移転のための対応
前述のように、2017年6月末の時点で日本は十分性の判定がまだ得られていない状況なので、十分性の判定が得られるまでは、企業は日本へ域外移転を行うために基本的に、図表1における「(2)十分性の判定がない状態での移転」をもとにそれを行うことになります。このときの手段には次のものが認められています。
手段 | 概要 |
(i)明確な同意の取得 |
|
(ii)拘束的企業準則(BCR) |
|
(iii)標準データ保護約款(SDPC) |
|
(iv)認証(Certification) |
|
(v)行動規範(Codes of conduct) |
|
これらのうち、(i)~(iii)については、現行法であるデータ保護指令(EUデータ保護指令95/46/EC)にも規定されており※1、GDPRが施行される前の時点であっても域外移転の手段として有効と考えられます。
また逆に、(iv)と(v)に関しては、今のところ詳細はまだ明らかになっていない点があり、これらの手段の検討・採用にあたっては、EUから発表されるガイドラインの内容など、今後明らかになる情報を確認する必要があります。
前回紹介したGDPRにおける制裁金の規定のうち、金額が高い方(企業の全世界年間売上高の4%以下または2000万ユーロ以下のいずれか高い方)に該当する違反として、「個人データの移転の条件に従わなかった場合」が含まれています。
域外にある日本企業にとって、例えば現地の従業員や現地の顧客の個人データを移転することが事業においてしばしば必要になっている中、これらの要件に着実に対応することが重要です。
※1 同指令において、標準データ保護約款は、標準契約約款(Standard Contractual Clause:SCC)と呼ばれていました。
- デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員 大場 敏行
- 国内大手製造業をはじめ、様々な業界、業種のクライアントに対して、個人情報保護、情報セキュリティに関するコンサルティング業務に従事。マイナンバー法導入にあたり、地方自治体向けに特定個人情報保護評価支援を提供。公認情報システム監査人(CISA)、 情報セキュリティスペシャリスト。