EDPB、シュレムスII判決に関するFAQを公開


EU各国のデータ保護当局の代表者などから構成され、GDPR解釈運用に関する加盟国間の調整権限をもつ欧州データ保護会議(EDPB)は、7月23日、いわゆるシュレムスII判決に関連して、FAQを公表した。

なお、第三国の法制度がSCC(標準契約条項)、BCR(拘束的企業準則)などの枠組みによる移転対象データの保護を阻害する場合に取るべき「補完的措置」(supplementary measures)の具体的内容については、EDPBが追ってガイドラインを示すことが明言された。

FAQの概要は以下の通り:

シュレムスII判決の概要

  • シュレムスII判決は、SCCは契約であるがゆえに、個人データ移転先国の公的機関を拘束することはできないが、そのことを理由としてその有効性が問われるわけではなく、SCCは有効であると判断した。その前提として、SCCに基づく義務として、移転当事者は事前に第三国のデータ保護レベルを検証しなければならず、もしSCCを遵守することができない場合、データ輸入者はデータ輸出者に通知しなければならず、この場合、データ輸出者は当該移転を中止しなければならないとした。
  • 一方、米国の法律および公的機関による個人データへのアクセスは、EU法が求める水準の制限(必要性、比例性)に服さず、対象個人が裁判において公的機関に対して行使し得る(データ保護を求める)法的権限を保証していないことを理由として、EU-U.S. Privacy Shieldを無効であると宣言した。

判決によりPrivacy Shield以外の移転適法化手段にも影響は及ぶのか

一般論として、判決で示された基準は、GDPR第46条に規定されたすべての安全措置(つまり、SCC、BCR、承認された行動基準、認証など)、米国以外の第三国への個人データ移転にも及ぶ。

判決の効果に猶予期間はあるのか

ない。

これまでPrivacy Shieldを利用して米国に個人データを移転していた場合、どうすべきか

Privacy Shieldを保護措置とする米国への個人データ移転は違法となった。移転を継続するなら、以下に説明する他の方法を検討する必要がある。

これまでSCCを利用して米国に個人データを移転していた場合、どうすべきか

判決は、米国の外国情報監視法(FISA)第702条および大統領令12333号は、EUと本質的に等しいレベルのデータ保護を保証しないと判断した。SCCによる個人データ移転を続ける場合、ケースバイケースで移転の状況を分析し、移転当事者が講じる補完的措置により、米国の法制度がSCCが保障するレベルのデータ保護を阻害しないことを確保しなければならない。

補完的措置を講じてもなお適切なデータ保護を保障し得ない場合、移転を中止すべきである。それでもなお移転を続ける場合、管轄する監督当局に通知しなければならない。(IIJ注:この場合、監督当局は、GDPR第58条の権限を行使して、当該移転の禁止を命じることができる。)

これまでBCRを利用して米国に個人データを移転していた場合、どうすべきか

BCRも米国の公的機関を拘束するものではないので、米国の法制度に関する判決の評価は、BCRによる移転に対しても適用される。

BCRによる個人データ移転を続ける場合、ケースバイケースで移転の状況を分析し、移転当事者が講じる補完的措置により、米国の法制度がBCRが保障するレベルのデータ保護を阻害しないことを確保しなければならない。

補完的措置を講じてもなお適切なデータ保護を保障し得ない場合、移転を中止すべきである。それでもなお移転を続ける場合、管轄する監督当局に通知しなければならない。

GPDR46条に規定された、これ以外の移転適法化の枠組みはどうなるのか?

判決が強調するように、第46条の規定は、第三国に移転される場合も個人データ保護が損なわれるべきではないとする原則を定める第44条を念頭に置いて解釈すべきである。

(IIJ注:移転の具体的状況を考慮して、第三国の法制度が当該枠組みに定められたデータ保護遵守を阻害しないかどうかについてケースバイケースで事前検証すべこと、必要に応じて補完的な保護措置をとること、当該枠組みを遵守できない場合、データ輸出者および監督当局に通知すべきことなどにより、第46条に規定された他の枠組みを利用する場合にも、実質的に均等なデータ保護を確保すべきというのがEDPBの考えである。)

米国に個人データを移転する場合、GDPR49条の例外を援用することはできるか

GDPR第49条の例外に基づいて米国に個人データを移転することは、なお可能である。ただし、これらの条項に示された条件を満たす場合に限る。EDPBは、その適用について以下の通り、ガイドラインを定めている。

  • 移転がデータ主体の同意に基づく場合、同意は、(1)明示的であり、(2)特定の移転行為を特定したものであり、(3)移転に伴うリスク、とくに移転先国が十分な保護を提供しないことについて情報提供を受けた上でのものであることの3点に留意すべきである。
  • 移転が契約履行上必要である場合、そのような移転が臨時のもの(occasional)である場合にのみ許されることに留意すべきである。移転が臨時的なものであるか、定常的なものであるかは、ケースバイケースで判断すべきである。また、そのような移転が契約履行のために客観的に必要である場合に限られる。
  • 移転がEU法または加盟国法で認められた重要な公共の利益を理由とする場合、この例外が適用可能かどうかは、移転に関わる組織の性格ではなく、重要な公共の利益が認めうるかどうかによって判断すべきである。この例外は、移転が臨時的なものである場合に限定されないが、そのことは、この例外に依拠する移転が大規模かつ系統的に行いうることを意味するものではない。例外は原則となってはならず、この例外に基づく移転は、厳格な必要性のテストをパスする場合に限定しなければならない。

米国以外への個人データ移転について、SCCまたはBCRを援用し続けることはできるか

判決が示したSCC利用時の制限は米国以外の第三国についても適用される。同じことは、BCRについても該当する。

すなわち、移転先国においてEU法が求めるデータ保護のレベルが尊重され、SCCまたはBCRに定められたデータ保護規定が実際に遵守されうるかどうかを評価し、もし遵守され得ない場合、補完的な保護措置を考慮する責任はデータ輸出者およびデータ輸入者にある。

判決で言及されているように、監督当局が移転を禁止する場合には、GDPR適用について加盟国間の一貫性を確保するため、EDPBにおいて調整することになるだろう。

SCCまたはBCRを利用する場合、どのような補完的措置をとるべきか

SCCまたはBCRが遵守し得ない場合にとるべき補完的措置は、移転を取り巻くすべての状況および移転先国の法制度を考慮し、十分なレベルの個人データ保護が確保されるよう、ケースバイケースで考えるべきである。

EDPBは現在、判決を分析し、どのような法的、技術的、組織的補完的措置を提供しうるか、判断しようとしており、追ってガイダンスを提供する。

処理者を利用している場合、処理者が米国その他の第三国に個人データを移転しているかどうか、どうすれば知ることができるのか

処理契約において、移転が許されるか否かを決定しなければならない。様々なコンピューティング・サービスにおいては、データ保存やメンテナンスを目的とする第三国への移転を伴うことに留意すべきである。

GDPR28条に基づく処理者との契約に個人データが米国その他の第三国に移転されることが記載されている場合、このような処理者を利用し続けることは可能か

米国法がEEA地域で保証されるのと同等のデータ保護に支障をきたすことがないことを保証できる補完的措置を提供することができず、また、GDPR第49条の例外を適用することができない場合、唯一の解決策は、そのような処理契約について補完・追加を交渉し、米国へのデータ移転を禁止するべきである。

米国以外の第三国に個人データが移転される場合であっても、当該第三国における法制度が判決の要求と相容れるかどうか、どの程度の個人データ保護を期待しうるかを検証すべきである。

CJEUシュレムスII判決全文:

http://curia.europa.eu/juris/document/document.jsf;jsessionid=57E5E2882434E9352EB26E5030335998?text=&docid=228677&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=9771928

EDPBが公表したFAQ:

https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf

関連情報

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

サンプルの閲覧はこちら
購入のお申込みはこちら

 

 

関連記事