第1回は、EUの一般データ保護規則(GDPR)について概要を紹介しました。さまざまな規定がある中、GDPRでは、個人データをEUの外に移転させること(域外移転)に関し一定の制約が設けられています。本稿では、域外移転に関する制約と、移転のための対応について概説します。
域外移転に関する制約
GDPRでは、EU内に所在する者の個人データを域外に移転することは原則禁じられています。まず注意が必要なのは、ここで言う「移転」とは、多くの専門家の間で、「個人データを域外のサーバへ格納することだけでなく、域外の第三者が域内の個人データを参照することも含まれる」と考えられている点です。
つまり、ネットワーク越しに域内のサーバに域外からアクセスして、そのサーバに格納された個人データを参照することは、原則禁じられている、と考えられます。
そのように「移転」を捉えたとき、域外に個人データが移転できない、という原則はとても厳しい制約であると言えるでしょう。
では、そのような個人データの「移転」が一切域外にできないことになっているのか、というと必ずしもそうではありません。次の場合については、そうした域外移転が認められることになっています。
(1)十分性の判定による移転
(2)十分性の判定がない状態での移転
図表1. 域外移転が認められるケース
| (1)十分性の判定による移転 | 「十分性の判定」とは、域外の国または地域に関し、個人データの保護が十分な水準にあると欧州委員会が判定することを指しており、そのような判定がなされたところに対しては移転できる、というものです。2017年6月末現在、十分性の判定が得られた国・地域としては、アンドラ、アルゼンチン、カナダ(民間部門のみ)、フェロー諸島、ガーンジー島、イスラエル、マン島、ジャージー島、ニュージーランド、スイス、ウルグアイとEU-USプライバシーシールドとされており、日本はその中に含まれていない状況です。 |
| (2)十分性の判定がない状態での移転 | 十分性の判定が得られていない国・地域に個人データを移転するには、明確な同意の取得、拘束的企業準則(Binding Corporate Rules:BCR)、標準データ保護約款(Standard Data Protection Clause:SDPC)、行動準則(Codes of Conduct)または認証(Certification)といった手段が規定されています。なお、契約の履行のために必要な場合や重要な公共の利益のために必要な場合などに移転が特別に認められることも挙げられていますが、これらが適用されるケースは限定されているようです。 |
