アドバイザリー
GDPRコラム

第10回 データ移転規制への対応

2017.11.28

前回のコラムでは、企業においてGDPRの影響を把握するための影響調査についてご紹介しました。GDPRは、EU域外の事業者であってもEU居住者の個人データの取扱いがある場合、同法の適用対象となり、また、その取扱い内容によっても影響が異なります(第3回 2018年5月の施行に向け必要な取組(基礎編)~要求事項の理解 参照)。
今回は企業からの問い合わせの多い、影響調査によって「データ移転」に該当する取扱いが確認された場合の対応についてご紹介します。

データ移転規制は、GDPRから新たに導入されるものではなく、現行法であるEUデータ保護指令においても規定されており、EU所在者の個人データを第三国へ移転する場合、定められた対策を講じることが求められます。なお「データ移転」とは、EU域内の企業から電子メール等で個人データを受け取る、といった物理的な移転だけではなく、EU域外からEU域内の個人データへアクセス可能な状態の場合も含まれるため、注意が必要です。

データ移転規制への対策としては、個人データ提供元と提供先の企業でデータ保護に関する契約を締結する方法(SCC:Standard Contractual Clauses(標準契約条項))、もしくは、グループ企業全体でデータ保護に関するルールを整備する方法(BCR:Binding Corporate Rule(拘束的企業準則))が主流です。

表:BCRとSCCの比較
説明 メリット デメリット
BCR
:自社グループ内での個人データの移転に関するルールを整備し運用
  • BCRを導入すれば、個人データのグループ内移転は自由に実施可能
  • SCCに比べ、導入負荷が高い(期間、費用)
  • グループ外の企業とのデータ移転には適用できない
SCC
:データ移転元と移転先の企業でデータの取扱いに関する契約を締結
  • 雛形(※)が公開されており、BCRと比較し作成が容易
  • グループ外へのデータの移転についても活用可
  • 移転目的と対象の個人データを契約書に明記するため、追加、変更が生じた場合、見直しが必要
 

影響調査を実施した結果、想定より多くのEU所在者の個人データが日本を含むEEA域外で取り扱われている事実に気づいたとの企業担当者の声もよく聞かれます。
影響調査の結果、企業は、同調査にて特定した、従業員の人事情報やスキルに関する情報、一般消費者の情報、企業担当者情報等のデータ移転について整理し、法律家の助言も受けつつ雛形に則ってSCCの作成を進めています。

(個人データ移転の例)
  • 個人データを格納する情報システムをEU域外のデータセンタで運用している。
  • 日本の本社から、EU域内のグループ会社の情報システムにアクセスし、グループ会社の従業員データを閲覧している。
  • EU域内の各グループ会社の採用に関する情報が日本本社へ提出されている。

なお、SCCと比べて適用がある企業は多くないようですが、「直接適用」と呼ばれる、EU企業を介さず、EU域外企業が直接EU居住者の個人データを取扱う場合、EU域外企業であってもEU域内企業と同等の責務が科されることになります。

表:「直接適用」に該当するケース
ケース
商品やサービスの提供
  • EUを含む海外市場向けのオンラインショッピングサイトを日本本社が運営している
  • マーケティング調査の一環で、製品・サービスを提供したEUの居住者からの顧客データを日本本社が直接収集している
モニタリング
  • EU所在者の位置情報を、日本本社が収集して分析する

上記のようなケースに該当する場合、GDPRが規定する収集時の同意、同意の撤回等も含め対応を進める必要があり、データ移転と比べ影響が大きいと言えます。

以上、データ移転規制への対応を中心に紹介しました。次回のコラムでは、「GDPR対応のための規程類の整備」に関してご紹介します。


GDPRコラム

【関連ページ】



情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?