【論説】SCCは有効だからと安心できない:CJEU予備判決の重大な影響


株式会社インターネットイニシアティブ
プリンシパル・コンサルタント 鎌田博貴
 

重要なポイント

  • SCCは有効だが、移転先国でのデータ保護レベルについてケース・バイ・ケースの判断が必要。
  • 移転先国の法令がデータ輸入者に課す義務により、データ輸入者がSCCの義務を遵守できない場合、データ輸出者はそのような移転を中止すべきであり、移転元国の監督機関は移転中止・禁止を命じるべきである。
  • SCCを安全措置としてEU域外に個人データを移転する事業者は、移転先国の法令によりSCCの遵守が妨げられないかどうかを事前に検証し、かつ継続的に確認する必要がある。

SCCは有効だが、移転先国の個人データ保護レベルをケース・バイ・ケースで判断することが必要

欧州司法裁判所 (CJEU) は、7月16日、マックス・シュレムス氏がFacebookによる米国への個人データ移転の禁止を求めていた裁判に関連するアイルランド高等法院からの照会に対する予備判決(以下「予備判決」)で、EU-U.S. Privacy Shieldを無効と宣言する一方、標準契約条項(SCC)については有効と宣言した。しかしCJEUは、SCCを安全措置とする個人データの域外移転についても、事業者は移転先国の個人データ保護レベルについてケース・バイ・ケースで判断し、場合によっては移転を中止しなければならないとの判断を示した。SCCを利用する企業は決して安心できない。

GDPRが個人データのEU域外移転に求める条件はSCCだけでは満足されない

問題の所在を明らかにするために、まず、GDPRにおけるSCCの位置づけを改めて確認しよう。GDPR第45条に基づく十分性認定(EU-U.S. Privacy Shieldも十分性認定の枠組みに含まれる)を受けていないEU域外第三国への個人データ移転が許容される条件について、GDPR第46条第1項は次のように規定する。
 
In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.
 
第45条第3項による決定(注:十分性認定のこと)がない場合、管理者または処理者が個人データを第三国または国際機関に移転することができるのは、当該管理者または処理者が適切な安全措置を提供し、かつ、法的強制力あるデータ主体の権利および実効性ある法的救済手段が利用可能な場合に限られる。(筆者訳、以下同じ。)
 
すなわち、十分性認定を受けていないEU域外第三国に個人データを移転することができるのは、以下の3条件が整う場合に限られる。
  1. 移転される個人データ保護について、適切な安全措置が提供されていること
  2. EU並の個人データ保護を主張できる法的強制力ある権利がデータ主体に与えられていること
  3. EU並の個人データ保護を受けられない場合、裁判などによる法的救済の機会がデータ主体に提供されていること
これを前提として、GDPR第46条第2項は、このような「適切な安全措置」の一つとして、SCC(標準契約条項)を位置づける。つまり、SCCは、上記3条件の一部に過ぎず、データ輸出者は、上記3条件をすべて満足させる責任を負う。
 
The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:
… (c) standard data protection clauses adopted by the Commission …
 
第1項の適切な安全措置は、監督当局からの個別の承認を要さず、以下の手段により提供され得る:
… (c) 欧州委員会が採択した標準契約条項
 
この点について、予備判決は、データ輸出者である管理者または処理者は、データ輸入者と協力して、移転先第三国の法制度がEU法が求める十分な個人データ保護を保証しているかどうかをケース・バイ・ケースで検証し、必要な場合、追加の安全措置を提供しなければならないとする(第134段落)。
 
(134) … It is therefore, above all, for that controller or processor to verify, on a case-by-case basis and, where appropriate, in collaboration with the recipient of the data, whether the law of the third country of destination ensures adequate protection, under EU law, … by providing, where necessary, additional safeguards … 

条件が満足されない場合、域外移転を中止しなければならない

では、十分な個人データ保護を保証する条件が満足されない場合、どうなるのか。予備判決は、移転先国においてSCCが遵守され得ず、他の手段によってEU法が求める個人データ保護が保証され得ない場合、管理者または処理者が自ら移転を中止・終了しないときは、EU加盟国の監督当局は、GDPR第58条第2項(f)および(j)の権限を行使し、域外移転の中止・禁止を命じなければならないとの判断を示し(第121段落)、その例として、移転先国の公的機関が法令に基づく権限を行使して移転対象個人データにアクセスし、これにより十分な個人データ保護が保証できない場合を挙げる(第135段落)。
 
(121) … Article 58(2)(f) and (j) of the GDPR must be interpreted as meaning that … the competent supervisory authority is required to suspend or prohibit a transfer of data to a third country pursuant to standard data protection clauses … , if … those clauses are not or cannot be complied with in that third country and the protection of the data transferred that is required by EU law … cannot be ensured by other means, where the controller or a processor has not itself suspended or put an end to the transfer.
(135) … That is the case, in particular, where the law of that third country imposes on the recipient of personal data from the European Union obligations which are contrary to those clauses and are, therefore, capable of impinging on the contractual guarantee of an adequate level of protection against access by the public authorities of that third country to that data.
 
以上を踏まえ、予備判決は、SCCが移転先国の公的機関に対して拘束力を有しないことをもってその有効性が左右されるわけではなく、EU法が求める個人データ保護レベルの遵守を保証し、SCCを遵守できない場合には移転が中止・禁止されるような実効あるメカニズムがSCCに組み込まれていれば、SCCは有効であるとする(第136−137段落)。
 
(136) Therefore, the mere fact that standard data protection clauses … do not bind the authorities of third countries … cannot affect the validity of that decision.
(137) That validity depends … on whether … such a standard clauses decision incorporates effective mechanisms that make it possible, in practice, to ensure compliance with the level of protection required by EU law and that transfers of personal data … are suspended or prohibited in the event of the breach of such clauses or it being impossible to honour them.
 
予備判決は、SCCは、データ輸入者がSCCを遵守できない場合、データ輸出者に通知する義務を課し、このような通知を受けたデータ輸出者は、GDPR第46条の要求に照らし、移転を中止しなければならないことを義務づけているとする(第139−140段落)。
 
(139) … a recipient of personal data established in a third country undertakes, pursuant to Clause 5(a), to inform the controller established in the European Union promptly of any inability to comply with its obligations under the contract concluded. … 
(140) Clause 5(a) and (b) … confers on the controller established in the European Union the right to suspend the transfer of data and/or to terminate the contract. In the light of the requirements of Article 46(1) and (2)(c) of the GDPR … the controller is bound to suspend the transfer of data and/or to terminate the contract where the recipient is not, or is no longer, able to comply with the standard data protection clauses. … 
 
予備判決は、さらに、データ輸出者およびデータ輸入者には、実際に個人データの域外移転を開始する前に、EU法が求める個人データ保護レベルが移転先国において確保されているかどうかを検証することが求められ、もしSCCを遵守することができない場合、そのような移転を中止しなければならないとする(第142段落)。
 
(142) … a controller established in the European Union and the recipient of personal data are required to verify, prior to any transfer, whether the level of protection required by EU law is respected in the third country concerned. The recipient is, where appropriate, under an obligation, under Clause 5(b), to inform the controller of any inability to comply with those clauses, the latter then being, in turn, obliged to suspend the transfer of data and/or to terminate the contract.
 
予備判決は、このように、SCCには、移転先国の個人データ保護制度について事前に検証し、移転先国においてEU法が求める個人データ保護レベルが確保されない場合には移転を中止、禁止するメカニズムが組み込まれているので、SCCは有効であるとした。

SCCを安全措置とする域外移転が禁止される可能性も

今回の予備判決は、SCCおよびEU-U.S. Privacy Shield自体の有効性について照会されたものであり、Facebookによる個人データ移転を禁止すべきかどうかについては予備判決の対象となっていない。CJEUはSCC自体については有効であるとしたが、移転先国においてEU法が求める個人データ保護のレベルが確保されない場合、データ輸出者は移転を中止しなければならず、また、監督当局は移転の中止・禁止を命じることが求められるという判断を示した。さらに、EU-U.S. Privacy Shieldの有効性に関する判断の理由としてであるが、米国諜報機関は目的に照らしての必要性・比例性の基準を超える個人データアクセス権限を付与されており、このようなアクセスを争うデータ主体には有効な法的救済が保証されていないという判断も示した。これらの判断が示されたことにより、原審が係属するアイルランド高等法院は、同国データ保護コミッショナー(Data Protection Commissioner)に対して、FacebookによるSCCを安全措置とする米国への個人データ移転を禁止することを命じる判決を出す可能性がある。

SCCを利用する企業に求められる対応

予備判決で示された判断は、米国への個人データ移転だけではなく、およそSCCを安全措置とする個人データのEU域外移転すべてに重大な影響を及ぼす。すなわち、SCCを締結していることは、域外移転についてGDPR46条が求める条件の一部を満足しているに過ぎず、データ輸出者およびデータ輸入者は、移転先国においてEU法が求めるレベルの個人データ保護が確保されているかどうか、移転先国の法令に基づきデータ輸入者に課せられる法的義務がSCCの遵守を妨げる事情がないかどうかを、ケース・バイ・ケースで、事前に検証し、かつ、継続的に確認する必要がある。
 

関連記事