GDPRにおける標準契約条項(SCC)と移転影響評価(TIA)
GDPRは、個人のプライバシーとデータ保護を基本的人権として極めて高く位置付けており、EU域外へのデータ移転に対しては厳格な制限を設けています。日本は欧州委員会から十分性認定を受けているため、一定のルールの下でデータの移転を受けることが可能ですが、ビジネスモデルの多様化に伴い、受領したデータをさらに別の第三国へ再移転するケースや、十分性認定の枠組み外でデータを処理するケースが急増しています。このような状況において必須となるのが、欧州委員会が承認した標準契約条項の締結とそれに伴う移転影響評価の実施です。
本記事では、欧州連合における個人データ保護と第三国移転の基本原則を日本の個人情報保護法と比較しながら概観した上で、標準契約条項の法的性質とそのモジュール構造について詳細に解説します。さらに、データ移転実務に根本的な変革をもたらした欧州司法裁判所の歴史的判例であるシュレムスII判決の要点と、その判決を契機として義務化された移転影響評価のプロセスについて、欧州データ保護会議の勧告に基づき深掘りします。
記事全体の要点として、第一に新しい標準契約条項は四つのモジュールで構成されており、自社のデータ処理における役割に応じて適切なものを選択する必要があります。第二に標準契約条項を締結するだけでは適法なデータ移転として不十分であり、移転先国の法制度や実務が欧州連合と同等の保護水準を確保しているかを評価する移転影響評価の実施が必須となりました。第三に評価の結果として保護水準が不十分であると判断された場合には、強力な暗号化や仮名化といった技術的措置をはじめとする補完的措置を講じなければなりません。
この記事の目次
欧州連合における個人データ保護と第三国移転の基本原則
GDPRの十分性認定フレームワーク
現代のデータ駆動型経済において、国境を越えた情報の流通は不可避ですが、欧州連合は個人のプライバシー保護を至上命題として掲げており、域外への無制限なデータ移転を法的に厳しく制限しています。一般データ保護規則(GDPR)の第5章(第44条から第50条)は、個人データが欧州連合の域外にある第三国または国際機関に移転される場合の包括的な規制枠組みを定めており、移転によってGDPRが保障する本質的な保護水準が一切損なわれないことを求めています。
この枠組みの中で、データ移転を最も円滑に行うための法的根拠となるのがGDPR第45条に基づく「十分性認定」です。これは、特定の第三国や地域が欧州連合と実質的に同等のデータ保護水準を確保していると欧州委員会が公式に決定する制度であり、日本は2019年1月23日にこの十分性認定を取得しました。この決定により、日本の事業者は原則として追加の保護措置や個別の契約上の安全確保措置を講じることなく、欧州連合域内から個人データを適法に受領することが可能となりました。
しかしながら、日本の事業者がこの十分性認定に依拠してデータを受領する場合、日本の個人情報保護委員会が策定した「EU域内から十分性認定に基づき移転を受けた個人データの取扱いに関する追補ルール」を厳格に遵守する法的義務を負います。この追補ルールは両地域の法制度間の差異を埋めるために設けられたものであり、受領したデータは消去までの期間に関わらずすべて個人情報保護法上の「保有個人データ」として取り扱われるほか、性生活や性的指向、労働組合員資格に関する情報が「要配慮個人情報」として日本の一般的な基準よりも高い水準で保護されることになります。
第三国への再移転が発生する場合の必要措置
ここで日本の企業が特に留意すべき点は、受領した個人データをさらに別の第三国へ再移転(転送)する場合の取り扱いです。日本の個人情報保護法第28条では、外国にある第三者への提供に際して、原則として本人の事前の同意を得るか、個人情報保護委員会規則で定める基準に適合する体制を整備した事業者に提供することが求められます。日本の国内法のみを基準とすれば、委託契約等を通じて提供先に適切な安全管理措置を義務付けることで法目的を達成することが可能です。
一方でGDPRの枠組みの下では、十分性認定を受けた国からさらに別の第三国へデータが移転される場合、その最終的な目的地においてもGDPRと「実質的に同等」の保護水準が継続的に担保されなければなりません。したがって、日本の事業者が欧州連合から取得したデータを米国などのクラウドサーバーに保存したり、インドの開発拠点に処理を委託したりする場合、単に日本の個人情報保護法が定める同意を取得するだけではGDPRの求める保護要件を満たさないリスクがあり、次項で解説するGDPR第46条に基づく「適切な保護措置」である標準契約条項(SCC)の締結が不可避となります。
標準契約条項の法的性質とモジュール構造の解説
十分性認定を受けていない第三国に対する適法なデータ移転手段として、実務上最も広く利用されているのがGDPR第46条第2項(c)が定める欧州委員会承認の標準データ保護条項、すなわち標準契約条項(SCC)です。これはデータ輸出者(データエクスポーター)とデータ輸入者(データインポーター)との間で締結される定型的な契約条項であり、インポーターに対してGDPRの主要な原則を遵守する契約上の義務を直接的に課す性質を持ちます。
2021年6月4日、欧州委員会は「施行決定(EU)2021/914」を採択し、旧データ保護指令の下で策定されていた過去のSCCを全面的に刷新する新SCCを発表しました。
この施行決定に関する公式な文書は、欧州連合官報のウェブサイトで確認することができます。
参考:欧州連合官報ウェブサイト
この抜本的な刷新の背景には、クラウドコンピューティングの爆発的な普及によるデータ処理構造の多層化と複雑化、そして後述する欧州司法裁判所の判例に迅速に対応する必要性がありました。新SCCの最大の特徴は、多様なビジネスモデルに柔軟に適合するための「モジュール・アプローチ」を採用している点にあります。新SCCは全モジュールに共通する一般条項(第1条から第7条)と、具体的な移転の性質に応じて選択可能な四つの独立したモジュールで構成されており、企業は自らの役割を正確に把握し対応するモジュールを契約に組み込む必要があります。
| 移転の形態 | 実務における具体的な想定シナリオ | |
|---|---|---|
| モジュール1 | 管理者から管理者へ(C2C) | 欧州連合域内の企業が第三国にある合弁先の企業や独立したサービス提供者(例えば独自の目的でデータを分析するマーケティング企業)に対して顧客データを移転する場合。 |
| モジュール2 | 管理者から処理者へ(C2P) | 欧州連合域内の企業が第三国に所在するクラウドホスティング事業者や給与計算アウトソーシング事業者に対して、自社の厳密な指示のもとでデータを処理させるために移転する場合。 |
| モジュール3 | 処理者から処理者へ(P2P) | 欧州連合域内の管理者からデータ処理を委託された処理者(例えば域内に拠点を持つ日本のITベンダー)が、さらに第三国にある自社グループのシステム保守部門や外部のサブプロセッサ(復委託先)にデータを再移転する場合。 |
| モジュール4 | 処理者から管理者へ(P2C) | 第三国に所在する企業(管理者)が欧州連合域内のデータ処理事業者(処理者)にデータ処理を委託し、その処理結果や加工されたデータを欧州連合から第三国の管理者へ返還または移転する場合。 |
日本のビジネスパーソンにとって特に画期的な進化と言えるのが、モジュール3(処理者から処理者への移転)とモジュール4(処理者から管理者への移転)が新設された点です。旧SCCの時代には、欧州連合域内の処理者が第三国の再委託先へデータを移転するための専用の条項が存在せず、実務上極めて大きな混乱と法的な空白を生じさせていました。現在では、例えば日本のシステム開発企業が欧州連合の顧客からシステム運用を受託し、実際のサーバ保守業務を日本やインドなどの別の第三国にある拠点で行う場合、モジュール3を使用することで適法かつスムーズなデータ移転スキームを構築できるようになりました。
さらに新SCCの第7条には「ドッキング条項」と呼ばれるメカニズムが導入されています。これにより契約締結後に新たな当事者がデータ輸出者または輸入者として既存のSCCに容易に加入することが可能となり、頻繁に組織再編や業務委託先の変更が行われる現代の動的なサプライチェーンに完全に適合した設計となっています。準拠法に関する第17条の規定についても留意が必要であり、モジュール1から3については必ず欧州連合加盟国または欧州経済領域(EEA)諸国の法律を準拠法としなければなりませんが、モジュール4については第三国の法律(例えば日本法)を準拠法とすることも許容される場合があり、事案の性質に応じた精緻な法的設計が求められます。
日本の個人情報保護法実務との最大の違いは、このアプローチの「硬直性」にあります。日本の法律では外国の第三者への提供に際して「相当の措置」を講じることが求められ、実務上は当事者間の自由な契約によってその措置を具体化することが許容されています。しかしGDPRのSCCは欧州委員会が厳格に定めた定型文であり、当事者が勝手に条項の文言を変更したり削除したりすることは一切認められず、極めて厳格な形式要件を満たす必要があるという点に特に注意を払う必要があります。
シュレムスII判決がもたらした実務への根本的影響
2020年の「シュレムスII」事件と第三国へのデータ移転規制
SCCを利用したデータ移転の運用を根本から変革し、世界中の法務担当者に衝撃を与えたのが、2020年の欧州司法裁判所による歴史的な判決です。実務上「シュレムスII」事件と呼ばれるこの判決は、欧州連合から第三国へのデータ移転規制における最も重要な判例として広く認識されています。
この判決に関する公式な裁判記録は、欧州司法裁判所の公式ウェブサイトで確認することができます。
本件の当事者はアイルランドのデータ保護委員会、Facebookアイルランド法人、そしてオーストリアの著名なプライバシー活動家であるマクシミリアン・シュレムス氏です。欧州司法裁判所は2020年7月16日に下した判決(事件番号 C-311/18、Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems)において、データ保護の歴史に残る極めて重要な法解釈を示しました。
シュレムス氏は、Facebookアイルランド法人が収集した自身の個人データが米国のFacebook Inc.のサーバーに移転されていることに対し、米国の国家安全保障法制(特に外国情報監視法第702条および大統領令12333号)が欧州市民のデータを過度に監視の対象としており、基本的人権が侵害されているとして強力に異議を唱えました。
欧州司法裁判所による判断の骨子
欧州司法裁判所はこの訴えを長期にわたり審理した結果、第一に当時の欧州連合と米国間の十分性認定フレームワークであった「プライバシー・シールド」を完全に無効と宣言しました。裁判所は米国の情報機関によるデータへの広範なアクセス権限が、欧州連合基本権憲章第7条(私生活の尊重)および第8条(個人データの保護)が要求する「民主主義社会において厳密に必要かつ比例的な範囲」に限定されておらず、過剰な介入を許していると判断しました。さらに米国制度において設けられていたオンブズマン制度についても、独立した司法機関として政府機関に対して拘束力のある決定を下す権限を持たず、欧州連合基本権憲章第47条が保障する「効果的な司法的救済への権利」を満たしていないと厳しく結論付けたのです。
第二に裁判所はSCC自体の有効性についてはこれを支持し、引き続きデータ移転の法的根拠として利用可能であるとしました。しかし裁判所はSCCがあくまで私企業間の契約に過ぎず、移転先国の政府や治安当局の行動を法的に拘束する力は全く持たないという現実を直視しました。この論理構造から、国家機関による不当なアクセスを契約条項のみで阻止することは不可能であるということが言えるでしょう。
そのため裁判所はデータ輸出者に対して、移転先国の法令や実務慣行がSCCによる保護の有効性を実質的に損なっていないかどうかの「ケースバイケースの事前検証」を行う義務を新たに課しました。検証の結果、保護水準が不十分である場合は追加の「補完的措置」を講じなければならず、それでも同等の保護を確保できない場合には移転を直ちに一時停止または終了しなければならないと判示したのです。この厳格な判断基準から、単なる形式的な契約締結のみでは適法性を担保できず、実質的な保護水準の検証が不可欠であるということが言えるでしょう。この判決こそが、次に解説する「移転影響評価(TIA)」という新たな実務的義務を生み出す直接的な契機となりました。
移転影響評価の法的根拠と評価プロセス
シュレムスII判決の厳格な要請を受けて採択された新SCCの第14条には、移転影響評価(Transfer Impact Assessment)を実施し、そのプロセスと結果を詳細に文書化する義務が明記されました。当事者は、移転先国の法律や実務がインポーターによるSCC上の義務の履行を妨げるものではないことを公式に保証しなければならず、この要件を満たすための実務的なガイドラインが強く求められていました。
この複雑で専門的な評価をどのように実施すべきかについて、欧州連合の独立機関である欧州データ保護会議(EDPB)は「移転ツールを補完する措置に関する勧告01/2020」を発出しました。
この勧告の公式文書は、欧州データ保護会議の公式ウェブサイトで確認することができます。
この勧告は企業が準拠すべき体系的な六つのステップからなる方法論を提供しており、法務担当者はこの手順に沿って厳密な評価を行う必要があります。
| 名称 | 実務上の要件と解説 | |
|---|---|---|
| ステップ1 | 移転状況の完全な把握 | データ輸出者は自社が実施している全ての個人データの第三国移転を正確にマッピングし、完全に把握する必要があります。これには委託先(処理者)からさらに別の国の再委託先(サブプロセッサ)への複雑な再移転経路も含まれ、GDPR第30条に基づく処理活動の記録を活用することが強く推奨されます。 |
| ステップ2 | 移転ツールの特定 | 移転の法的根拠となるGDPR第5章のツールを特定します。対象国が十分性認定を受けている場合はこれ以上のステップは不要ですが、認定がない場合はSCCや拘束的企業準則などの第46条に基づく移転ツールを利用することを特定します。 |
| ステップ3 | 移転ツールの有効性評価 | これが移転影響評価の中核をなす最も困難なステップです。移転先国の法律や実務慣行、特に国家情報機関や警察組織によるデータへのアクセス権限が欧州連合の基本権憲章が求める厳格な要件に適合しているかを詳細に評価します。法制度が欧州連合の基準に照らして「問題のある法令」に該当する場合、移転ツール単独では保護機能が不十分であると判定されます。 |
| ステップ4 | 補完的措置の特定と採用 | ステップ3で保護水準が不十分であると判定された場合、レベルを欧州連合と同等の基準まで引き上げるための技術的、契約的、組織的な補完的措置を特定し導入します。どのような措置も効果がないと客観的に判断された場合、データ移転は開始してはならず、既存の移転は直ちに停止または終了しなければなりません。 |
| ステップ5 | 必要な法的手続きの実施 | 選択した移転ツールと採用した補完的措置に関連して、監督機関への届出や承認が必要な形式的要件がある場合、それらの手続きを遅滞なく適切に完了させます。 |
| ステップ6 | 定期的な再評価と監視 | 説明責任の原則に基づき、移転先国の法制度の改正や実務慣行の変化など、初期の評価に影響を与え得る動向を継続的に監視し、適切な間隔で評価プロセスをやり直すことが求められます。 |
日本の個人情報保護法第28条の枠組みにおいても、外国にある第三者へデータを提供する際に本人の同意を得る場合、移転先の外国の名称やその国における個人情報保護に関する制度に関する情報を本人に提供する義務が定められています。しかしながら日本の制度が主に事業者レベルの保護体制に関する情報提供を主眼としているのに対し、欧州データ保護会議が勧告する移転影響評価は、国家の情報収集活動に対する民主的な統制の有無や基本権の侵害に対する司法的救済の有効性など、遥かに深く厳格な憲法的および人権的視点からの分析を民間企業に要求している点で、その負担と性質の次元が根本的に異なります。
移転影響評価に基づく補完的措置の実務展開
ステップ4に従う「補完的措置」
移転影響評価のステップ3において、移転先国の法令がデータ輸入者に対する政府の不均衡なアクセスを許容しており、SCCによる保護が阻害されていると判断された場合、データ輸出者はステップ4に従い技術的、契約的、および組織的な「補完的措置」を複合的に組み合わせて導入しなければなりません。欧州データ保護会議勧告01/2020の「付属書2」には、これらの措置の具体的な事例が詳細かつ実践的に列挙されています。
「補完的措置」における「技術的措置」
実務上最も重要視され、かつ導入のハードルが高いのが技術的措置です。欧州データ保護会議は、国家当局による強制的なデータアクセス要求や秘密裏の監視活動に対して契約上の合意や社内規程だけでは実効的な抵抗が不可能であるため、技術的措置こそが不当なアクセスを物理的および論理的に防ぐ唯一の決定的な手段になり得ると強調しています。
「暗号化」による技術的措置
その代表的な手法が「暗号化」です。データを移転する際や第三国のサーバーに保管する際、最新の技術水準に基づき国家機関の暗号解読能力にも耐え得る強力な暗号化アルゴリズムを適用する必要があります。ここで極めて重要な法的要件となるのが暗号鍵の管理権限です。暗号鍵はデータ輸出者のみの管理下に置かれるか、あるいは欧州連合域内または十分性認定を受けた安全な国にある信頼できる事業者が保持しなければなりません。もし第三国にいるデータ輸入者自身が暗号鍵を保持しており、必要に応じてデータを平文に戻して処理できる状態にある場合、現地の政府当局からの法的命令によって鍵ごと提出させられるリスクが残存するため、これは欧州データ保護会議の基準において有効な補完的措置とは認められません。
「仮名化」による技術的措置
また「仮名化」も非常に有効な技術的措置として推奨されています。
仮名化に関する欧州データ保護会議の見解を示した公式ガイドラインは、欧州データ保護会議の公式ウェブサイトで確認することができます。
欧州データ保護会議が2025年1月に発行したガイドラインによれば、仮名化されたデータであっても追加情報を用いることで特定の個人を識別し得る状態にある限り、それは依然としてGDPR上の個人データに該当します。しかし、個人を特定するための対応表や暗号キーなどの追加情報をデータ輸出者が欧州連合域内で厳重に分離保管し、移転先である第三国の輸入者や国家当局がその他の外部情報と照合しても個人を再識別できない水準の仮名化が施されていれば、それは有効な補完的措置として高く評価されます。一方でクラウドサービス事業者が平文でデータを処理する必要があるビジネスモデルや、第三国から欧州連合域内の人事データにリモートアクセスして平文で閲覧するようなユースケースに対しては、現在のところ有効な技術的措置は存在しないと欧州データ保護会議は極めて厳格な見解を示しており、実務上の大きな障壁となっています。
「補完的措置」における「契約的措置」
契約的措置は技術的措置による物理的な防御を補強し、当事者間の責任と透明性を明確にするためのものです。具体的にはデータ輸入者に対して、現地の法律に基づく政府からのデータ開示要求があった場合には直ちに輸出者に通知する義務を負わせることや、その開示要求が過大であったり現地の法律に照らして不適切であると考えられる場合には輸入者が現地の裁判所で異議を申し立てる義務を契約上明記することなどが求められます。さらに移転先国の法律が許す範囲内で、政府から受けたアクセス要求の件数や種類に関する「透明性レポート」を定期的に輸出者へ提出させる規定を設けることも強く推奨されています。
「補完的措置」における「組織的措置」
最後に組織的措置としては、企業内部におけるデータ保護に関する厳格なガバナンス体制の構築が不可欠です。社内におけるデータアクセスの最小化原則の徹底、国際的に認められた情報セキュリティ認証の取得、移転先国に関するデューデリジェンスを継続的に実施するための内部規定の策定、さらにはデータを取り扱う全従業員に対するセキュリティおよびプライバシー保護に関する継続的な教育トレーニングの実施が含まれます。またデータが意図せず保護水準の低い別の国へさらに移転されることを防ぐための厳密な委託先管理ポリシーの適用も、実効性のある組織的措置として機能します。
まとめ:第三国へのデータ移転要件の遵守は弁護士に相談を
欧州連合における個人データ保護の枠組みは、個人の基本的人権の擁護を最優先とする厳格な思想に基づいて構築されています。そのため日本から欧州連合へ、あるいは欧州連合から日本を経由してさらに第三国へとビジネスを展開する企業にとって、一般データ保護規則第5章に基づくデータ移転要件の遵守は避けて通れない極めて重要な法的課題です。新しく制定された標準契約条項によるビジネスの実態に即した適切なモジュールの選択、そしてシュレムスII判決とそれに続く欧州データ保護会議の指針に基づく緻密な移転影響評価の実施は、単なる形式的な事務手続きではなく、移転先国の法制度と実務に対する深い洞察と法的検証を要求する実体的なコンプライアンス活動です。不十分な保護水準に対しては、暗号鍵の厳格な管理を伴う最先端の暗号化や高度な仮名化といった技術的措置を中核とし、契約的および組織的手段による重層的な防壁を構築しなければ適法な移転は実現できません。モノリス法律事務所は、自社のビジネスモデルに合致した適切なモジュールの選択や、移転先国の法制度リスクを専門的に評価する移転影響評価の実施など、こうした複雑な法的要件への対応について強力にサポートいたします。
当事務所による対策のご案内
モノリス法律事務所は、IT・インターネット・ビジネスに特化した法律事務所です。近年、グローバル展開を進める企業やBtoB SaaS事業者において、GDPRをはじめとする各国の個人情報保護法制への対応の必要性が急速に高まっています。 当事務所では、GDPRに基づくデータ処理契約(DPA)のレビューやドラフティング、プライバシーポリシーの改定、さらにはシステム仕様が法的要件を満たしているかどうかのリーガルチェックなど、国際的なデータガバナンスに関する専門的なサポートを提供しております。詳細な情報の確認や、具体的な案件の相談についてお問い合わせください。
カテゴリー: IT・ベンチャーの企業法務
