリーズの第8回では、EU注2におけるデータ保護制度の根幹をなすGDPRに焦点を置き、個人データの域外移転規制を中心に、最近の動向を交えて解説します。

GDPRの概要

はじめに、GDPRにおけるデータ越境移転規制の理解に必要な範囲で、GDPRが規定する基本的な概念について概説します。

個人データ

GDPRにおいて、「個人データ(personal data)」は

識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子注3のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つまたは複数の要素を参照することによって、直接的または間接的に、識別されうる者をいう。

と定義されています(GDPR 4条1項。注番号は筆者によります)注4。すなわち、個人の識別可能性が、ある情報が個人データに該当するか否かに係る判断基準とされています。
そのため、匿名情報(例:識別された自然人または識別可能な自然人に関連しない情報や、当該自然人(データ主体(data subject))を識別できないように匿名化した個人データ)にはGDPRは適用されないと解されています。また、GDPRは死者の個人データにも適用されません。

個人データはEU域内に所在するデータ主体に関するものであれば足り、データ主体の国籍や所在地を問いません。したがって、たとえば、日本企業の本社からEU域内の子会社等に出向している駐在員の情報も、GDPR上の個人データに含まれることになります。

適用対象

データ越境移転規制を含むGDPRの諸規定は、大要、以下の図表1のいずれかの基準に該当する管理者(controller)または処理者(processor)による個人データの取扱い注5に関して適用されます。
ここで、管理者とは「自然人又は法人、公的機関、部局又はその他の組織であって、単独で又は他の者と共同で、個人データの取扱いの目的及び方法を決定する者」(GDPR 4条7項)をいい、処理者とは「管理者の代わりに個人データを取扱う自然人若しくは法人、公的機関、部局又はその他の組織」(GDPR 4条8項)をいいます。

図表1 GDPRの適用対象に係る基準※1

 

概要

備考

拠点基準※2
(establishment criterion)
(GDPR 3条1項)

管理者または処理者がEU域内の拠点の活動の過程において個人データを取り扱う場合

拠点の形態(子会社(現地法人)・支店・駐在員事務所等)や規模は問題とならない。

標的基準
(targeting criterion)
(GDPR 3条2項)

1) 管理者または処理者がEU域内のデータ主体に対して商品またはサービスを提供する場合

2) 管理者または処理者がEU域内におけるデータ主体の活動を監視する場合

・ EU域外で設立された管理者または処理者であっても適用される(域外適用)。この場合、管理者または処理者は、GDPR 27条に従ってEU代理人を選任する義務を負う可能性がある。

・ 監視行為には、行動ターゲティング広告、Cookie等によるオンライン追跡等、広範な行為を含む。

※1 詳細についてはEuropean Data Protection Board, Guidelines 3/2018 on the territorial scope of the GDPR(Article 3) - Version 2.1を参照。
※2 「事業所基準」と呼ばれることもあります。

個人データの域外移転規制との関係では、「EU域内に所在する日本企業の子会社・支店・駐在員事務所等の拠点から日本の本社に対する個人データの移転」が典型的な事例として想定されますが、図表1のとおり、EU域内に同種の拠点を設けていない日本企業であっても、その活動内容如何では標的基準に則ってGDPRの規律を受ける可能性がある点に注意が必要です。

第三国等への個人データの移転に関する規制

総論

GDPR上、EU域内の管理者または処理者による個人データのEU域外への移転は、大要、以下の図表2に示す一定の要件を充足する場合に限り許容されます(GDPR 44条以下)。

図表2 個人データの域外移転が認められる主な場合

 

 

概要

備考

十分性認定に基づく移転
(GDPR 45条)

欧州委員会が、EU域外のデータ移転先である国・地域につき、十分なレベルの保護措置を確保していると認定した場合(すなわち、十分性が認められた場合)、移転元であるEU域内の管理者または処理者(以下、「移転元」という)は、適切な保護措置等の特段の措置を講じることなく、EU域内から当該国・地域(に所在する移転先)に個人データを移転することができる。十分性認定を受けている国・地域には日本、韓国、英国等が含まれる※1

・ 十分性認定は定期的に再評価され、その結果、十分性認定が停止・変更・撤回等される可能性がある。また、期限つきで十分性認定が付与されることもある(例:英国に対する十分性認定は、延長される場合を除いて、2025年6月27日に失効)。

・ 移転先たる日本の個人情報取扱事業者は、十分性認定に基づいてEU域内から日本に移転され受領した個人データにつき、個人情報保護法およびガイドラインに加えて、個人情報保護委員会作成の「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下、「補完的ルール」という)を遵守のうえ取り扱わなければならない。

・ 十分性認定の範囲は、EU域内から個人情報保護法(および補完的ルール)の適用を受ける日本の個人情報取扱業者に対する個人データの移転に限定して行われており、(同法の規律を受けない)行政機関や独立行政法人等に対する個人データの移転について、同認定に依拠することはできない。

適切な保護措置による移転
(GDPR 46条)

拘束的企業準則(BCR)
(GDPR 47条)

事業者が、グループ会社共通の個人データの取扱いに関するルールを定め、当該ルールについてEU域内のデータ保護監督機関(Data Protection Authority:DPA)の承認を得ることにより、グループ会社間の個人データの自由な移転を可能とするもの※2

・ BCRのドラフト作成やDPAの承認等、導入のためのハードルが高いと考えられている。

・ グループ会社以外に対するEU域外への個人データの移転については、別途本図表2記載のいずれかの対応を要する点に留意する必要がある。

標準契約条項(SCC)※3

移転元がEU域外のデータ移転先(以下、「移転先」という)との間で所定のひな型に従って契約を締結することにより、移転元と移転先との間での個人データの移転を可能とするもの

2021年6月にSCCの改訂版が公表された。詳細は3.を参照。

行動規範(Code of Conduct)

事業者団体(例:業界団体)がGDPRの適用を具体化すべく策定した行動規範について、監督機関の承認を得た場合、当該事業者団体内の事業者は行動規範に従って個人データを移転することができる。

行動規範の作成・承認の取得に係る手続が煩瑣であることもあり、本稿執筆時点では活用が進んでいない。

認証
(Certification)

認証機関が、監督機関等が承認した基準に基づいてある管理者または処理者のデータ保護措置を認証した場合、当該管理者または処理者に対して個人データを移転することができる。

本稿執筆時点では、EU域外へのデータ移転に関する認証制度は存在しない。

その他

明示的同意
(GDPR 49条)

データ主体から明示的な同意を得ることにより、その個人データをEU域外に移転することができる。

・ 十分性認定に基づく移転および適切な保護措置による移転に関する要件を満たさない場合に限り依拠すべきものであるとされている。

・ 「明示的同意は限定的に解釈されなければならない」とされている※4。特に、本規定を従業員の個人データの移転の根拠とする場合、監督機関から、かかる同意が任意になされたものでないと判断されるおそれがある。

※1 その他の国・地域は、アルゼンチン共和国、アンドラ公国、イスラエル国、ウルグアイ東方共和国、英国王室属領ガーンジー、英国王室属領ジャージー、英国王室属領マン島、カナダ、スイス連邦、デンマーク王国自治領フェロー諸島およびニュージーランドです(本稿執筆時点である2022年3月6日現在、以下同様です)。
※2 BCRを採用している日本企業の例としては、楽天グループ、KUMONグループ、Internet Initiative Japan(IIJ)グループがあります。
※3 GDPRでは「標準データ保護条項(standard data protection clauses)」と称されています(GDPR 46条2項(c))。
※4 European Data Protection Board, Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679

上記のうち、「適切な保護措置」については、一般的にはSCCがポピュラーな手法であると考えられています。
2019年1月に日本(の民間部門)に関して十分性認定が採択されたことにより、移転元は特段適切な保護措置を講じることなくEU域内から日本に個人データを移転することができるようになり、経済界からは歓迎されました。もっとも、欧州委員会が、今後の個人情報取扱事業者による補完的ルールの遵守状況等諸般の事情を考慮して十分性認定を撤回等することとなるおそれも否定できないため、日本企業としては、そのようなリスクを見越して、重ねて適切な保護措置をとるべきかを検討することが望ましいと思われます。

また、特にEU域内のみならず、米国等の十分性認定を受けていない国・地域においても事業を展開する日本企業に関しては、当該国・地域との関係で適切な保護措置等の対応を求められることが想定される点にも留意が必要です。たとえば、ドイツの子会社が日本の親会社およびベトナムの関連会社との間で個人データを移転する場合、日本の親会社への移転のみが十分性認定に基づいて適法となり、ベトナムの関連会社への移転についてはなおSCCの締結等による対処が必要となります。

米国への個人データの移転をめぐる変遷

諸外国のなかでも、とりわけEUと政治・経済関係の深い米国に対する個人データの移転の枠組みは、2000年代以降、幾度もの変遷を経てきました。

GDPRの前身にあたる「EUデータ保護指令」が施行されていた2000年より、EU域内から米国への個人データの移転は、「セーフハーバー協定」と呼ばれる両者間の合意に基づいて行われていました。しかしながら、米国内の情報機関による情報収集活動への懸念の高まり等を背景として、欧州司法裁判所は、2015年、米国における個人データの保護の水準がEUにおけるそれと本質的に同等(essentially equivalent)でないとして、セーフハーバー協定は無効であるとの判断を下しました注6。同判決は、申立人(オーストリアの弁護士)の氏名からSchrems(シュレムス)I事件と呼ばれています。
同判決後の2016年には、セーフハーバー協定に代わる個人データ移転の枠組みとして、EU・米国間で「プライバシーシールド」が締結され、当該枠組みに従った個人データの保護を確約した米国企業に対する個人データの移転が可能となりました。しかしながら、でも触れましたが、2020年7月、欧州司法裁判所は米国内における個人データの保護の水準がなお不十分であることを問題視し、プライバシーシールドについても無効とする旨の判決を下しました(Schrems II事件)注7

Schrems II事件では、SCCの有効性も争点となりました。欧州司法裁判所は、結論としてはSCCの有効性を認めたものの、EUの個人データの保護の水準に照らして、外国(特に米国)の法執行機関や情報機関による個人データへの過度のアクセスから個人データを保護するため、SCCに加えてケースバイケースで補完的措置(supplementary measures)を講じる必要があると判示しました。SCCの脆弱性を指摘した同判決により、(GDPRの導入により既にやや時代にそぐわないものとなっていた)SCCの改訂に関する機運が高まったといえます。

SCCの改訂と日本企業への影響

SCCの改訂版は、2020年11月に改訂案が公表された後、パブリックコンサルテーション手続を経て、2021年6月4日に採択され(以下、「本決定」といいます)注8、同月27日より施行されました。改訂内容は多岐にわたりますが、主な変更点は以下の図表3のとおりです。

図表3 SCCの主な変更点

 

概要

備考

モジュール(ひな型)の追加


以下1)、2)に加えて、新たに3)、4)が選択できるようになった(本決定前文10項)。

1) EU域内の管理者→EU域外の管理者への移転(モジュール1)

2) EU域内の管理者→EU域外の処理者への移転(モジュール2)

3) EU域内の処理者→EU域外の復処理者への移転
(モジュール3)

4) EU域内の処理者→EU域外の管理者への移転(モジュール4)

・ 全モジュールは、一体の文書として本決定の別紙に添付されており、利用するモジュールに応じて別紙を修正する必要がある。

・ モジュール3および4は改訂前のSCCではカバーされていなかった類型である。

利用の柔軟化

 


 


 

・ 改訂後のSCCは別紙に複数の移転元・移転先を列挙することが可能な建てつけとなっており、複数当事者による締結が容易となった(本決定前文10項、SCC別紙I.A.)。これにより、グループ会社間におけるSCCの利用が促進されることが期待される。

・ 通称「Docking clause」が追加され、他の当事者が締結済みのSCCに参加することが容易となった(本決定前文10項、SCC7条)。

Docking clauseが当事者に適用される契約法上有効であるかは、契約当事者に応じて別途確認が必要となる。

データ移転影響評価
(Transfer Impact Assessment)

移転元および移転先に対し、以下を含む事項を評価したうえで当該評価(Transfer Impact Assessment)を文書化・保管し、監督機関の求めに応じてこれを提出する義務が課された(SCC 14条)。

・ 個人データ移転の具体的な状況

・ 個人データの移転先の法令および実務

・ 個人データの保護に係る補完的措置の内容

同規定はSchrems II判決を受けたもの。また、SCC 15条は、移転先が監督機関から個人データの開示請求を受けた場合における、(法令上可能な範囲での)移転元に対する通知・開示請求に対する異議申立義務等、さらなる契約上の保護措置を設けている。

所定の記載内容の詳細化

従来もSCCに基づく個人データ移転の内容を別紙(Annex I)に記載する必要があったが、改訂後はより詳細な記載が要求されるようになり、特に以下の項目が追加された。

・ 担当者の連絡先

・ 個人データ移転の頻度

・ 復処理者の責任

同改訂は、「説明責任と透明性の向上」という一般的な傾向に沿ったもの。たとえば、SCCの別紙(Annex II)に記載されているデータセキュリティ対策の記載例も、改訂前と比較して、より詳細なものとなっている。

移転元・移転先の損害賠償責任

データ主体に対する損害賠償責任のみならず、移転元・移転先間の損害賠償請求に関しても規定された(SCC 12条)。

同規定が当事者間で締結されているその他の契約における責任制限・免除規定との関係で矛盾しないかを確認することが望ましい。

 

本決定により、改訂前のSCCは2021年9月27日をもって廃止され、締結済みの改訂前のSCCについても、2022年12月27日をもって廃止されることになります。したがって、従前、SCCをEU域内からEU域外への適法な個人データ移転の根拠として利用していた日本企業(移転元)は、

① EUから十分性認定を受けている移転先の場合:

(ⅰ) 十分性認定に依拠して個人データを移転する形に切り替える(その場合、移転元(典型的には日本の親会社)において、補完的ルールを遵守するための社内体制を整備しているかの確認・検討は必要)。

(ⅱ) SCCの改訂版を締結する。

② EUから十分性認定を受けていない移転先の場合:基本的にはSCCの改訂版を締結する。

について、それぞれ検討することになると思われます。
また、SCCの改訂版では特に移転先の義務が加重されていることを踏まえて、その締結にあたっては、各契約当事者がSCC所定の諸規定を遵守することができるのか、慎重な検討が求められるといえます。

eプライバシー規則案

EUにおけるデータ保護法制全般に関連する近時の動向として、「eプライバシー規則」の制定に向けた動きがみられます。自社のウェブサイトがEU域内のユーザーの利用を想定している場合、EUデータ保護法の対象となる可能性があり(上記図表1参照)、また、ツールやプラグインの使用にはグローバルな越境データ移転が伴うことが多いため、EU域外の事業者にも影響しうる事項といえます。

現行法上、電子通信サービス(とりわけ、Eメールやインターネット)に関するプライバシー保護制度として、eプライバシー指令(e-Privacy Directive)があります注9。同指令は、GDPRの特別法に位置づけられ、Cookieやダイレクトマーケティング等に適用されますが、その「指令」注10としての性質上、EU各国間で解釈・執行の相違が生まれる可能性が否定できません。また、同指令が急速に発展するデジタル時代に即したものとはいえないものとなっていたことから、GDPRと一貫性があるEU各国共通の規制を確立すべく、2017年以降、eプライバシー指令に代替するものとして、eプライバシー規則(e-Privacy Regulation)案の審議が行われています。

もっとも、同規則案については、EU各国間の意見の相違や広告業界等からの反発も強くみられるところです。特に、プライバシーの問題に関する国民の意識が高い国は、サービス提供事業者が、当該サービスを提供する目的を超えて、ユーザーのメタデータ(例:ウェブサイトの利用時間や日時、位置等)を取り扱うこと、およびCookieの設定や読取りを通じてユーザーの端末にアクセスすることに対して同意要件を設けることや、ターゲット広告に関する制限を課すことに肯定的です。他方で、このようなアプローチに対しては、「イノベーションと経済成長を阻害するのではないか」「直接的な金銭支払いではなく間接的な広告収入から運営資金を得ているコンテンツプロバイダー(例:ジャーナリスト)に悪影響を与えるおそれがあるのではないか」といった批判が向けられています。
本稿執筆時点では同規則の制定の目途は立っていませんが、GDPRが適用される日本企業としては、念のため、制定をめぐる議論の進展状況を注視する必要があると思われます。

おわりに

GDPR上の義務に違反した事業者に対しては、監督機関から高額の制裁金が課されるおそれがあります。また、GDPR上の義務違反が公表された場合、当該事業者へのレピュテーションへの悪影響が生じる可能性もあります。加えて、データ主体が当該事業者に対して損害賠償請求をする事態も想定されます。なかでも、個人データの域外移転規制違反に係る制裁金は、最大で当該企業の全世界年間売上高の4%または2,000万ユーロのいずれか高い方に上ります(GDPR 83条5項(c))。個人データの域外移転規制違反に関して制裁金が課された事例も存在しますので注11、日本企業としても、今一度、個人データの域外移転規制を含め、GDPR上の諸規制を遵守するための体制を整備することが肝要です。

→この連載を「まとめて読む」

[注]
  1. European Commission, REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)[]
  2. EU加盟国27ヶ国ならびにEEA(欧州経済領域)の一部であるリヒテンシュタイン、アイスランドおよびノルウェーを含みます。以下同様です。[]
  3. IPアドレス、Cookie(クッキー)等。[]
  4. 個人情報保護委員会作成の仮訳を参照しています。以下のGDPRの訳文についても同様です。[]
  5. 「取扱い」とは、「自動的な手段によるか否かを問わず、収集、記録、編集、構成、記録保存、修正若しくは変更、検索、参照、使用、送信による開示、配布、又は、それら以外に利用可能なものとすること、整列若しくは結合、制限、消去若しくは破壊のような、個人データ若しくは一群の個人データに実施される業務遂行又は一群の業務遂行を意味する」と定義されています(GDPR 4条2項)。[]
  6. Case C-362/14, Maximilian Schrems v. Data Protection Commissioner, ECLI:EU:C:2015:650[]
  7. Case C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd., Maximilian Schrems, ECLI:EU:C2020:559[]
  8. European Commission, COMMISSION IMPLEMENTING DECISION (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council[]
  9. European Commission, DIRECTIVE 2002/58/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)[]
  10. EU法上、GDPRを含む規則(Regulation)はEU各国に直接適用されますが、指令(Directive)は通常EU各国に直接適用されず、EU各国において当該指令の範囲内で国内法を制定する必要があります。[]
  11. たとえば、2021年3月には、スペインの当局がVodafone Espanaによるペルーへの個人データの移転に関して、域外データ移転規制違反を理由として、同社に対して200万ユーロ(約2億6,000万円)の制裁金を課しました(Case (Procedimiento) No. PS/00059/2020, Agencia Española de Protección de Datos v. Vodafone España, S.A.U.)。[]

龍野 滋幹

アンダーソン・毛利・友常法律事務所外国法共同事業 パートナー弁護士・ニューヨーク州弁護士

2000年東京大学法学部卒業。2002年弁護士登録、アンダーソン・毛利・友常法律事務所入所。2007年米国ニューヨーク大学ロースクール卒業(LL.M.)。2008年ニューヨーク州弁護士登録。2007~2008年フランス・パリのHerbert Smith法律事務所にて執務。2014年~東京大学大学院薬学系研究科・薬学部「ヒトを対象とする研究倫理審査委員会」審査委員。国内外のM&A、JV、投資案件やファンド組成・投資、AI・データ等の関連取引・規制アドバイスその他の企業法務全般を取り扱っている。週刊東洋経済2020年11月7日号「「依頼したい弁護士」分野別25人」の「M&A・会社法分野で特に活躍が目立つ2人」のうち1人として選定。

甲斐 聖也

アンダーソン・毛利・友常法律事務所外国法共同事業 アソシエイト弁護士

2009年東京大学法学部、2011年東京大学法科大学院卒業(法務博士)。2012年弁護士登録、2013年アンダーソン・毛利・友常法律事務所外国法共同事業入所。2019年英国ユニバーシティ・カレッジ・ロンドン(UCL)卒業(LL.M.)。2019~2020年ドイツ・シュトゥットガルトのGleiss Lutz法律事務所、2020~2021年イタリア・ローマのChiomenti法律事務所にて執務。

ジーモン・クレメンス・ヴェーグマン

Simon Clemens Wegmann
Gleiss Lutz法律事務所 ドイツ弁護士

2014年フンボルト大学法学部中退。2017年ドイツのGleiss Lutz法律事務所入所、2018年ドイツ弁護士登録。International Association of Privacy Professionals(IAPP/国際プライバシー専門家協会)およびDeutsch-Japanische Juristenvereinigung(独日法律家協会)会員。ドイツ・欧州のデータ保護法、特に越境データ移転、M&A取引におけるデータ保護、コンプライアンス全般に関して、ドイツ内外のクライアントに助言を提供している。また、Berlin School of Economics and Lawにおいて「Data Protection – An introduction」(2019年)と題する講演を行う。