GDPRの新SCC(標準契約条項)とは?求められる対応と期限
2021年6月4日、欧州委員会は新しいSCC(標準契約条項)を採択し、GDPR(EU一般データ保護規則)のデータ保護要件に満たない第三国への個人データの移転についての義務を規定しました。
EU域内で事業を行う日本企業は、2022年末までに新しいSCCを導入しなければならない場合があります。この記事では、そもそもSCCとは何か、新SCCの特徴から利用開始日程、企業に求められる対応について解説します。
なお本記事は、以下のGDPR第28条個人データ処理委託契約標準契約条項(SCC)の和訳に準拠して執筆しております。
参考:UniLaw 企業法務研究所「GDPR標準契約条項(SCC)和訳」(2022年9月7日時点)
1. SCC(標準契約条項)とは
SCC(Standard Contractual Clause、標準契約条項)とは、欧州委員会が決定したデータ移転契約のひな型で、*EU域内からEU域外への個人データの移転をGDPR上適法化するための「適切な保護措置(appropriate safeguard)」の一つです。つまり、データ移転元ー移転先間にて、SCC(=契約のひな形)を元に作成した契約を締結することで、データ移転の法的根拠とすることができます(GDPRでは、原則的にEU域外への個人データの移転を認めておらず、移転するには条件をクリアする必要があります)。
*厳密にはGDPRは、EU以外の国も含む「EEA(欧州経済領域)内」から「EEA外」への個人データ移転について関わりますが、記事執筆の都合上、以下「EU域内」「EU域外」と表示します。
SCCの核心となる考え方は、(1)第三国の当事者にGDPRの効力が及びにくいという問題に関連して、移転元の管理者が移転先管理者に対して、契約という形式で適切なデータ保護措置の義務を課すこと、そして、(2)データ主体(消費者個人等)が、契約の第三受益者として、裁判によって保護措置等の強制を求め、損害賠償等を受けられるようにするということです。
なお日本には、十分性認定(EU域内と同等の個人情報保護水準にある国だとする認定)が認められていますので、日本へ個人データを移転する際には十分性認定を根拠に移転することも可能です。詳しくは後述します(4. 対応すべき実務)。
十分性認定について、詳しくは以下の記事をご確認ください。
「GDPRの十分性認定とは?日本企業への影響と求められる対応」
ところで、GDPR上では、SDPC(Standard Data Protection Clause、標準データ保護条項)という名称で同内容が規定されており、注意が必要です。データ保護指令(1995年施行)以来の名残りで、現在でも通称SCCと呼ばれています。
2. 新SCCの特徴
2020年7月のEU司法裁判所による米国への十分性認定(以下、「プライバシー・シールド」)無効判決をきっかけに、従来のSCCに代わるものとして新SCCが作成されることになりました。
SCC(以下「旧SCC」)はデータ保護指令時代に採択され、GDPR施行後も有効とされていましたが、2021年6月に欧州委員会が新SCCを採択しています。
新SCCはモジュール方式を採用しており、従来の複数あったSCCが統合されたり、移転元・移転先いずれも複数社対応可能になったりしたことで、データ移転の幅広いシチュエーションに対応できるものとなりました。一方で、プライバシー・シールドの無効判決が改定の背景となっていることから、新たな要件も追加されています。
新SCCの全体的な特徴として移転先の義務とデータ主体の権利の拡大という点を挙げることができます。
管理者から管理者への移転用の旧SCCでは、移転元だけでなく移転先に対しても、データ主体(消費者個人等)が、第三受益者として、旧SCC上の一部義務に関して権利行使可能でした。ただし、対象となる移転先にはセキュリティ確保や処理目的等の義務に限って課されていました。
ところが新SCCでは、移転先のEU加盟国の監督機関の措置(是正命令・賠償命令等)に服す義務や移転先のEU加盟国裁判所の管轄に服す義務など、あたかも移転先がEU域内にあるかのように、GDPR上の管理者とほとんど同等の義務が移転先に課されるとともに、データ主体は移転先に対して、直接、GDPR上の権利とほぼ同じ権利を行使できるようになりました。
「プライバシー・シールド無効判決」の影響により追加された新SCC第14条・第15条については、下記の通りです。
(第14条要約)SCC遵守を妨げる移転先国法令・実務の不存在の保証等
- 各移転および移転後の処理の個別事情
- 移転先国での公的機関へのデータ開示を要求する法令・実務
- それを踏まえて、当事者が講じる個人データ保護の措置
- その他例示された事項
(第15条要約)移転先国の公的機関による開示要求等への対応
実際に公的機関から個人データの開示要求を受けた場合(あるいは直接的なアクセスを受けた場合)、移転先は移転元(およびデータ主体)に通知する必要がある。さらに、可能な限り異議申立をし、応じざるをえない場合でも開示範囲を必要最小限としなければならない。
3. 利用開始&旧SCC廃止のスケジュール
新SCCに関連する日程は以下の通りです(新SCC採択決定4条参照)。
- 2021年6月4日
欧州委員会が新SCC採択決定。 - 2021年6月27日
新SCC採択決定発効。以降、新SCCの利用が可能に。 - 2021年9月27日
旧SCC廃止。同日以降は旧SCCの締結不可、新SCCのみ締結可能に。 - 2022年12月27日
同日前までは締結済み旧SCCによる移転は有効。締結済み旧SCCが同日付で失効に。
つまり、この日までに締結済みの旧SCCに代えて、新SCCへ切り替えなければなりません。なお、十分性認定等の他の根拠を用いて越境移転を適法化することも可能です。
4. 対応すべき実務
EU域内で事業を行う日本企業としては、以下のような対応の検討が必要と考えられます。
4-1. EU域内から日本へのデータ移転について
(1)新たに発生する日本へのデータ移転(旧SCCを使った契約上の移転とは異なる、新たな対象の移転)については、実施までに移転の根拠を「新SCC」「十分性認定」のいずれにするかを決定する。
(2)既に締結済みの旧SCCについては、2022年12月27日までに、日本へのデータ移転の根拠を「新SCC」「十分性認定」のいずれに切り替えるのかを決定する。
(1)、(2)の決定の際には、移転元(EU内企業)、移転先(日本内企業)、データ主体のいずれの恩恵を優先するかも、「新SCC」「十分性認定」いずれを根拠にするかを決定する要因になりえます。なお、「新SCC」よりも「十分性認定」が移転元(EU内企業)にとって不利なので、移転元が日本企業の子会社等でない限りは、受け入れさせることが困難な可能性があります。
4-2. EU域内から日本以外の国へのデータ移転について
一部の十分性認定国(カナダ、韓国等)を除き、ほとんどの国への移転について新SCC締結が必要です。特に移転先が米国、中国、ロシア等の場合は注意が必要です。
また、新SCC締結以前に、前提としてTransfer Impact Assessment(データ移転影響評価)が必要な点に注意しましょう。
十分性認定について、詳しくは以下の記事をご確認ください。
「GDPRの十分性認定とは?日本企業への影響と求められる対応」
十分性認定国についての一覧はこちらでご確認ください。
European Commission「Adequacy decisions」
5. まとめ
この記事では、新SCCの概要や企業に求められる対応などについてご紹介しました。
EU域内で事業を行う日本企業で、第三国の関係会社などへ個人データ移転を行う場合、2022年12月末の旧SCC廃止を迎える前に、新SCCへの対応が必要です。この記事を契機に、新SCC対応の見落としがないか検討してみてください。
本メディア(Priv Lab)では、各種プライバシー関連法への対応やデータ活用に関する記事を配信しております。関心がある方は、ぜひ他の記事もチェックしてみてください。
GDPRで定められた事業者の義務は広範囲にわたります。自社のみでの対策が難しい場合には、弊社のコンサルティングサービスのご活用もご検討ください。
>>Priv Techの「プライバシーコンサルティング」はこちら
公開日:2022年10月31日
パーソナルデータの取扱いにお悩みの方に
- 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
- 誰にどこまで同意を取ったか管理するのが大変…
- ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
- 同意は管理できても他社システムを上手く連携して使えないと…
で、すべて解決!