欧州委員会、新しい標準契約条項を採択:知っておくべきこと
2021年6月4日、欧州委員会は、GDPRのデータ保護要件に満たない第三国へのデータの移転についての新しい標準契約条項を採択しました。GDPRの十分性要件を満たしている国のリストはこちらです。標準契約条項は、個人データを輸出するEEA域内の企業と、データを輸入する第三国の企業で締結するデータ移転のモデル条項です。
新旧の標準契約条項には様々な違いがあります。古い標準契約条項はGDPRの前身であるEU指令95/46/ECに基づき作られました。古い標準契約条項は2001年(2004年改正)及び2010年に作られたものがあり、近年の法令や判例によって更なるアップデートを必要としていました。
違いの一つは新しい標準契約条項では、モジュール的アプローチが採られているという点です。新しい標準契約条項は(1)コントローラーからコントローラー、(2)コントローラーからプロセサー、(3)プロセサーから(サブ)プロセサー、(4)プロセサーからコントローラーへの移転を網羅しています。
また、新しい標準契約条項はGDPRに準拠しておりますので、コントローラーからプロセサー、プロセサーから(サブ)プロセサーの移転について、別途GDPR第28条の要求に従った契約を締結する必要がありません。
さらに、新しい標準契約条項は、域外適用によりGDPRの適用を受けるEEA域外のコントローラやプロセサーも利用できます。
新しい標準契約条項は、Schrems II判決の要素を反映しています(Schrems IIに関する過去の記事)。特に、データ輸出者は移転影響評価を記録し、監督機関に求められた場合はそれを提出しなければなりません。また、新しい標準契約条項は、データ輸出者が移転影響評価で考慮すべき基準を規定しています。
新しい標準契約条項は2021年6月27日に発効します。古い標準契約条項は2021年9月27日までは締結可能です。全部で18か月の移行期間があり、2022年12月27日までは、古い標準契約条項に依拠することができます。
欧州委員会は同時に、GDPR第28条に基づく、EEA域内のコントローラーとプロセサー間のデータプロセス契約に関する標準契約条項も採択しました。こちらは第三国への個人データの移転に関する標準契約条項とは別のものです。
本アラートは、EU域内で事業を行う日本企業にとって重要なトピックと考えられることから紹介する次第です。日本への個人データ移転については、現在十分性認定により認められていますが、なお、EEA域内から日本以外への移転(例えば日本以外の関係会社)については、新しい標準契約条項による対応が必要になります。詳細は、Jones Day Commentary “New Standard Contractual Clauses by the European Commission: What You Need to Know”(オリジナル英語版)をご参照下さい。
ジョーンズ・デイの出版物は、特定の事実関係又は状況に関して法的助言を提供するものではありません。本書に記載された内容は、一般的な情報の提供のみを目的とするものであり、ジョーンズ・デイの事前の書面による承諾を得た場合を除き、他の出版物又は法的手続きにおいて引用し又は参照することはできません。出版物の転載許可は、www.jonesday.comの“Contact Us”(お問い合わせ)フォームをご利用ください。本書の配信、および受領により弁護士と依頼人の関係が成立するものではありません。本書に記載の見解は執筆担当者の個人的見解であり、当事務所の見解を反映したものではありません。