インサイト

No_Deal_Brexit_SOCIAL

合意なきBrexit:データ移転に関する混乱を防ぐために

EUデータ移転ルール

EU一般データ保護規則(GDPR)において、英国は2021年1月1日から「第三国」とみなされるため、その前に英国とEUの間で合意が成立しない場合は、欧州経済領域(EEA)内の企業から英国へ個人データを移転する場合は、標準契約条項や拘束的企業準則などが必要となります。

欧州委員会は英国に対して、個人データに関する法整備がEUと同等であると認める「十分性認定」を行う可能性があり、特別な措置を要せずデータ移転を行うことができるようになるかもしれません。しかし、この認定には時間がかかり、認定が得られるか確実ではありません。

一方、英国はガイダンスを発行し、EUと英国のデータ保護整備は同等であるとし、英国企業からのEEAのデータ移転は問題なく行えることを確認しています。

日本を含むEUから十分性認定を受けている国は、第三国へのデータ移転に制限を設けています。英国が第三国となった時に対する制限については各国の方針を参照する必要があります。

必要なステップ

EEAから英国へ個人データの移転を行っている企業は2020年12月31日までに標準契約条項などのメカニズムを導入する必要があります。標準契約条項については、改訂版が2021年の初頭に採択される予定ですが、それまではSchrems II判決の影響を考慮する必要があります(“Ensuring International Data Flows After Schrems II”の記事をご参考ください。)。

GDPRは、第三国の企業であってもEUの個人に対し販売またはモニタリングを行っている場合その企業にも適用され、除外事由に該当しない限りEU代理人を選任する必要があり、2021年1月1日からは英国企業にもその義務が生じます。また、英国でも同様の措置をとっているため、2021年1月1日からは英国の個人に対し販売やモニタリングを行うEU企業に同措置が適用されます。各企業は、これらの要件を検討して、代理人の選任が必要となるか確認すべきです。

また、各企業は、個人に対する通知内容や個人データ処理記録をアップデートする必要があります。また、英国へのモノやサービスの供給に混乱が生じないよう、EU及び第三国のサプライヤーと連携が必要です。

本コメンタリーは、英国やEEA圏内で自社またはグループ会社を通じて事業を行う日本企業に関心のあるトピックと考えられることから紹介する次第です。詳細は、Jones Day Commentary “No-Deal Brexit – Preventing Disruption to Data Transfers”(オリジナル英語版)をご参照ください。

ジョーンズ・デイの出版物は、特定の事実関係又は状況に関して法的助言を提供するものではありません。本書に記載された内容は、一般的な情報の提供のみを目的とするものであり、ジョーンズ・デイの事前の書面による承諾を得た場合を除き、他の出版物又は法的手続きにおいて引用し又は参照することはできません。出版物の転載許可は、www.jonesday.comの“Contact Us”(お問い合わせ)フォームをご利用ください。本書の配信、および受領により弁護士と依頼人の関係が成立するものではありません。本書に記載の見解は執筆担当者の個人的見解であり、当事務所の見解を反映したものではありません。