GDPRの改定版標準移転契約及びデータ移転影響評価への対応

2. 欧州GDPRにおける新SCCおよびTIAへの対応

客観的な評価に基づく確実なSCCへの準拠

現在、SCCに基づいて個人データの越境移転を行っている場合、新SCCの施行とともに移転根拠とすることができなくなるため、2022年12月末までに新SCCによる契約の結び直しやその他の根拠に依拠した移転への切り替えなどの対応が必要になります^*。

そもそも、GDPRでデータの越境移転が認められるケースにはどのようなものがあるのでしょうか。条文では、「GDPRによって保証される保護のレベルが低下しないことを確保できる場合のみ移転できる」（第44条）とされています。

「保護レベルが低下しないことが確保できる場合」としては、「十分なデータ保護水準にある国に移転する場合」（第45条）または、「適切な保護措置が講じられている場合」（第46条）の2パターンが示されています。後者の適切な保護措置の1つとして、SCCの締結ならびに準拠が示されています。

新SCCへの改定によって、単に移転元と移転先が新SCCへの準拠を約束するだけではなく、客観的な評価によって確実に準拠できることを確認し、確認した結果を記録として残すことが必要となりました。この改定には、移転元と移転先に対して、個人データの安全な越境移転を客観的な評価によって担保しようとの意図があります。

新SCCへの準拠の根拠となるTIAの実施

客観的な評価を担保させる方法として、TIAの実施が求められています。TIAには特に決まったテンプレートは存在しませんが、以下の3つの観点を考慮して、データの移転がデータ主体に与える影響を評価することが求められています。

これらの事項を踏まえて、確実に新SCCに準拠できることを保障する必要があります。さらに、契約締結当初から状況に変化があり、新SCCへの準拠が困難になった場合は、データ移転を停止し、移転済みのデータを消去すること、または返却することが条項として盛り込まれています。

モジュール形式の採用により単一の新SCCで一連のデータ処理全体がカバー可能に

上記のような規制の強化が行われる一方で、多様な移転の形態に対応できるように、新SCCでは改善が加えられています。最大のポイントはモジュール形式が採用されたことです。

従来は、管理者から管理者への移転について2種類のSCCが存在し、管理者から処理者への移転について1種類のSCCが存在しました。そのため、一連の個人データの移転の中で、管理者と処理者のどちらに移転するかにより、どのSCCを使用するか判断する必要がありました。一方で、処理者から処理者への移転や、処理者から管理者への移転というケースが想定されていないなど、実務との不整合が生じる場面がありました。

今回の改定により、一般条項とモジュールからなる1種類の新SCCにまとめられました。これにより移転先が管理者か処理者か、あるいは移転元が管理者か処理者かによって、適切なモジュールを選択できるようになり、一連の個人データ処理全体を1つの新SCCで網羅できるようになりました。

さらに複数の当事者が新SCCを締結できるようになり、締結当初は参加していなかった当事者が追加で参加できるようになるなど、柔軟な対応が可能になりました。

そのほかにも、データ移転元がEEA圏に所在しない場合に不整合が生じていた点が解消されるなど、さまざまな改善が加えられています。

4. まとめ

以上のように新SCCの締結に向けては、越境移転の具体的な状況把握からTIAの実施まで着実に対応し、企業として対応結果を対外的に説明できるようにする必要があります。特にTIAの実施については安全管理措置の対応状況をはじめ、データの移転や管理状況に関するさまざまな情報が必要です。

TIAに必要な各種情報を収集するにあたっては、特定の部門のリソースのみに依存していると情報の所在や管理状況を把握できず、必要以上に時間を要する恐れがあります。円滑に対応を進めるためには、企業内の各部門で役割を分担の上、必要な情報を取りそろえ、TIAを実施することが求められます。またGDPR対応に限らず、企業の経営者には、越境移転規制対応が着実に実施されないことを経営リスクとして捉えることが求められます。リスク低減のためにも、着実な法令対応の実施および対外説明への準備を万全にした上で、グローバルでのデータ利活用を推進することが必要です。