GDPR国際データ移転:標準契約条項(SCC)と十分性認定(2026年版)

企業がEUの個人データを欧州経済領域(EEA)域外のサーバー、たとえば米国のクラウド事業者、インドのアウトソーシング企業、カナダの子会社などに送るたびに、GDPR第5章に基づく拘束力のある法的義務が発生する。データが移動する前に適法な移転の仕組みが整っていなければ、移転先でデータがどれほど安全に扱われていたとしても、その移転は違法となる。GDPRの枠組みに初めて触れる場合は、まずGDPRとは何かから読み進めることを勧める。
GDPRが国際的なデータ移転を制限する理由
GDPRによる個人データの保護は、EEAの国境で途切れるものではない。第44条は、実務家が「抜け穴防止原則」と呼ぶものを定めている。「処理中の、または第三国もしくは国際機関への移転後に処理されることが予定されている個人データの移転は、本規則の他の規定に従うことを条件として、管理者および処理者が本章に定める条件を遵守する場合に限り、行うことができる。これには、第三国または国際機関から別の第三国または別の国際機関への個人データの二次移転を含む。」この規定がなければ、組織はEU域外のサーバーを一度経由させるだけで、あとは世界中どこへでもデータを転送し、GDPR上の義務を免れることができてしまう。
第44条の第二文は、この点をさらに強調している。「本章のすべての規定は、本規則が保証する自然人の保護水準が損なわれないことを確保するために適用されるものとする。」保護は、データがどこへ行こうとも、そのデータについて回る。移転先の国自体の国内プライバシー法がどうであるかは、この分析にとって重要ではない。重要なのは、実際に用いられる第5章の仕組みが、そのデータが移転される対象であるデータ主体にとって、EU域内で保証されているものと本質的に同等の保護水準を維持できるかどうかである。
第5章の規定は、組織の規模、業種、移転量にかかわらず、GDPRの対象となるすべての管理者・処理者に適用される。顧客記録を米国の決済処理業者に送る新興企業は、人事データをアジアの子会社に送る多国籍企業と同じ義務を負う。判断の入口となる問いは単純である。受領者はEEA域外の国または地域にいるか。答えが「はい」であれば、第5章が適用される。
「移転」に該当するものが何かについても、明確にしておく価値がある。EDPBはガイドライン05/2021において、第三国にいる受領者によるリモートアクセス、EEA域外からログインするシステム管理者、バックアップを取得するサポート担当者などは、ファイルが物理的に国境を越えてコピーされていない場合であっても、移転に該当することを確認している。管理者は、自社の移転上のリスクを評価する際、こうしたアクセス経路をすべて洗い出す必要がある。
三段階の判断階層
GDPR第5章は、移転のための手段について、構造化された階層を定めている。この階層は順序どおりに適用されなければならない。まず第1階層(十分性認定)を確認し、十分性認定が存在しない場合に限り第2階層(適切な保護措置)が問題となり、第2階層の選択肢が真に利用できない、または実行不可能である場合に限り、第3階層(第49条の適用除外)が問題となる。監督機関は、第2階層の選択肢が利用可能であるにもかかわらず適用除外に直接飛びつこうとする試みを、一貫して認めていない。
以下の表は、三つの階層と、それぞれに含まれる個々の仕組みをまとめたものである。
| 仕組み | 条文 | 使用する場面 |
|---|---|---|
| 十分性認定 | 第45条 | 移転先の国が欧州委員会の現行の十分性認定リストに含まれている場合(契約は不要) |
| 標準契約条項(SCC) | 第46条(2)(c) | 十分性認定を受けていない国への移転すべて。最も一般的な手段 |
| 拘束的企業準則(管理者用) | 第47条 | 多国籍企業グループ内での移転。主導的DPAの承認を要する |
| 拘束的企業準則(処理者用) | 第47条 | グループ内の処理者チェーンにおける移転。主導的DPAの承認を要する |
| 個別契約条項 | 第46条(3)(a) | 特殊な移転の場面のために、DPAの承認を得て個別に作成される条項 |
| 承認された行動規範 | 第46条(2)(e) | 第40条に基づき管轄DPAが承認した業種別の行動規範 |
| 承認された認証制度 | 第46条(2)(f) | 第42条に基づき承認された認証の仕組み |
| 法的拘束力のある文書(公的機関間) | 第46条(2)(a) | 政府間のデータ共有協定 |
| 明示的同意 | 第49条(1)(a) | 臨時的で反復性のない移転について、データ主体から特定的かつ十分な情報を伴う同意を得ている場合 |
| 契約の必要性 | 第49条(1)(b) | データ主体との契約のために客観的に必要な移転 |
| 重要な公共の利益 | 第49条(1)(d) | EU法または加盟国法で認められた公共の利益を理由とする場合 |
| 法的請求 | 第49条(1)(e) | 法的請求権の確立、行使、防御のために必要な場合 |
| 生命に関する利益 | 第49条(1)(f) | データ主体が同意できない状況で、生命を保護するために必要な場合 |
第1階層:第45条に基づく十分性認定
第45条(1)項は、考えうる最も単純な移転経路を定めている。「第三国または国際機関への個人データの移転は、当該第三国、当該第三国内の地域もしくは一つもしくは複数の特定された分野、または当該国際機関が十分な水準の保護を確保していると欧州委員会が決定した場合に行うことができる。かかる移転には、いかなる特別の許可も要しない。」
実務上、十分性認定を受けた法域への移転には、個別の契約もリスク評価も監督機関への届出も必要ない。この移転は、EU域内での移転と同様に扱われる。2026年半ば時点で、17の法域が十分性認定のステータスを有している。アンドラ、アルゼンチン、ブラジル(2026年1月26日に十分性認定)、カナダ(民間営利組織のみ)、フェロー諸島、ガーンジー、イスラエル、マン島、日本、ジャージー、ニュージーランド、大韓民国(2021年12月)、スイス、英国(2025年12月19日に十分性認定を更新)、米国(EU・米国データプライバシーフレームワークのもとで認証を受けた民間営利組織のみ)、ウルグアイ、そして欧州特許機構(2025年7月)である。
十分性認定は、同等性を恒久的に付与するものではない。第45条(3)項は、欧州委員会に対し、少なくとも4年ごとに定期的な見直しを行うことを義務付けており、該当国の保護水準が求められる基準を下回った場合には、決定を撤回、修正、または一時停止する権限を欧州委員会に与えている。第45条(4)項は、欧州委員会に対し、既存の決定の機能に影響を及ぼしうる第三国および国際機関の継続的な動向を監視することを義務付けている。たとえば英国の十分性認定は、サンセット条項による見直しの対象となり、ブレグジット後の立法動向の精査を経て、2025年12月に更新された。日本の十分性認定も見直しと確認が行われているが、欧州委員会は日本の個人情報保護委員会と交渉した補完的なルールについて言及している。
欧州委員会は、法の支配、人権および基本的自由の尊重、施行されている関連法令(一般法および、公共の安全、刑事法、国際的な安全保障に関する法律を含む業種別法令の双方)、十分な執行権限を有する独立した監督機関の存在、そしてその国が締結している国際的な約束を検討することにより、十分性を評価する。プライバシー法を制定しているというだけの理由で、十分性が認定される国はない。欧州委員会は、実務上の執行状況も評価しなければならない。
十分性認定の対象から部分的に外れる移転、たとえば、カナダの商業部門向け十分性認定の対象とならないカナダ政府機関への移転や、DPF認証を受けていない米国組織への移転については、管理者は、その対象外となる部分について第46条の仕組みを用いなければならない。十分性認定は、公的機関、法執行機関、あるいは特定の業種を対象から除外していることが多い。該当する決定の適用範囲を注意深く確認することが不可欠である。
十分性認定を受けた国の完全な最新リスト、決定文書、および適用範囲の概要については、専用ページであるEU十分性認定を参照されたい。
第2階層:第46条に基づく適切な保護措置
中国、インド、ロシア、そしてDPF認証を受けていないほとんどの米国組織を含む、世界中の大多数の移転先については、十分性認定が存在しない。第46条(1)項は、その解決策を示している。「第45条(3)項に基づく決定が存在しない場合、管理者または処理者は、適切な保護措置を提供している場合であって、データ主体にとって執行可能な権利と実効的な法的救済が利用可能であることを条件としてのみ、第三国または国際機関に個人データを移転することができる。」
第46条(2)項は、個別事案ごとの監督機関の許可を必要としない保護措置、すなわち管理者または処理者が事前に規制当局の承認を求めることなく実施できる保護措置を列挙している。これには、公的機関間の法的拘束力のある文書、第47条に基づき承認されたBCR、欧州委員会が採択したSCC、監督機関が採択し欧州委員会が承認した標準条項、第40条に基づき承認された行動規範、第42条に基づき承認された認証制度が含まれる。DPAの事前の許可を必要とする保護措置は第46条(3)項に列挙されており、個別契約条項および公的機関間の行政上の取り決めが該当する。
標準契約条項(SCC)の詳細
欧州委員会による刷新版SCCは、2021年6月4日に欧州委員会実施決定(EU)2021/914として採択され、2021年6月7日にEU官報L 199/31に公表された。これは、旧指令95/46/ECのもとで採択された三種類のSCC(欧州委員会決定2001/497/ECおよび2010/87/EU)に代わるものであり、旧SCCは2021年9月27日をもって廃止された。2022年12月27日までは経過措置期間とされ、2021年9月27日より前に締結され旧SCCに依拠する契約は、修正なしに有効なまま存続することができた。2022年12月27日以降、旧SCCに新たに依拠することは違法となった。
2021年版SCCはモジュール式の構造を採用している。移転の場面ごとに別々のSCCの組を発行するのではなく、欧州委員会は単一の文書を公表し、当事者はそこから該当するモジュールを選択する。四つのモジュールは以下のとおりである。
- モジュール1(管理者から管理者へ): EEA域内の管理者がEEA域外の管理者にデータを輸出する場合を対象とする。各当事者は、自らの義務の遵守について独立して責任を負う。典型的な利用例:二つの取引先企業の間での顧客データの共有。
- モジュール2(管理者から処理者へ): 最も広く使用されているモジュール。EEA域内の管理者が、EEA域外の処理者(たとえば米国のクラウドインフラ事業者や、業務委託を受けた給与計算処理業者)を利用する場合を対象とする。処理者は、管理者の文書化された指示に基づいてのみ行動しなければならない。
- モジュール3(処理者から処理者へ): EEA域内の処理者が、EEA域外の再委託先を利用する場合を対象とする。この処理者は、上流の管理者からの指示に基づいて行動する。再委託関係を構築する前に、元の管理者からの承認が必要である。
- モジュール4(処理者から管理者へ): EEA域外の処理者が、EEA域内の管理者にデータを返却または送付する場合を対象とする。このシナリオは、EEA域外の処理者がEEA域内の管理者に代わってデータを収集する場合に生じる(たとえば、米国の市場調査会社がEUの回答者のデータを処理し、その結果をEUの顧客に送り返す場合など)。
2021年版SCCはまた、「ドッキング」の仕組みも導入した。これにより、新たな当事者は条項に追加署名することで既存のSCC関係に加わることができ、処理の取り決めが拡大するたびにSCCの組を全面的に再締結する必要がなくなる。これにより、複雑なサプライチェーンにおけるコンプライアンス対応が簡素化される。
当事者は、SCCに追加の保護措置や事業固有の条項を付け加えることができるが、その追加が必須条項と矛盾せず、データ主体の保護水準を低下させないことが条件となる。必須条項を削除または変更することはできない。
2021年版SCCにおける構造上の重要な追加は、**条項14「条項の遵守に影響を与える現地の法律および慣行」**である。条項14(a)は、当事者に対し、移転先国の法律および慣行が輸入者によるSCC上の義務の履行を妨げると信じるに足る理由がないことを保証するよう求めている。条項14(c)は、文書化された評価義務を課しており、当事者は、移転先国の法律が基本的な権利と自由の本質を尊重し、民主的社会において必要かつ均衡の取れた範囲を超えていないかどうかを評価しなければならないと定めている。この条項は、Schrems II判決が課した移転影響評価の要件を実質的に条文化したものであり、単なる規制上の期待にとどまらず、輸出者と輸入者の間の明示的な契約上の義務としている。
モジュール選択の段階的なガイダンス、条項14の評価テンプレート、そしてSCCの主要条項についての解説は、専用ページである標準契約条項を参照されたい。
拘束的企業準則(BCR)の詳細
BCRは、多国籍企業グループが、EEAからEEA域外のグループ事業体へのグループ内個人データ移転を規律するために採用する、法的拘束力のある内部データ保護準則である。第47条(1)項は、BCRが法的拘束力を持ち、グループのすべての構成員に適用され、遵守されなければならないこと、データ主体に対し、その個人データの処理に関して執行可能な権利を明示的に付与しなければならないこと、そして第47条(2)項に列挙された要件を満たさなければならないことを定めている。
第47条(2)項は、最低限含めるべき内容の一覧を定めている。BCRには、グループの構造と各構成員の連絡先、データの種類・処理の種類・目的を含むデータ移転の内容、その法的拘束力、一般的なデータ保護原則(目的の制限、データの最小化、保有期間の制限など)の適用、データ主体の権利とその行使方法、責任の取り決めと苦情の処理方法、そして監督機関がどのように遵守状況を監査できるかを定めなければならない。
GDPRは、管理者用BCR(EEA域内の事業体がデータ管理者であるグループ内移転を規律する)と、処理者用BCR(グループ内の処理者チェーンを規律する)とを区別している。EDPBは、それぞれの種類について専用のワーキングペーパーと勧告を公表している。管理者用BCRは主にEDPB勧告1/2022により規律され、処理者用BCRには独自の枠組みが存在する。
BCRの承認プロセスは次のとおりである。管轄の主導的監督機関(通常は、主たる拠点を有するEEA域内事業体が所在する国のDPA)にBCR案を提出する。主導的DPAが審査を行い、GDPR第63条の一貫性メカニズムのもとで決定案を作成する。EDPBがその決定を審査し、意見を出す。主導的DPAが、EDPBの見解を反映した最終承認を行う。このプロセスは、十分に準備された申請であっても、通常12か月から18か月を要する。旧指令95/46/ECのもとで発行されたGDPR以前のBCR認可は、修正または廃止されない限り有効なまま存続する。
重要な限界がある。BCRが対象とするのはグループ内の移転のみである。無関係な第三者の処理者や管理者への移転を認めるものではない。グループ内移転についてBCRの承認を得ている組織であっても、外部の処理者についてはSCCまたは他の第46条の仕組みが依然として必要である。
Schrems II:すべてを変えた判決
2020年7月のEU司法裁判所によるData Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems事件(事件番号C-311/18)の判決は、GDPRの歴史においてデータ移転に関する最も重大な影響を持つ判決である。この判決は、二つの根本的な点で、国際データ移転のコンプライアンス対応のあり方を作り変えた。
第一の判示事項は、EU・米国間のPrivacy Shieldを設けた欧州委員会決定2016/1250を無効としたことである。裁判所は、米国の法制度、とりわけ外国諜報監視法(FISA)第702条および大統領令12333号が、EUのデータ主体に対しEU域内で保証されているものと本質的に同等の保護を提供していないと判断した。その理由は、米国の監視プログラムが、民主的社会で必要とされる範囲を厳密には必要としない、かつ均衡を欠く方法で個人データへのアクセスを許容していたためである。裁判所はまた、EUのデータ主体が、米国情報機関によるデータへのアクセスに対して、EU基本権憲章第47条が求める実効的な司法上の救済手段を欠いていたとも判断した。米国へのPrivacy Shieldによる移転は、判決が下された2020年7月16日をもって違法となった。
第二の判示事項は、より広範な世界的影響を持つものであり、裁判所はSCCを移転の仕組みとして有効であると認めつつ、条件付きの義務を課した。SCCは輸出者と輸入者の間に契約上の権利義務を創出するが、移転先国の政府機関を拘束することはできない。SCCに依拠する前に、当事者は、移転先国の法律が条項の実効性を損なわないかどうかを評価しなければならない。輸入者が現地法に照らしてSCC上の義務を遵守できない場合、データ輸出者は移転を一時停止または終了しなければならない。管轄の監督機関がそのような状況を認識した場合、第58条(2)(f)項に基づき、その移転を一時停止または禁止しなければならない。
この判決により、後に移転影響評価(TIA)と呼ばれるようになるものの重要性が、即座に高まった。SCCに依拠する管理者は、もはやテンプレートに署名するだけでコンプライアンス上の分析が完了したとみなすことはできなくなった。移転先国の法律について、真正な法的・事実的評価を文書化し、その評価で保護の隙間が見つかった場合には、それに対処する補完的措置を実施するか、移転を控えるかのいずれかを行わなければならなくなった。
Schrems判決の変遷:Safe Harbor、Privacy Shield、DPF
EU・米国間のデータ移転をめぐる関係は、三つの枠組みが順に採用されることによって形作られてきた。いずれも、前身の枠組みが無効とされた後に採択されたものである。
Safe Harbor(2000年から2015年): 欧州委員会決定2000/520/ECのもとでの最初の米国自己認証の枠組みであり、米国企業がSafe Harbor原則の遵守を自己認証することを認めるものであった。2015年10月、EU司法裁判所は、事件番号C-362/14(Maximillian Schrems v. Data Protection Commissioner事件、通称Schrems I)においてSafe Harborを無効とした。裁判所は、欧州委員会が、ある国の保護を十分であると宣言するだけで、加盟国の監督機関が苦情を調査する権限を制限する権限を有していなかったこと、そして米国法が均衡性の制約なく公的機関による広範なアクセスを認めていたため、Safe Harborが同等性の要件を満たしていなかったことを認定した。
Privacy Shield(2016年から2020年): Privacy Shieldは、2016年7月12日の欧州委員会決定2016/1250により、Safe Harborに代わるものとして採択され、追加的な約束事項と、EUのデータ主体からの苦情に対応するオンブズパーソンの仕組みを組み込んでいた。この枠組みは、2020年7月16日、上記の理由によりSchrems II判決で無効とされた。米国への移転についてPrivacy Shieldのみに依拠していた組織は、直ちに移転の根拠を失った。並行してSCCを有していた組織は、それらのSCCが引き続き機能するかどうかを評価するため、TIAを完了させることが求められた。
EU・米国データプライバシーフレームワーク(2023年から現在): 欧州委員会は2023年7月10日、欧州委員会実施決定(EU)2023/1795を採択し、DPF認証を受けた組織について米国を十分な保護水準を有すると認定した。この十分性認定の法的根拠は、2022年10月7日の米国大統領令14086号「米国のシグナリング・インテリジェンス活動に対する保護措置の強化」であり、これは米国のシグナリング・インテリジェンス収集に均衡性と必要性の制約を課すとともに、EUのデータ主体からの苦情を裁定する独立機関としてデータ保護審査裁判所(DPRC)を設置した。DPRCは、不適切に収集されたデータの削除を含む救済措置を命じる権限を有し、米国情報機関を拘束する、新たな司法上の仕組みである。
DPFの十分性認定には適用範囲の限定がある。これは、DPF原則について自己認証を行った(米国商務省が運営するDPFのウェブサイトで確認できる)、かつ連邦取引委員会(FTC)または運輸省の管轄下にある米国組織への移転のみを対象とする。2026年半ば時点で、約2,700の米国組織が認証を受けている。米国の金融機関やFTC・運輸省の管轄外にあるその他の事業体は対象から除外されており、SCCを用いなければならない。
DPFの法的な持続性については、異論がある。欧州議会は2023年4月11日、米国の保護措置の十分性について懸念を表明する決議を採択しており、市民的自由を擁護する団体はEU司法裁判所でこの決定に異議を申し立てる意向を示している。米国への移転についてDPFのみに依拠している組織は、将来的な無効化がコンプライアンス上の緊急事態を生じさせないよう、SCCによる代替の備えを維持しておくべきである。
移転影響評価(TIA):その内容と実施方法
移転影響評価とは、データ輸出者が、SCC、BCR、その他の第46条の保護措置に依拠する前に完了しなければならない、構造化されたデューデリジェンスの取り組みである。TIAの要件はSchrems II判決から生まれ、2021年6月18日に採択されたEDPB勧告01/2020バージョン2.0によって実務化された。2021年版SCCは、TIAを条項14に組み込み、これを輸出者と輸入者の間の契約上の義務とした。
EDPBの勧告は、TIAのプロセスについて六段階のロードマップを定めている。
ステップ1、自社の移転を把握する。 二次移転やEEA域外の当事者によるリモートアクセスを含め、第三国への個人データの移転をすべて洗い出す。データの種類、受領者、国、そして現在使用している移転の仕組みを特定する。この棚卸しが、評価の土台となる。
ステップ2、依拠する移転の手段を確認する。 用いようとする第46条の仕組みが、その移転先国について原則として依拠できるものであることを確認する。たとえば、SCCは民間部門の当事者のみを拘束するため、移転先国の公的機関への移転には使用できない。
ステップ3、移転の手段が移転先国において実効性を持つかを評価する。 これがTIAの核心部分である。輸出者と輸入者は、移転先国の法律および慣行、とりわけその監視・法執行の枠組みが、輸入者による第46条の保護措置の実務上の履行を妨げるかどうかを評価しなければならない。EDPBは、次の点を検討することを推奨している。(a)移転先国がファイブ・アイズなどの多国間監視ネットワークの一員であるかどうか。(b)その国の監視法制が、個別の嫌疑なしに通信内容の一括収集を認めているかどうか。(c)データ主体が政府によるアクセスに対して司法上の救済を得られるかどうか。(d)当該分野における監視活動の過去の実績。
ステップ4、必要に応じて補完的措置を導入する。 ステップ3で保護の隙間が明らかになった場合、輸出者は、保護水準をEUの基準まで引き上げるのに十分な補完的措置を導入しなければならない。EDPBはこれらを三つのカテゴリーに分類している。
-
技術的措置: 輸入者や第三者が平文の鍵にアクセスできないエンドツーエンド暗号化、仮名化(直接識別子をトークンに置き換え、鍵はEEA域内のみで保持する)、EEA域外のいずれの当事者も完全なデータセットを保有しないようにする分割処理・多者間処理、そしてクラウドストレージにおけるゼロ知識アーキテクチャなどがある。EDPBは、技術的措置が真に実効的でなければならないと強調している。暗号化が有効な補完的措置となるのは、輸入者が平文の鍵にアクセスできず、暗号化されたデータのままで処理目的を達成できる場合に限られる。
-
契約上の措置: 政府からのアクセス要求や法的拘束力のある要求を受けた場合に輸入者が輸出者に通知することを義務付ける条項、均衡を欠く、または違法と思われるアクセス要求に対して輸入者が異議を申し立てることを義務付ける条項、透明性条項、監査権、そして二次移転の制限などがある。移転先国の監視法制が契約上の約束を上回る場合、契約上の措置だけでは十分でないことが多いが、技術的措置を補強する効果はある。
-
組織的措置: 輸出時のデータ最小化(厳密に必要な範囲のみを移転する)、政府からのアクセス要求を受けた際にエスカレーションを義務付ける社内方針の採用、担当者への研修、そして継続的な遵守を示すための移転記録の維持などがある。
いかなる補完的措置の組み合わせによっても隙間を埋めることができない場合、典型的には、移転先国の法律が技術的措置では防げない形でデータへの包括的な政府アクセスを認めている場合には、EDPBは、その移転は第46条の根拠のもとでは行うことができないと結論付けている。
ステップ5、手続き上・形式上のステップ。 SCC条項(または他の第46条の仕組み)を締結し、TIAの結論を文書化し、補完的措置が契約上組み込まれていることを確保する。TIAの文書は、コンプライアンスの証拠として保管しておく。
ステップ6、適切な間隔での再評価。 TIAは一度限りの取り組みではない。EDPBは、輸出者に対し、移転先国の法的動向を監視し、その評価が引き続き有効であるかどうかを再評価することを求めている。移転先国の監視法制における重大な変化、新たな司法判断、または執行上の動向は、TIAの更新、そして場合によっては移転の一時停止を必要とすることがある。
実務におけるEU・米国データプライバシーフレームワーク
日々のコンプライアンス対応において、DPFは次のように機能する。DPF認証を求める米国組織は、通知、選択、二次移転に関する説明責任、セキュリティ、データの完全性と目的の制限、アクセス、そして救済・執行・責任というDPF原則を遵守することを約束する旨を、米国商務省に対して自己認証する。商務省は、認証を受けた組織の一覧を公開している。認証は毎年更新しなければならない。
DPF認証を受けた組織によってデータが処理されるEUのデータ主体には、複数の救済手段がある。まず、認証組織に直接苦情を申し立てることができ、組織は45日以内に対応しなければならない。それでも解決しない場合は、独立した救済機関(通常は承認された紛争解決機関、または自国のDPA)にエスカレーションできる。苦情が国家安全保障上のアクセスに関わる可能性がある場合は、自国のDPAに申し立てることができ、DPAはこれをDPRCに転送できる。DPRCは、米国法のもとで設置された、行政府内に位置する新たな司法上の仕組みであり、米国情報機関に対する拘束力のある権限を有する。
DPFのHR(人事)原則のもとでEUから認証を受けた米国事業体に移転される人事データについては、別個の経路が適用される。EUのデータ主体は、救済機関として機能する自国のDPAを通じて苦情を申し立てることができる。
Privacy Shieldのもとで認証を受けていた組織は、限定的な期間について自動的に経過的なDPFの適用を受けたが、継続的な十分性の保護を維持するためには、正式なDPF自己認証を完了させることが求められた。DPF認証に切り替えられなかったPrivacy Shield認証は、失効している。
第3階層:第49条の適用除外、限定的な例外であり、通常の対応手段ではない
第49条(1)項は、十分性認定も第46条の保護措置も適用されない、または実行可能でない状況のための最終的な階層を定めている。七つの適用除外があり、それぞれに厳格な条件が付されている。
第49条(1)(a)、明示的同意。 データ主体は、十分な保護措置も適切な保護措置もない国への移転がもたらしうるリスクについて説明を受けたうえで、提案されている移転に明示的に同意しなければならない。この同意は、国際移転そのものに特定されたものでなければならず、一般的なプライバシー通知に埋もれさせたり、処理全体への同意と一括りにしたりすることはできない。GDPR前文111項は、この適用除外が「移転が臨時的であり、契約または法的請求に関連して必要である場合」に利用可能であることを確認している。
第49条(1)(b)、契約の必要性。 移転が、データ主体と管理者の間の契約の履行のために必要である場合。「必要」は客観的かつ厳格に解釈される。移転は、単に便利である、あるいは商業的に効率的であるということではなく、その特定の契約のために必須でなければならない。十分性認定を受けていない国への航空券の予約には、航空会社に乗客データを送信することが必然的に必要となる。一方、マーケティング分析を生成するために顧客アカウントデータを米国のデータウェアハウスに送ることは、「契約のために必要」には該当しない。
第49条(1)(c)、データ主体の求めに応じた契約締結前の措置。 (b)と類似するが、契約が締結される前の段階に適用される。データ主体が、契約締結前の措置の一環として、その移転を求めていなければならない。
第49条(1)(d)、重要な公共の利益。 移転が、EU法または加盟国法で認められた重要な公共の利益の理由のために必要である場合。国際的な保健上の緊急事態、政府間の税務協力、金融犯罪の捜査は、該当する公共の利益として認められてきた。この適用除外は、主として公的機関および公共の利益のために活動する非営利組織に適用される。
第49条(1)(e)、法的請求。 移転が、法的請求権の確立、行使、防御のために必要である場合。これは、外国の裁判所への証拠の移転、国際訴訟における開示、規制当局による調査を対象とする。他のすべての第49条の適用除外と同様、これは特定の手続きのために必要な、特定の移転のみを対象とする。
第49条(1)(f)、生命に関する利益。 データ主体が身体的または法律上の理由により同意できない状況において、データ主体または他者の生命に関する利益を保護するために移転が必要である場合。海外にいる患者に関わる医療上の緊急事態が典型例である。
第49条(1)(g)、公的登録簿。 その登録簿を規律する法律が定める条件に従い、公衆または正当な利益を示すことができるいかなる者による閲覧にも開かれている登録簿から行われる移転である場合。
第49条のすべての適用除外に共通する最も重要な限界は、それらが例外的なものであり、構造的な仕組みではないという点である。GDPR前文111項は明確に述べている。「これらの適用除外は、とりわけ、重要な公共の利益のために求められ必要とされるデータ移転、たとえば競争当局間、税務・関税当局間、金融監督当局間、社会保障事務を所管する機関間の国際的なデータ交換、あるいは伝染病の接触者追跡や、スポーツにおけるドーピングの削減・撲滅のための公衆衛生上の目的に適用されるべきである。」前文および監督機関のガイダンスの構成は明確である。第49条は、組織的、反復的、または大規模な日常的移転のための適法根拠を提供するものではない。従業員の人事データを米国の親会社に継続的に移転するための根拠として第49条の同意に依拠する組織は、この規定を誤って適用している。
第49条の適用除外に関するEDPBガイドライン2/2018は、「臨時的」という要件が、その移転が真に頻度の低い、非組織的なものでなければならないことを意味すると確認している。継続的な取引関係の一部を構成する個別の移転は、たとえその個々の移転が月に一度しか発生しないとしても、その関係が反復的な移転を予定している場合には、組織的なものとして扱われうる。
執行:制裁金と移転禁止命令
有効な第5章の根拠なくEUの個人データを域外に送ることは、最上位のGDPR違反として扱われる。第83条(5)項は、第5章への違反を、最高水準の行政制裁金の対象となる違反として明示的に列挙している。すなわち、最大2,000万ユーロまたは前会計年度の全世界年間売上高の4%のいずれか高い方である。これは、第5条・第6条の基本的な処理原則への違反や、第7条の同意要件への違反と同じ制裁水準である。
制裁金だけが手段ではない。監督機関は、第58条(2)項に基づき、一時的または恒久的な移転禁止命令を科す権限、すなわち特定の移転またはある種類の移転の停止を命じる権限を有している。移転禁止命令は、とりわけ国境を越えたクラウドインフラに依存する組織にとって、いかなる制裁金よりも事業を混乱させる可能性がある。アイルランドのデータ保護コミッションは2023年5月、Meta PlatformsのSCCに基づく米国への移転がSchrems IIの要件を遵守していなかったことを理由に、Meta Platformsに対して移転禁止命令を発出した(この手続きは最終的に、12億ユーロの制裁金と禁止命令によって決着した)。
国際移転に関するその他の注目すべき執行事例としては、フランスのデータ保護当局(CNIL)による2022年の決定があり、Google Analyticsの利用が米国への違法な移転に当たると判断された(Google LLCのサーバーログにより、NSA(米国国家安全保障局)がIPアドレスにアクセスしうる状態にあったため)。オーストリアのデータ保護当局(DSB)も並行して同様の分析を行い、同じ結論に達した。これらの判断は、欧州のウェブサイトで広く使用されている解析ツールに適用されるものであり、Googleがデータ匿名化機能を強化するきっかけとなった。
最高水準の制裁金と移転禁止命令の権限が組み合わさることにより、不完全なTIA、更新されていないSCCの評価、あるいはDPFの対象とならない未認証の米国組織への移転は、真の運用上・法的リスクを伴うことになる。文書化された移転マッピングの取り組みを年次のGDPRコンプライアンスレビューに組み込み、移転先国の法律に重大な変化があるたびにTIAを更新することは、監督機関が推奨する最低限の基準である。
移転の仕組みを選択するための実務的な判断フロー
第5章の階層を実務に適用するには、順を追った判断のプロセスをたどる。
ステップ1:移転先を特定する。 個人データがどの国または地域に移転されるのかを確認する。EEA域外の場所からのリモートアクセスも移転に該当することを忘れないこと。
ステップ2:十分性認定の有無を確認する。 欧州委員会の現行の十分性認定リストを確認する。十分性認定がその移転をカバーしている場合(適用範囲についても確認すること。全面的な決定か、業種限定の決定か)、それ以上の仕組みは不要である。現行のリストと適用範囲の概要については、EU十分性認定を確認されたい。
ステップ3:米国の場合はDPF認証を確認する。 移転先が米国組織である場合、商務省が維持する現行のDPF認証リストに掲載されているかどうかを確認する。掲載されていれば、十分性認定がその移転をカバーする。掲載されていなければ、ステップ4に進む。
ステップ4:第46条の仕組みを選択する。 (グループ事業体ではない)外部の第三者への移転については、2021年版SCCが標準的な手段となる。該当するモジュールを選択する。典型的な管理者から処理者へのシナリオ(EEA企業が米国のクラウド事業者を利用する場合)にはモジュール2、管理者間のデータ共有にはモジュール1、処理者から再委託先への関係にはモジュール3、EEA域外の処理者がEEA域内の管理者にデータを返却する場合にはモジュール4を選択する。多国籍企業内のグループ内移転については、BCRのほうが長期的にはより整理された構造を提供するが、BCRの承認が下りるまではSCCを利用することができる。
ステップ5:移転影響評価を完了させる。 SCCを締結する前に、EDPBの六段階のロードマップを完了させる。移転の棚卸し、該当するSCCモジュールの確認、移転先国の監視法制の評価、必要な補完的措置(技術的・契約上・組織的)の特定、結論の文書化、そして再評価の予定である。この評価は書面で文書化し、コンプライアンスの証拠として保管すべきである。詳細なTIAの枠組みについては、標準契約条項を参照されたい。
ステップ6:移転が処理者に関わる場合は、GDPRデータ処理契約を確認する。 モジュール2のSCCを用いる場合、それには第28条のDPA(データ処理契約)の要件が組み込まれている。当事者が別個のDPAを有している場合、モジュール2のSCCとDPAは整合していなければならず、矛盾が生じた場合はSCCが優先する。
ステップ7:第49条は真に最後の手段としてのみ検討する。 第1階層と第2階層の選択肢が真に利用できないこと、そしてその移転が真に臨時的で反復性のないものであることを確認したうえで初めて、第49条の適用除外を検討すべきである。依拠する具体的な適用除外と、それが該当するという結論の事実上の根拠を文書化すること。
第5章とGDPRの他の要件との関係
第5章は、GDPRの他の規定に代わるものではなく、それらに上乗せされる形で機能する。第5章のもとで適法に認められた国際移転であっても、GDPRの他のすべての要件を満たさなければならない。移転には第6条(同意、契約、正当な利益など)に基づく適法根拠がなければならず、特別カテゴリーのデータが関わる場合には第9条の条件も満たさなければならない。そして管理者は、第三国の受領者の身元とその際に用いる移転の仕組みを含め、第13条または第14条に基づき、移転についての情報をデータ主体に提供していなければならない。
第5章と第28条(処理者の義務)との相互関係にも注意が必要である。組織がEEA域外の処理者にデータを移転する場合、第28条のデータ処理契約と第5章の移転の仕組みの双方が必要となる。2021年版SCCのモジュール2は、この両方の要件を同時に満たす。すなわち、第28条が義務付ける内容をその条項の中に組み込んでいる。モジュール2のSCCを使用する組織には別個のDPAは不要であるが、組織上の明確性のために追加している組織も多い。
GDPRデータ処理契約に何を含めるべきか、どのように構成すべきかについての詳しい説明は、GDPRデータ処理契約を参照されたい。
EDPB、各国の監督機関、そしてワンストップショップの仕組みの役割を含む、より広範なEUデータプライバシー法の枠組みについては、EUデータプライバシー法ハブで解説している。
免責事項: 本ページは一般的な法律情報を提供するものであり、法的助言ではない。GDPR上のコンプライアンス要件は個別の事実に依存し、法域によっても異なる。貴組織固有の移転の取り決め、移転先国、処理活動に応じた助言については、資格を有する弁護士に相談されたい。
Frequently Asked Questions
GDPRのもとで、個人データをEU域外に移転することはできるか。
できる。ただし、データがEEAを離れる前に、有効な第5章の移転の仕組みが整っている場合に限られる。三つの階層がある。(1)EUの十分性認定を受けた国への移転(契約は不要)。(2)標準契約条項や拘束的企業準則などの適切な保護措置を、移転影響評価と組み合わせて用いる。(3)臨時的で反復性のない移転について、限定的な第49条の適用除外に依拠する。継続的で組織的な移転には第1階層または第2階層を用いなければならず、第49条の適用除外を日常的な仕組みとして利用することはできない。
GDPRにおける標準契約条項(SCC)とは何か。
標準契約条項とは、GDPR第46条(2)(c)項に基づき欧州委員会が発行する、あらかじめ承認された契約のひな形であり、EEAのデータ輸出者とEEA域外の輸入者の間に拘束力のあるデータ保護上の義務を創出するものである。2021年に刷新されたSCC(欧州委員会実施決定(EU)2021/914)には、管理者から管理者へ、管理者から処理者へ、処理者から処理者へ、処理者から管理者へという、あらゆる移転の場面を対象とする四つのモジュールがある。これにはまた条項14が含まれており、移転先国の法律が遵守を妨げないことを確認する移転影響評価を当事者が完了させることを義務付けている。旧SCCは2022年12月27日をもって段階的に廃止された。
Schrems II判決とは何か。なぜ重要なのか。
Schrems IIとは、2020年7月16日に下された、事件番号C-311/18(Data Protection Commissioner v. Facebook Ireland and Maximillian Schrems事件)におけるEU司法裁判所の判決である。裁判所は、EU・米国間のPrivacy Shieldに関する十分性認定を無効とし、米国の監視法制がEUのデータ主体に本質的に同等な保護や実効的な司法上の救済を提供していないと判断した。より広く言えば、この判決はSCCが有効ではあるが条件付きであることを確認した。SCCに依拠する前に、データ輸出者は、移転先国の法律が実務上の遵守を妨げないことを確認しなければならない。もし妨げるのであれば、補完的措置が必要となるか、その移転を行うことができない。Schrems II判決により、SCCに基づくすべての移転について、移転影響評価が必須のステップとなった。
米国はGDPRのもとで十分性を認められているか。
部分的に認められている。欧州委員会は2023年7月10日、EU・米国データプライバシーフレームワークについて十分性認定を採択し、DPF原則について自己認証を行い、FTCまたは運輸省の管轄下にある米国組織への移転をカバーしている。2026年半ば時点で、約2,700の米国組織が認証を受けている。DPF認証を受けていない米国組織や、FTC・運輸省の管轄外にある組織は、SCCまたは他の第46条の仕組みに依拠しなければならない。DPFは市民的自由を擁護する団体から異議を申し立てられており、将来的にEU司法裁判所での審査に直面する可能性がある。SCCによる代替の備えを維持しておくことが賢明である。
移転影響評価(TIA)とは何か。いつ必要となるのか。
移転影響評価とは、データ輸出者がSCC、BCR、または他の第46条の保護措置に依拠する前に完了しなければならない、構造化された法的分析である。これは、移転先国の法制度、とりわけその監視・法執行に関する法律が、実務上、輸入者による移転の仕組みの義務の履行を妨げるかどうかを評価するものである。TIAの要件は、EU司法裁判所によるSchrems II判決で確立され、EDPBの勧告01/2020バージョン2.0によって実務化された。2021年版SCCは、TIAを契約上の義務として条項14に組み込んでいる。TIAは文書化し、コンプライアンスの証拠として保管し、移転先国で関連する法的動向があるたびに更新しなければならない。
拘束的企業準則(BCR)とは何か。SCCとはどう異なるのか。
拘束的企業準則とは、多国籍企業グループが、EEA域外へのグループ内個人データ移転を規律するために、内部で採用する、法的拘束力のあるデータ保護方針である。これは、EDPBの一貫性審査(通常12か月から18か月を要する)を経て、第47条に基づき主導的なEU監督機関の承認を受けなければならない。BCRが対象とするのは同一の企業グループ内の移転のみであり、無関係な第三者への移転にはSCCが必要である。BCRは、継続的なグループ内のデータの流れについて、より整理されたガバナンス構造を提供し、新たなグループ事業体が追加されるたびにSCCの組を再締結する必要をなくす。いずれの場合も移転影響評価が必要である。
国際データ移転の日常的な根拠として、明示的同意を用いることはできるか。
できない。GDPRの監督機関とEDPBは一貫して、明示的同意を含む第49条の適用除外を、臨時的で反復性のない移転のための限定的な例外として解釈しており、第46条の保護措置に代わる選択肢とはみなしていない。日常的または組織的な移転には、第1階層の十分性認定または第2階層の適切な保護措置が必要である。特定の移転について同意に有効に依拠できる場合であっても、その同意は国際移転そのものとそのリスクに特定されたものでなければならず、一般的な利用規約に組み込んだり、データ主体が不利益なく撤回できないようにしたりすることはできない。
Schrems II判決後、SCCに基づく移転を適法にするためには、どのような補完的措置が必要か。
EDPBの勧告01/2020バージョン2.0は、三つのカテゴリーを示している。技術的措置には、輸入者が平文の鍵を保有しないエンドツーエンド暗号化、鍵をEEA域内に保持する仮名化、そして分割処理のアーキテクチャが含まれる。契約上の措置には、政府からのアクセスを受けた場合の通知義務条項、異議申立ての義務、監査権が含まれる。組織的措置には、輸出時のデータ最小化と社内のエスカレーション方針が含まれる。EDPBは、技術的措置が真に実効的でなければならないと強調しており、暗号化は、輸入者が平文にアクセスすることなく処理目的を達成できる場合に限り有効である。いかなる措置の組み合わせによっても隙間を解消できない場合、その移転は行うことができない。
違法な国際データ移転に対する最高の制裁は何か。
GDPR第5章への違反は、最高水準の制裁金である第83条(5)項の対象となる。最大2,000万ユーロまたは前会計年度の全世界年間売上高の4%のいずれか高い方である。監督機関はまた、第58条(2)項に基づき、一時的または恒久的な移転禁止命令を科す権限も有しており、これは国境を越えたデータの流れを完全に停止させ、いかなる金銭的制裁よりも運用上大きな混乱をもたらしうる。2023年5月にアイルランドDPCがMeta Platformsに科した12億ユーロの制裁金は、移転禁止命令と組み合わされたものであり、この二つが組み合わさった執行リスクを示している。
第5章の移転規定は、管理者だけでなく処理者にも適用されるか。
適用される。第44条は、第5章の条件を管理者と処理者の双方が遵守しなければならないと定めており、これには二次移転も含まれる。EEA域内に拠点を置く処理者が、EEA域外の再委託先に業務を委託する場合、その二次移転が第5章の仕組みでカバーされていることを確保しなければならない。2021年版SCCのモジュール3(処理者から処理者へ)は、このシナリオのために設計されたものであり、再委託の取り決めを構築する前に、元の管理者からの事前の承認を必要とする。
Sources and References
- GDPR規則(EU)2016/679、第44条から第50条および前文101-115項(eur-lex.europa.eu)
- 標準契約条項に関する欧州委員会実施決定(EU)2021/914(eur-lex.europa.eu)
- EU・米国データプライバシーフレームワーク十分性認定に関する欧州委員会実施決定(EU)2023/1795(eur-lex.europa.eu)
- EU司法裁判所 事件番号C-311/18(Schrems II) - Data Protection Commissioner v Facebook Ireland and Maximillian Schrems事件(curia.europa.eu)
- EU司法裁判所 事件番号C-362/14(Schrems I) - Maximillian Schrems v Data Protection Commissioner事件(curia.europa.eu)
- 移転の仕組みを補完する措置に関するEDPB勧告01/2020バージョン2.0(edpb.europa.eu)
- 規則2016/679第49条の適用除外に関するEDPBガイドライン2/2018(edpb.europa.eu)
- 管理者拘束的企業準則の承認申請および含めるべき要素・原則に関するEDPB勧告1/2022(edpb.europa.eu)
- 欧州委員会 十分性認定 - 現行リスト(commission.europa.eu)
- 欧州委員会 - 拘束的企業準則(commission.europa.eu)
- 欧州委員会 - EU・米国間データ移転の変遷(Safe Harbor、Privacy Shield、DPF)(commission.europa.eu)