トピックス

2020.08.09
NEWS

【GDPR】Privacy Shieldを無効とする欧州司法裁判所の判決に関するFAQ

 
(セミナー情報)
Zoom無料セミナー(100名限定):渡邉雅之弁護士が2020年8月27日(木)午後6時より『2020年改正個人情報保護法を一挙解説!』と題するZoomセミナー(ウェビナー)を行います。

執筆者:渡邉雅之
* 本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email m-watanabe@miyake.gr.jp
 
 欧州連合司法裁判所は、2020年7月23日、EU(EEA)から米国への個人データの越境移転を認めるEUと米国間で締結されたPrivacy Shieldを無効であるとの判決をいたしました。
 本ニュースレターは、欧州データ保護委員会(EDPB)が公表する同判決に関するFAQ[1]を翻訳したものです。
 
【GDPR】Privacy Shieldを無効とする欧州司法裁判所の判決に関するFAQ

【事務所ヘッダー付:GDPR】Privacy Shieldを無効とする欧州司法裁判所の判決に関するFAQ

〇Privacy Shieldとは
米国とEUとの間では、2000年に、EU域内から米国に移転される個人データについてプライバシーに関するセーフハーバー原則に適合していると米国商務省が認定した米国企業に対してのみ、その情報の移転を認める「セーフハーバー協定」が結ばれていました。
 しかしながら、セーフハーバー協定は、2015年10月6日に欧州司法裁判所が当該協定を無効と判断されました。
 これは、元CIAのスノーデン氏が、CIA等の米国の国家安全保障当局がFacebookなどのSNSから無差別・大量の個人情報を取得していると暴露をしたことを契機に、EU市民がEU域内のFacebookの現地法人に対して提起した訴訟です。
 この司法判断を受けて、米国とEUは、従前のセーフハーバー協定に代わる新たな枠組みとして、2016年2月にPrivacy Shieldを締結しました(GDPRの十分性決定の一種)。
 2020年7月23日の欧州司法裁判所の判決により、Privacy Shieldも無効とされたため、EU(EEA)から米国への個人データへの移転は、本FAQの規定に従ってなされる必要があります。

〇今回の欧州司法裁判所の判決の影響は?
 今回の判決により、従前の「セーフハーバー協定」と同様に、Privacy Shieldによって、EU域内の管理者(Controller)や取扱者(Processor)は、EU(EEA)域内から米国に所在する者(法人・個人)に個人データを移転することは認められなくなりました。
 ただし、米国企業と標準契約条項(Standard Contractual Clauses (「SCC」))の締結したり、米国企業が拘束的企業準則(Binding Corporate Rules(BCR))を採用している場合は、当該米国企業に対して個人データを移転することは従前どおり認められます。
もっとも、EU域内の企業(管理者・取扱者)と米国企業は、標準契約条項(SCC)や拘束的企業準則(BCR)により個人データを米国に移転することについて事前に評価し、その状況を考慮した評価結果と、実施できる補完的措置について検討することが求められます。

〇GDPR第49条に基づく特例措置(適用除外)については認められるのか?
GDPR第49条においては、①越境データ移転がデータ主体の同意に基づいている場合、②データ主体と管理者の間の契約の履行に必要な越境データ移転、③重要な公共の利益(EUまたは加盟国の法律で認められるもの)のために必要な個人データの越境データ移転に関しては、十分性の決定が認められていない国・地域の移転であって、標準契約条項(SCC)が締結されておらず、拘束的企業準則(BCR)が採用されていない場合であっても特例措置(適用除外)として認められるとされています。
ただし、欧州データ保護委員会(EDPB)はこれらの特例措置の適用は認められるものの、「不定期」の個人データの越境データ移転に限られ、「定期的(常態的)」な個人データの越境データ移転としては認められないとされています。

〇日本企業への影響は?
 日本は、2019年1月23日に欧州委員会からGDPRに基づき、日EU間で個人データ保護水準に関する十分性を認定を取得しています。
 ただし、EU域内から日本への個人データの移転に際しては、個人情報保護委員会の「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(「補完的ルール」)に基づく、個人情報保護法への上乗せ措置を遵守する必要があります。
 日本企業が、米国を含むEU域外の国・地域(十分性認定を受けている国・地域を除く)に拠点(現地法人・支店・駐在員事務所等)を有し、そこに個人データを移転する場合は、今回の判決に従い、当該拠点と標準契約条項(SCC)を締結して個人データを移転することが求められることになります。EU域内から日本に一旦個人データが移転されれば、個人情報保護法+補完的ルールに基づく対応のみでよいという解釈もあり得ますが、EU域内から必ずしも日本に移転されず、他の拠点に直接移転されるのであればこのような解釈にはリスクがあります。

[1]Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 - Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf