トピックス・法律情報

_

（セミナー情報）
Zoom無料セミナー（100名限定）：渡邉雅之弁護士が2020年８月27日（木）午後６時より『2020年改正個人情報保護法を一挙解説！』と題するZoomセミナー（ウェビナー）を行います。

執筆者：渡邉雅之
＊ 本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email m-watanabe@miyake.gr.jp

_
　欧州連合司法裁判所は、2020年７月23日、EU（EEA）から米国への個人データの越境移転を認めるEUと米国間で締結されたPrivacy Shieldを無効であるとの判決をいたしました。
　本ニュースレターは、欧州データ保護委員会（EDPB）が公表する同判決に関するＦＡＱ[1]を翻訳したものです。
_
【ＧＤＰＲ】Privacy Shieldを無効とする欧州司法裁判所の判決に関するＦＡＱ

【事務所ヘッダー付：ＧＤＰＲ】Privacy Shieldを無効とする欧州司法裁判所の判決に関するＦＡＱ

〇Privacy Shieldとは
米国とＥＵとの間では、2000年に、ＥＵ域内から米国に移転される個人データについてプライバシーに関するセーフハーバー原則に適合していると米国商務省が認定した米国企業に対してのみ、その情報の移転を認める「セーフハーバー協定」が結ばれていました。
　しかしながら、セーフハーバー協定は、2015年10月６日に欧州司法裁判所が当該協定を無効と判断されました。
　これは、元ＣＩＡのスノーデン氏が、ＣＩＡ等の米国の国家安全保障当局がFacebookなどのＳＮＳから無差別・大量の個人情報を取得していると暴露をしたことを契機に、ＥＵ市民がＥＵ域内のFacebookの現地法人に対して提起した訴訟です。
　この司法判断を受けて、米国とＥＵは、従前のセーフハーバー協定に代わる新たな枠組みとして、2016年２月にPrivacy Shieldを締結しました（ＧＤＰＲの十分性決定の一種）。
　2020年７月23日の欧州司法裁判所の判決により、Privacy Shieldも無効とされたため、EU（EEA）から米国への個人データへの移転は、本ＦＡＱの規定に従ってなされる必要があります。

〇今回の欧州司法裁判所の判決の影響は？
　今回の判決により、従前の「セーフハーバー協定」と同様に、Privacy Shieldによって、EU域内の管理者（Controller）や取扱者（Processor）は、EU（EEA）域内から米国に所在する者（法人・個人）に個人データを移転することは認められなくなりました。
　ただし、米国企業と標準契約条項（Standard Contractual Clauses (「SCC」)）の締結したり、米国企業が拘束的企業準則（Binding Corporate Rules（BCR））を採用している場合は、当該米国企業に対して個人データを移転することは従前どおり認められます。
もっとも、EU域内の企業（管理者・取扱者）と米国企業は、標準契約条項（SCC）や拘束的企業準則（BCR）により個人データを米国に移転することについて事前に評価し、その状況を考慮した評価結果と、実施できる補完的措置について検討することが求められます。

〇GDPR第49条に基づく特例措置（適用除外）については認められるのか？
GDPR第49条においては、�@越境データ移転がデータ主体の同意に基づいている場合、�Aデータ主体と管理者の間の契約の履行に必要な越境データ移転、�B重要な公共の利益（EUまたは加盟国の法律で認められるもの）のために必要な個人データの越境データ移転に関しては、十分性の決定が認められていない国・地域の移転であって、標準契約条項（SCC）が締結されておらず、拘束的企業準則（BCR）が採用されていない場合であっても特例措置（適用除外）として認められるとされています。
ただし、欧州データ保護委員会（EDPB）はこれらの特例措置の適用は認められるものの、「不定期」の個人データの越境データ移転に限られ、「定期的（常態的）」な個人データの越境データ移転としては認められないとされています。

〇日本企業への影響は？
　日本は、2019年１月23日に欧州委員会からGDPRに基づき、日EU間で個人データ保護水準に関する十分性を認定を取得しています。
　ただし、EU域内から日本への個人データの移転に際しては、個人情報保護委員会の「個人情報の保護に関する法律に係るＥＵ及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」（「補完的ルール」）に基づく、個人情報保護法への上乗せ措置を遵守する必要があります。
　日本企業が、米国を含むEU域外の国・地域（十分性認定を受けている国・地域を除く）に拠点（現地法人・支店・駐在員事務所等）を有し、そこに個人データを移転する場合は、今回の判決に従い、当該拠点と標準契約条項（SCC）を締結して個人データを移転することが求められることになります。EU域内から日本に一旦個人データが移転されれば、個人情報保護法+補完的ルールに基づく対応のみでよいという解釈もあり得ますが、EU域内から必ずしも日本に移転されず、他の拠点に直接移転されるのであればこのような解釈にはリスクがあります。

[1]Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf