GDPR|EU域外データ移転を適法化する十分性認定等の安全管理措置


GDPR施行後の個人データ域外移転の規定について 

 十分性の認定と個人データ移転のフローをまとめると以下のようになる。


1.十分性の認定

 EU加盟国より域外へ個人データを移転する場合、移転先の国・地域で個人データの十分な保護措置を確保している場合に限って、欧州委員会は審査し、認定することとなっている。現在(2018年3月現在)、アンドラ、アルゼンチン、カナダ、フェロー諸島、ガンジー島、イスラエル、マン島、ジャージ島、ニュージーランド、スイス、ウルグアイ、米国(EU-米国プライバシーシールドの枠内で)が「十分性の認定」を受けている。(詳細:欧州委員会ホームページ
 日本は、2017年7月6日に発表した欧州委員会のジャン=クロード・ユンケル委員長と安倍晋三首相による共同声明の通り、2018年中での十分性認定に向けて協力することを発表している。(詳細:JETROホームページ
 また、直近の欧州委員会との協議では、2017年12月15日に熊澤春陽個人情報保護委員会委員とベラ・ヨウロヴァー欧州委員会委員が2018年できるだけ早期に相互に十分性を見出す作業を加速することで会談を行っている。(詳細:欧州委員会ホームページ
 なお、「十分性の認定」適用の可否については、欧州委員会がGDPR第45条2項(詳細:一般財団法人日本情報経済社会推進協会ホームページ)に定める事項を考慮し採択される。


2.「標準契約条項(SCC)」と「拘束的企業準則(BCR)」について

 2018年5月25日までに「十分性の認定」を取得できるか不確定の段階において、企業が個人データの域外移転を行う場合、事業者間において所定の「標準契約条項(Standard Contractual Clauses : SCC)」の締結を行うか、グループ企業内で「拘束的企業準則 (Binding Corporate Rules : BCR)」を採用し、監督機関への申請・承認を得る方法がある。日本企業では2016年に楽天が初めてBCRの承認を取得(詳細:楽天ホームページ)しており、2018年には富士通株式会社がBCRの申請を発表(詳細:富士通ホームページ)している。

2-1 標準契約条項(SCC)

 SCCは、欧州委員会によって決定された個人データを域外移転する際の契約書の雛形となる。EU内のデータ輸出者とEU域外のデータ輸入者の二当事者間で、当該雛形を使ってデータ移転の契約を締結することで適切な保護措置のもと、法的にデータ移転を可能にするものである。現在、以下の3つのSCCの雛形が用意されている。(詳細:欧州委員会ホームページ
   EU controller to non-EU or EEA controller
   ・Set Ⅰ(2001)
   ・Set Ⅱ(2004)
   EU controller to non-EU or EEA processor

2-2 拘束的企業準則(BCR)

 BCRは、監督機関により世界水準のプライバシー保護基準を導入していると承認されることにより、グループ企業内の個人データの域外移転を可能にする枠組みとなる。
 SCCは、雛形に基づき比較的作成が容易であり、グループ外へのデータ移転にもできる。
 一方、個別契約を取り交わした企業間のみに適用するため、対象の個人データや締結企業の変更、追加に応じて対応が必要となる。BCRは、監督機関の承認後、個人データをグループ内で移転することが可能になる一方で、グループ外への移転は不可になる。また、SCCよりも導入負荷(コスト、期間等)が高いデメリットがある。
 ※参考 JETROホームページ:BCR, SCCの参考情報(PDF) 


3. 十分性の認定等の安全措置でGDPRへの対応は万全か?

 今後、日本が「十分性の認定」を受けることが出来れば、企業が個別に「標準データ保護約款(SCC)」や、「拘束的企業準則(BCR)」への対応は不要となる。 しかしながら、「十分性の認定」は、あくまでもGDPR第5章(第三国または国際機関への個人データの移転)に定める個人データの域外移転を審査・認定された国に認めるものであって、GDPR第3章(データ主体の権利保護)や第4章(管理者・処理者の義務)に関しては、今後日本が「十分性の認定」を受ける、受けないに関わらず対策が必要となる点は確認が必要だ。


4.まとめ

 2018年5月25日のGDPR施行に際し、「十分性の認定」が無い場合、企業において個人データの域外移転を行う場合、SCCやBCR等の適切な保護措置が必要となる。またGDPRの基本的な対応方針として、「十分性の認定」の有無に関わらず、個人データの収集、処理、保存、利用、破棄に至るデータライフサイクル全体のGDPR対応に向けた適切な対策は必要になるので注意いただきたい。

著者:マカフィー株式会社 マーケティング本部

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速