【執筆者 パートナー弁護士 渡邉 雅之】
【過去の関連記事】
EU一般データ保護規則(GDPR)(第1回):EU一般データ保護規則とは?
EU一般データ保護規則(GDPR)(第2回):用語について
EU一般データ保護規則(GDPR: General Data Protection Regulation)の適用開始が2018年5月25日に迫っています。我が国との関連では、EUから日本への個人データの移転に関してどのような枠組みが定められるかが注目されています。
2018年2月9日に開催された個人情報保護委員会(第53回)においては、『EU域内から十分性認定により移転を受けた個人データの取扱いに関するガイドラインの方向性』について審議され、日本企業の対応の方向性が見えてきました。
以下では、現時点(2018年2月21日)で判明している情報の下での日・EU間の個人データの相互移転の方向性および日本企業の実務的な対応について説明いたします。
1 EUデータ保護指令と十分性の認定について
(1)EUデータ保護指令の概要
EU加盟国においては、これまでプライバシー保護の枠組みとして、1995年10月24日に採択(1998年10月24日発行)された「個人データ取扱いに係る個人の保護及び当該データの自由な移動に関する1995年10月24日の欧州議会及び理事会の95/46/EC指令」(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)(以下「EUデータ保護指令」といいます)が適用されています。EUデータ保護指令については、各加盟国において国内法化することが求められています。
(2)EUデータ保護指令に基づく越境データ移転
ア 十分性の認定
現行のEUデータ保護指令25条1項においては、EU加盟国は、個人データの第三国への移転については、当該第三国が個人の基本的な自由及び権利について十分なレベルの保護措置を確保している場合に限って行うことができる旨定めなければならないと規定しています。欧州委員会は、第三国が十分なレベルの保護を保障していると認定することができます(同条6項)。このような欧州委員会による認定を「十分性の認定」といいます。
現時点では、スイス、カナダ、アルゼンチン、ガンジー島、マン島、ジャージ島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランドの11の国・地域が「十分性の認定」を受けています。
イ 十分性の認定以外の移転方法
「十分性の認定」を得ていない場合には、EUデータ保護指令26条2項に基づき、データ主体の権利および自由に関する十分な保護措置として、�@事業者間の標準契約条項(Standard Contractual Clauses:SCC)の締結または�A事業者グループにおける拘束的企業準則(Binding Corporate Rules:BCR)の採用という方法が認められています。
「拘束的企業準則」(BCR)は、監督機関の承認により、グループ企業内の個人データの越境移転を可能にする枠組みです。「拘束的企業準則」が、個人データの取扱いに関し、データ主体に執行できる権利を明示的に規定するものです。「拘束的企業準則」は、最も安全な手段ですが、監督機関による承認が必要なため、承認取得までに比較的長い期間と多額の費用がかかります。また、「拘束的企業準則」による個人データの越境移転はグループ間に限られます。現在92グループが承認されており、我が国では楽天グループが承認を得ています。株式会社インターネットイニシアティブ(IIJ)も承認申請中です。
「拘束的標準条項」(BCR)によらない場合は、「標準契約条項」(SCC)によるのが簡易な方法です。各加盟国において上乗せで承認や通知が求められる場合があることに留意必要です。「標準契約条項」による個人データの情報移転は「拘束的企業準則」と異なり、グループ間の情報移転に限られません。EUデータ保護指令の下においては、以下の3つのSCCが用意されています(こちらのページをご参照ください。)。
・Controller to Controller(Controller(管理者)間の個人データの移転)
Set I(2001)
Set II (2004)
・Controller to Processor(Controller(管理者)とProcessor(処理者)間の個人データの移転)
_
(3)個人情報保護法の改正
日本は、「十分性の認定」を得ることを目指して、EUデータ保護指令と日本の「個人情報の保護に関する法律」(以下「個人情報保護法」といいます。)のギャップを分析し、2017年5月30日に施行された個人情報保護法の改正において、EUデータ保護指令と同等の規律、すなわち、�@独立した第三者機関(個人情報保護委員会)の設置、�Aセンシティブ情報(要配慮個人情報保護法)の取扱いの定め、�B小規模事業者への法の適用(過去6ヵ月間いずれの時にも5,000以下の個人データしか保有していない事業者の個人情報取扱事業者化)、�C越境データ移転についての定め(外国にある第三者への個人データの提供についての定め)、�D開示請求権等の適用の明確化(開示請求権等の裁判上の請求ができることの明確化)を定めたところです。
_
2 EU一般データ保護規則(GDPR)
(1)GDPRの導入
_ 2016年4月14日に、あらたなEU一般データ保護規則(GDPR: General Data Protection Regulation、以下略して「GDPR」といいます。)が欧州議会により採択され、2018年5月25日から適用されます。GDPRは、EUデータ保護指令に置き換わるものです。
GDPRは、EU基本憲章8章に規定されている個人データの保護への権利を具体化したものです。EUデータ保護指令よりも個人の権利が強化されるとともに、事業者の義務が厳格化されています。
EUデータ保護指令が各加盟国で国内法化する必要があるのに対して、GDPRは各加盟国での国内法化は不要です。GDPRは、以下の各点においてEUデータ保護指令よりも強化されています。
・透明で適切なプライバシーポリシーの提供
・明示的な同意の取得
・忘れられる権利
・データ・ポータビリティの権利
・プロファイリングの拒否
・16歳以下の利用者について保護者の同意
・データ違反時の報告・連絡(「可能な限り72時間以内」)
・データ保護影響評価
・監督機関による高額の制裁金
(2)GDPRにおける越境データ移転の規定
ア 十分性の決定(GDPR 45条)
GDPRにおいても、EUデータ保護指令と同様に、十分性の決定(Adequacy Decision)に基づく移転の規定が置かれております。
欧州委員会は「十分性の決定」を与えるために、�@法の支配、人権及び基本的自由の尊重、公安、国防、国家の安全及び刑事法並びに個人データへの公的機関のアクセスに関するものを含む一般的な又は分野別の関連法令及びその履行、�A第三国又は国際機関への個人データの再移転に関連し、当該第三国又は国際組織によって遵守される規定及び判例法並びに効果的かつ執行力のあるデータ主体の権利を含むGDPRの規定、専門的なルール及び安全管理措置、�B個人データが移転されるデータ主体のための効果的な行政上及び司法上の是正措置、�CGDPRの規定の遵守の保障及び執行並びに適切な執行権限に対する責任、データ主体が権利を行使する際にこれを支援する又はこれに対し助言する責任、及び、加盟国の監督機関と協働する責任を有する第三国における一つ又は複数の独立した監督機関、又は国際機関が従うべき監督機関の存在及び実効的権限行使、�D当該第三国若しくは国際組織が加入している国際的取決め、といった事項を考慮します(GDPR 45条2項(a)〜(c))。
なお、EUデータ保護指令25条6項に基づき欧州委員会により採択された十分性の認定は、GDPR45条3項または5項により採択された欧州委員会決定により修正・交換・廃止されるまでは有効です(GDPR 45条9項)。
_
イ 適切な安全管理措置(GDPR 46条)
「十分性の決定」を得ていない場合は以下のいずれかの適切な安全管理措置を講じている場合には、EU域外への第三国への個人データの移転が認められています。
�@拘束的企業準則(binding corporate rules)
�A標準データ保護約款(standard data protection clauses)
�B行動準則(codes of conduct)
�C認証(certification)
「拘束的企業準則」(BCR)については、EUデータ保護指令の下でも認められているものですが、GDPR 47条において、「拘束的企業準則」(BCR)に規定すべきことが具体的に定められています。
「標準データ保護約款」は、EUデータ保護指令の下における「標準契約条項」に相当するものです。現時点では、GDPRに基づく「標準データ保護約款」は公表されていません。
既に締結されている「標準契約条項」(SCC)に関しては、GDPRの適用開始後、欧州委員会または監督当局により、修正・交換・廃止されるまでは有効です(GDPR 46条5項)。
「行動準則」(GDPR 46条2項(e)、40条、41条)は、我が国の個人情報保護法の下における認定個人情報保護団体のような団体による自主ルールのようなものが想定されますが、現時点では導入については未知数です。
「認証」(GDPR 46条2項(f)、42条)は、我が国におけるプライバシーマークのようなデータ保護認証制度を想定していますが、こちらも現時点では導入について未知数です。
ウ 特別な状況における特例(GDPR 49条)
「十分性の決定」を得ておらず、適切な安全管理措置を講じていない場合には、以下の特別の状況にある場合には、EU域外の第三国への個人データの移転が認められています。
�@リスクについて情報提供を受けた後の明示的な同意
�A契約の履行のため必要な場合
�B重要な公共の利益のため
_
3 EUデータ保護指令・GDPRにおける「移転」(transfer)と個人情報保護法の「個人データの第三者提供」との違い
EUデータ保護指令やGDPRには「移転」(transfer)の定義がありませんが、我が国の個人情報保護法の「個人データの第三者提供」(同法23条、外国の第三者への提供については同法24条)とはかなり違う概念であることに留意が必要です。
(1)EUデータ保護指令やGDPRにおける「移転」
EUデータ保護指令やGDPRの越境データ移転は、EU域外に個人データが移転することを対象としており、同一法人(例:英国法人X社の本店⇒X社日本支店、日本法人Y社の英国支店⇒日本法人Y社の本店)への移転であっても対象となります。
また、個人データを移転する主体は、個人情報保護法の「個人情報取扱事業者」に相当する「管理者」(Controller)に限らず、個人(データ主体)が移転する場合も対象となります。
(2)個人情報保護法における「個人データの第三者提供」
これに対して、個人情報保護法24条の「外国にある第三者への提供」は、個人情報取扱事業者による他の法人への個人データの移転を対象としており、同一法人内の個人データの移転(例:日本法人Z社本店⇒日本法人Z社の英国支店、英国法人W社の日本支店⇒英国法人W社の本店)は対象としていません。利用目的の範囲内であれば利用が許容されます。
また、個人情報取扱事業者に該当しない個人による個人データの提供は対象としておりません。
(3)サーバへの個人データの移転
EU域内から日本にあるサーバに個人データを移転することは、個人データの越境移転に該当します。EU域内の会社で個人データを取得したとしても、日本にあるサーバを経由する場合には、越境移転に該当するため、SCCを締結したり、あるいは、当該個人にリスクを示した上で、明示的な同意を取得する必要があります。
これに対して、個人情報保護法では、海外サーバの運営事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法第24 条)に該当しないと考えられています。当該サーバに保存された個人データを取り扱わないこととなっている場合とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。(「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(個人情報保護委員会)Q9−5)
_
4 日EU間の個人データの移転に関する交渉
上記1(3)のとおり、日本は「十分性の認定」を得るために、2017年5月30日施行の個人情報保護法の改正を行ったところです。
もっとも、EUデータ保護指令よりも上記の点で事業者の義務やデータ主体の権利が強化されており、2017年5月30日の改正後の個人情報保護法よりも厳しいものであるため、GDPRの下での十分性の決定が得られるかについては懸念が持たれるところです。
個人情報保護委員会は、2016年7月19日、「個人データの円滑な国際的流通の確保のための取組について」(平成28年7月29日個人情報保護委員会決定)により、EUと相互に円滑な個人データの移転を図る枠組みの構築を視野に定期的会合を立ち上げる方向で調整することとしました。
また、同年11月8日には、「国際的な取組みについて」(平成28年11月8日 個人情報保護委員会決定)においては、以下のとおり公表いたしました。
「日EU間で個人データの保護を図りながら越境移転を促進することが重要であることを強調し、その目標に向かって、日EU間で協力対話を続けていくことで一致している。引き続き、グローバルな個人データ移転の枠組みとの連携も視野に置きつつ、以下の点を踏まえた議論を推進する。
日EU間での個人データ移転は、改正個人情報保護法(独立機関である個人情報保護委員会の設置など)を前提として相互の個人データ流通が可能となる枠組みを想定するものとする。
また、EUにおいては、本年採択されたEU一般データ保護規則(GDPR)が平成30 年5月に適用されることから、その運用に向けた動きも注視していく必要がある。」
_
さらに、個人情報保護委員会は、2017年7月4日に、以下の「日EU間の相互の円滑な個人データ移転について」(平成29年7月4日個人情報保護委員会)を公表いたしました。
個人情報保護委員会は、昨年来、個人情報保護法を前提として、日EU間の相互の円滑な個人データ移転を図る枠組み構築を視野に、欧州委員会司法総局と累次の対話を重ねてきており、相互の制度に関する理解は相当程度進んできた。
本年7月3日には、熊澤個人情報保護委員会委員はヨウロバー欧州委員と会談を実施し、日EU間の相互の円滑な個人データ移転を図る枠組み構築の具体的方策等について確認したところである。
この会談を踏まえ、個人情報保護委員会としては、今後、欧州委員会の日本に対する十分性認定に係る作業の進捗に併せて、来年前半を目標に個人情報保護法第24条に基づくEU加盟国の指定を行う可能性を視野に、本年6月16日に個人情報保護委員会において決定した「個人情報保護法第24条に係る委員会規則の方向性について」に基づき、今後委員会規則の改正手続を進めていくこととする。
また、EU加盟国については、EUの個人情報保護制度のみならず、その制度の遵守態勢、執行態勢並びに相互の理解、連携及び協力の可能性等について確認していく必要があることから、引き続き、情報収集・調査を行うとともにEU加盟国の各データ保護機関等との対話を引き続き精力的に行っていくこととする。
_
直近のEUとの協議は、2017年12月14日の「熊澤春陽個人情報保護委員会委員、ベラ・ヨウロバー欧州委員会委員(司法・消費者・男女平等担当)による共同プレス・ステートメント(2017年12月14日)」です。
熊澤春陽個人情報保護委員会委員とベラ・ヨウロバー欧州委員会委員は、相互に十分性を見出すことを、2018 年のできるだけ早い時期に達成するための作業を加速させることを目指して、2017 年12 月14 日に東京で建設的な会談を行った。
両者は、この目的の重要性を、特に最近の日EU 経済連携協定(EPA)の交渉妥結の観点から再確認した。個人データの自由な流通を確保することにより、十分性を同時に見出すことは、基本的なプライバシーの権利の保護を強化しながら、日EU・EPA の便益を補完し拡大することができる。これは日EU 間の戦略的なパートナーシップにも貢献する。
両者は、過去数か月の大きな進展を評価するとともに、双方の制度間の関連する相違点を埋めるための解決策を探った。両者は、次の段階へ進み、解決策の詳細について作業すること、また、議論のペースを加速させることに合意した。
これを念頭に置きつつ、次回のハイレベル会談については、議論を完結させることを目指し、2018 年初めにブリュッセルで開催することとする。
_
5 十分性の認定による個人データの取扱いに関するガイドラインの方向性
2018年2月9日に開催された個人情報保護委員会(第53回)においては、EU域内から十分性認定により移転を受けた個人データの取扱いに関するガイドラインの方向性について審議されました。同議題に関する資料(「EU域内から十分性認定により移転を受けた個人データの取扱いに関するガイドラインの方向性について」)が個人情報保護委員会のウェブサイトにおいて以下のとおり公表されています。
1.背景
個人情報保護委員会は、国境を越えた個人データの流通が増大する中、その円滑な移転を確保するための環境整備に取り組んでいるところである。その中で、日EU間の個人データの移転については、相互の円滑な移転を図る枠組みの構築を視野に、欧州委員会との間で累次の対話を重ねてきている。
平成29年12月14日には、当委員会委員と欧州委員会委員との間で会談を行い、双方の制度間の関連する相違点に対処するための、法令改正を行わない形での解決策について確認するとともに、今後、その詳細について作業すること、また、平成30年第一四半期に、最終合意することを想定し、委員レベルで会談をもつことで一致したところである。
この解決策として、EU域内から十分性認定により移転を受けた個人データの取扱いに関するガイドラインを策定することとし、次のような考え方を軸に検討を進めることとする。
_
2.EU域内から十分性認定により移転を受けた個人データの取扱いに関するガイドラインの方向性
「_」はガイドラインの方向性(案)
�@ 要配慮個人情報の範囲
EUではセンシティブデータとして扱われる「性生活」・「性的指向」・「労働組合」に関する情報が、日本では要配慮個人情報に該当しない。
_EUから移転された個人データについて、「性生活」・「性的指向」・「労働組合」に関する情報に関しては要配慮個人情報と同様の取扱いを行うこととする。
�A 保有個人データの範囲
EUでは保有期間にかかわらず全ての個人情報について開示・訂正・利用停止等の請求権が認められるが、日本では6か月以内に消去することとなる個人データについては開示等の請求権が認められない(請求権が認められる保有個人データではない)。
_EUから移転された個人データについて、6か月以内に消去することとなる個人データについても保有個人データとして扱うこととする。
�B 利用目的の特定
EU側は、EUでは第三者から提供を受けた個人情報の利用目的は、取得時に特定された利用目的の範囲に制限されるのに対し、我が国の個人情報保護法にこれを直接規定する条項がないことから明確化を求めている。
_EUから移転された個人データについて、確認記録義務を通じて確認した利用目的の範囲内で利用目的を特定し、その範囲内で当該個人データを利用することとする。
�C日本から外国への個人データの再移転
EU側は、日本からEU以外の外国への個人データの再移転について、保護レベルが確保されるよう明確化を求めている。
_EUから移転された個人データについて、本人同意に基づき再移転する場合は、本人が同意するために必要な移転先の状況についての情報を提供し、提供先の体制整備をもって再移転する場合は、契約等により、個人情報保護法と同水準の保護措置を実施することとする。
�D匿名加工情報
EUでは、加工方法に関する情報が残存している場合、安全に分離保管されていても再識別の可能性があるとして匿名化とはみなされない。
_EUから移転された個人データについて、個人情報保護法上の匿名加工情報として扱おうとする場合は、加工方法に関する情報を削除し、再識別を不可能なものとすることとする。
_
6 日本企業としての対応
EU域内に拠点(現地法人・支店・駐在員事務所)がある場合には、「従業員情報」や「顧客情報」を日本に移転させるためには、GDPRの越境データ移転が問題となります。
(1)十分性の認定が認められた場合の対応
日本が、GDPRの適用開始日(2018年5月25日)までに、EUデータ保護指令に基づく「十分性の認定」を受けることができるのであれば、GDPRの下においても経過措置(GDPR 45条9項)により有効であり、「標準データ保護約款」や「拘束的企業準則」(BCR)による対応は不要となります。
また、日本が「十分性の認定」を取得すれば、EU⇒日本⇒第三国への個人データの再移転は、日本が十分性の認定を取得すれば、個人情報保護法24条の外国にある第三者への提供だけの問題となります(ただし、以下の�Cの「日本国内から個人データを国外に再移転する場合」の取扱いが必要)。
日本企業は、EUから移転された個人データに関して、上記5の個人情報保護委員会の定める十分性の認定に関するガイドラインに沿った以下の取扱いが必要となります。これは、プライバシーポリシーや個人情報取扱規程を改訂することにより対応することになると考えられます。
要配慮個人情報の範囲の拡充(性生活・性志向・労働組合)
保有個人データの保存期間(6ヵ月以内に消去するものも対象に)
確認記録義務を通じて確認した利用目的の範囲内で利用目的を特定し、その範囲内で当該個人データを利用。
日本国内から個人データを国外に再移転する場合
(i) 本人の同意に基づき再移転する場合、本人が同意するために必要な移転先の状況についての情報を提供
(ii) 提供先の体制整備をもって再移転する場合は、契約等により、個人情報保護法と同水準の保護措置を実施。
個人情報保護法上の匿名加工情報として扱おうとする場合は、加工方法に関する情報を削除し、再識別を不可能なものとする(加工方法等情報を安全に分離保管していてもダメ)
(2)標準契約条項(SCC)による対応
日本がGDPRの適用開始日である2018年5月25日までに「十分性の認定」を取得できるかは不確定であることから、GDPRの適用開始前に、念のため、EUデータ保護指令に基づく標準契約条項(SCC)を締結しておくことも考えられます。GDPRの適用前に締結した標準契約条項(SCC)は、経過措置により、GDPR適用開始後も有効です(GDPR 46条5項)。
また、日本・EU以外の十分性の認定を受けていない国・地域に拠点(現地法人・支店・駐在員事務所)がある場合であって、EU拠点からの従業員情報や顧客情報を共有することになる場合には、全拠点で標準契約条項(SCC)を締結することが考えられます。