前回の記事(GDPR 第1回 概要と基本原則、第2回 適法条件)ではGDPRの基本事項についてお話ししました。

今回は、個人データが国や地域を越えて別の国や地域へ移動する「越境」に関して説明します。

インターネットの普及と個人データの越境

唐突ですが、皆さんが普段よくご覧になるECサイトやWEBのサーバーがどこにあるかご存知でしょうか?あるいは、そのサーバーを管理している企業がどこの国の事業者であるかご存知でしょうか?そうしたことが気になって時々調べてみるのですが、アメリカであったり、シンガポールであったり、いろいろ出てくるはずです。インターネットが世界中の津々浦々へ浸透していくとともに、発祥の地であるアメリカだけでなく、世界各地にサーバーや、サービスができていくのですが、個人データの扱いやプライバシーの観点から、対応しなければならない課題が次々と発生しています。

日本のクラウドサービス

日本のデジタル庁がガバメントクラウド(政府共通のクラウドサービスの利用環境)を決定しています(2022年10月)。現時点では以下の4社に決定しています。

  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Oracle Cloud Infrastructure

いずれも日本国内の企業ではなく、アメリカが本社の企業のみです。遅延など速度対策を考えたら、当然日本にサーバーを設置するわけですが、それでもコントロールしているのは全て本国であるアメリカ企業となるわけです。改正個人情報保護法においても、個人情報が越境する場合、上記のような海外の企業が個人情報を扱っていなくても(扱っている場合は第三者提供で利用者の同意が必要となる)外的環境把握(越境先の個人情報保護制度等の把握及び個人データの安全管理措置)が必要となります。

個人データの設置場所(サーバーやストレージの所在)を確認する

現在広く普及している様々なクラウドサービスは、よく調べてみると日本以外の国で保存や処理されていることが多々あります。一時期、LINEのデータが韓国のデータセンターで保存されていたことや、Zoomの中継サーバーが日本ではなく中国になっていたことで問題になった時期がありましたね。WEBサービス、ECサービスを行うなどインターネット上で個人データを扱うサービスを行う事業者は、「どこで処理されているか」「どこに保存されているか」について把握する必要があります。名指しは避けますが(適切な対応さえ取っていれば違法ではありませんし)、A社さんの、Bというサービスは日本リージョンに置けるけれど、Cというサービスは日本リージョンに置けない。ということが以前あった実体験です。「どこで」を把握していないと思わぬことで煩雑な対応が必要となるのでご注意ください。

少し日本の改正個人情報保護法よりのお話となってしまいましたが、再びGDPRの話に戻します。

controller(管理者)とprocessor(処理者)について

越境に関して説明する上で、controllerとprocessorの説明が必須となるため、先に説明します。

controllerとは

controllerとは、個人データの取り扱いの目的・方法を決定する自然人、法人、公的機関、行政機関またはその他団体となります。オンラインショップの場合、運営管理する事業者が該当します。

processorとは

processorとは、controllerに代わって、個人データの取り扱いを行う自然人、法人、公的機関、行政機関またはその他団体となります。オンラインショップの場合、controllerが業務を委託した企業(システムや運用保守、運用代行、出荷、顧客対応などを行う企業が該当すると考えられます)が該当します。さらには、使用するインターネット上のサービスを行う企業なども該当します。

一例ですが、A社がオンラインショップで商品を販売するのにあたり、業務を全てB社に依頼したとします。このケースではA社は個人データに全く触らないとしても、controllerとなります。これは企業間取引なので明瞭ですが、同一企業内の別部門同士だったらどうなるでしょうか?部門Cのプロジェクトを、部門Dが運用を行ったとして、仮に部門Cのメンバーが個人データに触れなかったとしてもGDPRの定義に当てはめるとcontrollerとなります。実際にはGDPRでは同一企業内でのcontroller・processorの識別はしていませんが、controllerとしての管理者の責任からは免れられないかと思います。

越境に関して

原則は、EEA(EU加盟国+アイスランド+ノルウェー+リヒテンシュタイン:EEAと略します)から域外への個人データの越境について、GDPRの第44条から第50条及びGDPRの関連各条項を遵守することで認められるものとなります。対応方法については主に下記の3点となります。

十分性認定による対応

EEA以外の移転先の国や地域が、個人データの保護に関して十分なレベルを保障していると欧州委員会が決定している場合、越境が認められるものとなります。現時点の認定されている国や地域は下記の通りです。アメリカが入っていないことに注目してください。アメリカについてはこの後で説明します。

  • アルゼンチン
  • アンドラ
  • イスラエル
  • ウルグアイ
  • 英国、英国王室属領ガーンジー、英国王室属領ジャージー、英国王室属領マン島
  • カナダ
  • 韓国
  • スイス
  • デンマーク王国自治領フェロー諸島
  • 日本
  • ニュージーランド

拘束的企業準則(Binding Corporate Rules:BCRと略します)の認証取得

BCRの認証をEU当局から取得することにより越境が可能になるものですが、認証はとても厳しいことで知られております。日本企業でBCRを取得した企業例としては、IIJグループ様、楽天様までは存じ上げているのですが、他にもあるよ~という情報がございましたら教えてください。

標準契約条項(standard contractual clauses:SCCと略します)の締結

SCCとは欧州委員会が定めた契約の雛形(SCCの文面を変更した場合は無効となりますのでご注意ください)です。SCCを締結することにより越境を適法化できます。日本は「十分性認定」(2019年1月23日)がおりるまでSCCの締結が必須でしたが、既に十分性認定を受けているので、越境の適法化根拠を「十分性認定」とすることでSCCの締結は不要となります。なお、EEAから日本への個人データの越境対応を「十分性認定」に依拠する場合、「補完的ルール」(GDPRと日本の個人情報保護法の差異を穴埋めするもの)を遵守することが必須となります(「補完的ルール」の説明は割愛いたします)。その他、日本からさらに第三国へ移転する場合には、やはりSCCの締結が必要となります。

ここで初めて、controller と processor が登場します。SCCの契約はcontroller と processor の組み合わせで下記の4種が基本となり、それぞれ内容・義務が異なっています。

  • controller から controller への転送
  • controller から processor への転送
  • processor から processor への転送
  • processor から controller への転送

なお、GDPRの原文ではSCCを「standard contractual clauses」と記載している箇所(第28条)と「standard data protection clauses」と記載している箇所(第46条、第54条、第68条)があるので混乱しないようにご注意ください。(私自身も全文検索して確認するまで、同一のものかよくわかりませんでした)

EEAからアメリカへの個人データの越境について

プライバシーシールドの無効判決

EEAとアメリカの間には十分性認定がありません。これを埋めるために、EU-U.S. Privacy Shield という枠組みがありましたが、2020年7月にEU司法裁判所により無効判決が出たため、現在は適法根拠とはなりません。

EU-U.S. Data Privacy Framework(DPFと略します)

EU-U.S. Privacy Shield の無効判決の後、これに代わるものとしてDPFの策定が進められました。ところが、米国連邦政府が2022年12月に採択したのに対して、2023年4月13日欧州議会人権委員会 (Civil Liberties Committee) は、これに反対する決議を採択しました。このため、現時点での見通しは不透明となります。なぜダメなのか複数の理由がありますが、なかでも米国の外国情報監視法(FISA)第702条が障壁となっていると考えられます。

米国の外国情報監視法(FISA)第702条によるGDPR抵触の事例

抵触事例としては、2021年3月15日MailChimp(米国のメール配信サービス)に関して、ドイツ・バイエルン州のデータ保護当局(BayLDA)による違反判断がありました。結果、MailChimpを使用していた雑誌社は利用停止した事例が挙げられます。他に複数の国で違法の裁定が出たGoogleアナリティクスに関しても詳しく書きたいところですが、今回は現時点で一次情報に辿り着いていないため、割愛いたします。なおフランス当局CNILでは、既にGoogleアナリティクス以外の計測ツールを推奨している状況です。

外国情報監視法(FISA)第702条に抵触しないケース

サービスによっては、外国情報監視法(FISA)第702条に該当しないケースもあります。それは電子通信サービスプロバイダー(electronic communications service provider)に該当しないケースです。これについては、サービスを受ける企業及び、専門家にお尋ねいただく事が良いかと思います。私自身、グローバルのWEB担時代に、これらの課題がたびたび障壁となりました。また、アメリカ企業の日本支社や代理店で、EU/EEAとアメリカ間のこうした課題を的確に認識されている方が数少ないため難渋することが多くありました。一方で、こちらから要求する前に「EU-U.S. Privacy Shield の無効判決が出たので、対応策として○○用意しました〜」などと連絡があった場合に「なんて素敵な会社なんだ!」と感じたことも思い出されます。ただ、これについてもそうは簡単にいかない事例が出てきました。このため、次回の記事では、もう少し深掘りしていきたいと考えています。

今回のポイント

  • インターネットの普及により、個人データの国境を超えた処理だけでなく、インフラやサービスでも国境を越えるようになってきた。
  • 個人データがどの地域で処理されているか把握した上で、法令対応する必要がある。
  • EEAから域外への個人データの越境には大別して3つの方法がある
  1. 十分性認定(日本は「補完的ルール」遵守必須)
  2. BCR認証
  3. SCCの締結
  • EUと同等の個人データの保護がされない国や地域では、SCCだけでは不十分で追加の措置が必要となる。ただし、それでも個人データの保護が不足する場合は、個人データの越境はできない。特にアメリカへの越境は外国情報監視法第702条の影響もあり難易度高。

※本記事記載にあたり、細心の注意を払っておりますが、法的な助言を行うものではございません。

 また、正確性・完全性を保証するものではなく、法令対応のご確認は、お客様ご自身で、弁護士・専門家にご確認いただく必要がございます。