GDPRの「72時間ルール」、この3日間で企業は何を求められるのか？：待ったなし！ GDPR対策（4/4 ページ）

[土肥正弘，キーマンズネット]

個人データの国際移転に関わる注意点

　個人データの移転については本連載第3回でも触れたが、欧州委員会より十分性認定を受けていない第三国へEU在住者の個人データを移転することはGDPRの原則上、禁止されている。そのため、十分なデータ保護措置が確認されていない第三国へ個人データを移転するには、SCC（Standard Contractual Clauses：標準契約条項）、あるいはBCR（Binding Corporate Rules：拘束的企業準則）による手続きを経て、監督機関の承認を得る必要がある。次に、この「SCC」と「BCR」の違いについて解説しよう。

個人データの移転に相当するケース

• ECサイトなど、WebサービスでEU在住者の個人情報（氏名やメールアドレスなど）を取得し、EU域外においてデータを処理、蓄積する場合
• 日本の本社からEU域内の子会社が収集した顧客の個人情報にアクセスする場合
• EU域内にある子会社もしくは支店が収集した個人データを米国のデータセンターに保管し、日本国内から米国データセンターにアクセスする場合

組織外にも対してもデータを移転する可能性がある場合はSCC締結が得策

　SCCとは、個人データの移転元と移転先で締結する、当事者間による契約方式である。契約に当たって必要となる契約書のひな型がWebで公開されているため、後述するBCRと比較すると手続きが容易だ。ただし、移転先が複数ある場合には、移転先ごとにSCCの締結が必要である。SCCの締結が用いられるケースとして、組織の内外を問わずEU域内の従業員データや取引先担当者の個人データをEU域外へ移転する場合などが考えられる。

　なお、SCCはGDPRの前身である「EUデータ保護指令」の時代からデータ移転のために日本企業が利用してきた契約である。GDPR施行以前に、SCCを締結していた場合には、データの使用目的や許容範囲、提供目的などをANNEX（付属文書）に追加することで対応可能とのことだ。

BCRは利便性が高いがDPAの承認までのハードルが高い

　一方のBCRは、企業グループなどの事業活動を行う組織全体でデータ移転に関する規定を定める方法である。承認されると、グループ内であれば自由にデータ移転が可能となる。ただし、データ移転に関わるルールやプロセスなどを詳細に規定しなければならず、また、契約書においてもSCCのようにひな型はなく、全て一から作成する必要があるため、企業にとって負荷が高い。BCRの締結までに約1年半を要するケースもあるようだ。日本企業では楽天や富士通、IIJと、まだ数えるほどの企業しか承認が得られていないという。

SCCもBCRも締結できない場合は、契約書類を活用する

　では、個人データの移転に当たってSCCもBCRも締結が難しい場合はどうなるのだろうか。松浦氏は「SCCもBCRも締結できない場合は、本人の明確な同意が得られれば、データ移転の条件を満たしていると見なされます。しかし取引先であるEU企業の担当者の個人データを移転するような場合には、本人同意を得にくい場合があります。そのときは、取引先EU企業と締結する契約書類に個人情報の取り扱い条項を設けることで、SCCを締結したと見なされ、移転要件をクリアできます」と助言する。

　以上、4回にわたり、GDPRについて対応が急がれる領域を中心に注意点を紹介してきた。企業にとっては大きな負担ではあるが、GDPRは「世界で最も厳しい個人情報保護法」ともいわれているため、これを乗り切れば、世界各国の各種情報保護法令にも容易に対応できるだろう。コンサルティング会社やシステムインテグレーターなどから提供されているGDPR対応サービスも活用しながら、早期に完全対応を果たしてほしい。