対応を迫られるGDPR

GDPR施行へのカウントダウン--対応を迫られるGDPR（2） - (page 2)

大場敏行（デロイトトーマツサイバーセキュリティ先端研究所）

2017-07-11 07:00

移転のための対応

　前述のように、2017年6月末の時点で日本は十分性の判定がまだ得られていない状況なので、十分性の判定が得られるまでは、企業は日本へ域外移転を行うために基本的に、図表1における「（2）十分性の判定がない状態での移転」をもとにそれを行うことになります。このときの手段には次のものが認められています。

手段	概要
(i)明確な同意の取得	データ主体から個人データ移転に関する明確な同意を得ます。一度同意した移転についてデータ主体が同意をいつでも撤回できることを認めなくてはなりません。
(ii)拘束的企業準則（BCR）	グループ内で統一された情報管理を実施している場合に選択できます。その情報管理の方法を文書化し、監督機関に申請して承認を得ます。これによりグループ企業を包括した個人データ移転が認められます。監督機関への申請には、一般的に法律事務所等外部専門家の助力を必要とする場合が多いようです。
(iii)標準データ保護約款（SDPC）	所定の契約内容で、移転元と移転先の間で契約を結ぶことにより、その条件の中で移転を行うことができます。
(iv)認証（Certification）	欧州データ保護委員会（European Data Protection Board: EDPB）または監督機関によって承認される基準に基づいて認証されます。認証は3年間有効であり、延長が可能です。今後、認証を行う組織（認証機関）が設置される予定になっていますが、今のところ詳細は未定です。
(v)行動規範（Codes of conduct）	業界団体などがその特質を踏まえ、GDPRの順守を目的とした行動規範を作成します。監督機関が適切な安全対策を講じているとして行動規範を承認した場合には、行動規範に基づいて移転を行うことができます。行動規範の作成、順守状況の監視を行う機関など、今のところ未定な部分があります。

　これらのうち、（i）～（iii）については、現行法であるデータ保護指令（EUデータ保護指令95/46/EC）にも規定されており※1、GDPRが施行される前の時点であっても域外移転の手段として有効と考えられます。

　また逆に、（iv）と（v）に関しては、今のところ詳細はまだ明らかになっていない点があり、これらの手段の検討・採用にあたっては、EUから発表されるガイドラインの内容など、今後明らかになる情報を確認する必要があります。

　前回紹介したGDPRにおける制裁金の規定のうち、金額が高い方（企業の全世界年間売上高の4%以下または2000万ユーロ以下のいずれか高い方）に該当する違反として、「個人データの移転の条件に従わなかった場合」が含まれています。

　域外にある日本企業にとって、例えば現地の従業員や現地の顧客の個人データを移転することが事業においてしばしば必要になっている中、これらの要件に着実に対応することが重要です。

※1　同指令において、標準データ保護約款は、標準契約約款（Standard Contractual Clause：SCC）と呼ばれていました。

デロイトトーマツサイバーセキュリティ先端研究所主任研究員大場敏行: 国内大手製造業をはじめ、様々な業界、業種のクライアントに対して、個人情報保護、情報セキュリティに関するコンサルティング業務に従事。マイナンバー法導入にあたり、地方自治体向けに特定個人情報保護評価支援を提供。公認情報システム監査人（CISA）、情報セキュリティスペシャリスト。