標準契約条項(SCC)を解説(2026年)
標準契約条項(SCC)は、欧州委員会が採択した事前承認済みの契約条項であり、組織が欧州経済領域(EEA)からEUの十分性認定を受けていない国へ個人データを移転する際に用いるものである。これはGDPRのもとで国際的データ移転のために最も広く用いられている法的仕組みであり、世界中の数万の組織が依拠している。
情報は2026年5月19日時点で最終確認済み。本稿は資格を有する弁護士によるレビューをまだ受けていない。
2021年6月4日に採択された現行のSCCは、GDPR以前の旧版に代わるものであり、旧版はCJEUがSchrems II判決で提起した懸念に対応していなかった。2021年版の条項は、柔軟なモジュール方式、補完的措置要件の組み込み、そして政府による監視アクセスに直接対応する規定を導入した。
本ガイドは、四つのSCCモジュール、それぞれをいつ用いるか、移転影響評価の実施方法、GDPRの適用をすでに受けている輸入者のための係属中の新たなSCC、SCCと十分性認定・拘束的企業準則との比較、英国独自の移転手段、最近の執行動向、そして実装時によくある落とし穴を取り上げる。
対象法域について: 本稿は、EU規則2016/679(GDPR)およびUK GDPR(英国のデータ利用アクセス法2025を含む)のもとでの標準契約条項を取り上げる。四つのSCCモジュール(2021年施行決定)、EDPBの補完的措置ガイダンス、そして英国のIDTAおよび補遺を対象とする。EU十分性認定を受けている国の一覧については、EU十分性認定ガイドを参照されたい。EU-米国間のデータプライバシーフレームワークについては、DPFガイドを参照されたい。
クイックアンサー:SCCとは何であり、いつ必要になるか
標準契約条項は、GDPR第46条2項c号のもとでの事前承認済みの契約条項であり、EU域内のデータ輸出者と非EU域のデータ輸入者との間に拘束力のあるデータ保護上の義務を生じさせる。組織は、EEAからEUの十分性認定を受けていない国へ個人データを移転する場合であって、他の第46条の移転の仕組みが適用されないときは常に、SCCを必要とする。一般的なシナリオには、米国、インドその他の十分性のない国に拠点を置くクラウドサービスプロバイダーを利用するEU企業、アジア太平洋またはラテンアメリカの処理者と契約するEUの管理者、そしてEEA域外の副処理者へデータを送るEU域内の処理者が含まれる。SCC(または代替の移転の仕組み)を用いる義務は厳格である。GDPR第5章のもとで有効な法的根拠なしに十分性のない国へ個人データを移転することは、最大2,000万ユーロまたは全世界年間売上高の4%の制裁金の対象となり得る潜在的な違反である。
旧SCCが置き換えられた理由
欧州委員会は当初、データ移転のために二組の標準契約条項を採択していた。2001年版(2004年更新)は管理者間の移転をカバーし、2010年版は管理者から処理者への移転をカバーした。いずれも1995年データ保護指令(95/46/EC)のもとで採択されたものであり、2018年5月にGDPRが施行された後も引き続き用いられていた。
いくつかの問題により、置き換えが必要となった。旧SCCはGDPRではなく指令のもとで起草されており、アカウンタビリティ、データ侵害通知、設計段階からのデータ保護をめぐる規則の拡大された要件を反映していなかった。旧SCCは当事者が二者(EUのデータ輸出者と非EUのデータ輸入者)のみであることを前提としており、クラウドコンピューティングや多層的なサービスプロバイダー関係において一般的な、処理者間または処理者から管理者への移転シナリオを考慮していなかった。
CJEUによるデータ保護コミッショナー対Facebook Ireland Limited and Maximillian Schrems事件(事件番号C-311/18、ECLI:EU:C:2020:559、2020年7月16日、一般にSchrems II判決と呼ばれる)の判決は、この必要性に緊急性を加えた。裁判所はSCCの移転の仕組みとしての有効性を原則として支持したものの、データ輸出者に対し、移転先国の法制度がSCCの提供する保護を損なわないことを検証するよう求めた。輸入国の法律(米国の監視法など)がSCC上の義務と抵触する場合、輸出者はその差を埋めるための「補完的措置」を実施するか、または移転を停止しなければならない。
欧州データ保護会議(EDPB)は勧告01/2020を発行し(2021年6月最終化)、組織が検討すべき補完的措置の詳細を示した。新しいSCCは、これらの要件のいくつかを契約文言に直接組み込んでいる。
四つのSCCモジュール
2021年のSCCはモジュール方式を採用している。異なるシナリオごとに別々の条項一式を用意するのではなく、単一の枠組みが四つのモジュールを含み、当事者はその役割とデータの流れの方向に基づいてこれを選択する。
モジュール1:管理者間(C2C)
モジュール1は、EU域内のデータ管理者がEEA域外の管理者へ個人データを移転する場合に適用される。双方の当事者が独立して処理の目的と方法を決定する。
一般的なシナリオには、欧州企業が自社の事業目的のために米国の親会社と顧客データを共有する場合、または共同マーケティングの取り決めにおいて二社がそれぞれ独立してデータを管理する場合が含まれる。
モジュール1のもとでの主な義務には、請求に応じてデータ主体にSCCの写しを提供すること、データ輸出者の目的限定要件を適用すること、そしてデータ主体が第三者受益者として条項を執行できるようにすることが含まれる。
モジュール2:管理者から処理者(C2P)
モジュール2は、最も一般的な移転シナリオ、すなわちEUの管理者がEEA域外に所在する処理者(クラウドプロバイダー、給与計算処理業者、分析サービスなど)と契約する場合をカバーする。このモジュールは、処理者契約に関するGDPR第28条の要件と整合している。
データ輸入者(処理者)は、輸出者からの文書化された指示に基づいてのみデータを処理しなければならない。適切な技術的・組織的セキュリティ対策を実施し、データ主体の権利請求について管理者を支援し、サービス関係の終了時にすべてのデータを削除または返還し、そして個人データ侵害が生じた場合には不当な遅滞なく管理者に通知しなければならない。
副処理は、管理者による事前の個別または一般的な書面による許可がある場合にのみ認められる。処理者は、契約を通じて、いかなる副処理者にも同一のデータ保護上の義務を課さなければならない。
モジュール3:処理者間(P2P)
モジュール3は、EU域内の処理者がEEA域外の副処理者と契約する状況を扱う。このシナリオは、クラウドインフラの連鎖において極めて一般的である。例えば、EU企業がドイツのクラウドプロバイダー(処理者)を利用し、そのプロバイダーがさらに米国拠点のインフラプロバイダー(副処理者)を利用する場合である。
データの流れは処理者から別の処理者へと進むが、最終的な管理者は、最初の処理者と当初契約したEU域内の法人のままである。モジュール3は、副処理者に対し、最初の処理者を通じて伝達される元の管理者の指示にのみ従ってデータを処理することを求める。
モジュール4:処理者から管理者(P2C)
モジュール4は逆方向の流れをカバーする。すなわち、EU域内の処理者がEEA域外に所在する自らの管理者へデータを返還または移転する場合である。このシナリオは、例えば、欧州のデータ処理サービス提供者が、データ管理者であるEEA域外の顧客へ結果を返す場合に生じる。
このモジュールは他のものと比べると利用頻度は低いが、真の空白を埋めるものである。旧SCCのもとでは、この移転方向についての標準条項は存在せず、組織は代替の法的根拠または場当たり的な契約上の取り決めに依拠せざるを得なかった。
モジュール式SCCの使い方
SCCを導入する組織は、コンプライアンスを確保するため、体系立てられたプロセスに従うべきである。
ステップ1:適用可能なモジュールを特定する
すべての国際的データ移転をマッピングし、各当事者の役割を特定する。各移転について適切なモジュールを選択する。当事者が異なる処理活動について異なる役割を有する場合、単一のSCC契約で複数のモジュールを組み合わせることができる。
ステップ2:附属書を完成させる
SCCには、移転固有の詳細を記入しなければならない複数の附属書が含まれる。
- 附属書I: 当事者、データ移転(データ主体のカテゴリー、個人データの種類、移転の頻度、目的)を記述し、所轄の監督機関を特定する
- 附属書II: データ輸入者が実施する技術的・組織的セキュリティ対策を列挙する
- 附属書III: (モジュール2および3について、管理者が一般的な許可を与える場合)許可された副処理者を列挙する
ステップ3:移転影響評価を実施する
移転を開始する前にTIAを完了させる。評価を文書化し、GDPR第5条2項のもとでのアカウンタビリティ記録の一部として保持する。
ステップ4:補完的措置を実施する
TIAの所見に基づき、必要な補完的措置を採用し文書化する。技術的措置をデータ処理アーキテクチャに組み込む。
ステップ5:締結と統合
SCCは、より広範な商業契約に組み込むことも、単独の契約として締結することもできる。第三者は、既存のすべての当事者の同意を得て、いつでもSCCに加入できる。この特徴は「ドッキング条項」と呼ばれ、2021年版で新設された。
ステップ6:監視と再評価
適切な保護を確保する義務は継続的なものである。組織は、移転先国における新たな立法、データ輸入者の副処理の取り決めの変更、または新たな政府による監視プログラムの発覚など、状況が変化した場合にはTIAを再評価しなければならない。
移転影響評価と補完的措置
2021年のSCCは、当事者に対し、データ移転について条項に依拠する前に移転影響評価(TIA)を実施することを求めている。この要件は、SCCの第14条項に直接組み込まれている。
TIAが含む内容
TIAは、移転先国の法律および実務が、EU法のもとで保証される水準と「本質的に同等」の保護水準を提供しているかどうかを評価する。この評価は以下を考慮しなければならない。
- データの性質、目的、処理の連鎖の長さ、そして受領者のカテゴリーを含む、移転の具体的な状況
- 移転に関連する移転先国の法律、特に監視または法執行の目的での政府による個人データへのアクセスを規律するもの
- SCCを補完するために設けられている、関連する契約上、技術上、または組織上の保護措置
EDPBの勧告01/2020は、TIAを実施するための六段階のプロセスを示している。
- 自組織のデータ移転をマッピングする
- 移転の仕組みを特定する(この場合はSCC)
- 移転先国の法制度が移転の仕組みの実効性を損なうかどうかを評価する
- 必要に応じて補完的措置を特定し採用する
- 補完的措置が求める手続上の措置を講じる
- 適切な間隔で再評価する
補完的措置
TIAがリスクを特定した場合、組織は保護水準を「本質的同等性」の基準へ回復させるための補完的措置を実施しなければならない。これらは三つのカテゴリーに分類される。
技術的措置には、エンドツーエンド暗号化(復号鍵をデータ輸出者のみが保有する)、仮名化(マッピングテーブルがEEA域内に留まる)、そして輸入者が平文のデータにアクセスすることを防ぐ分割処理または多者間処理が含まれる。
契約上の措置は、SCCの基準を超えて義務を強化することを伴う。例としては、データ輸入者に対し、利用可能なあらゆる法的手段を通じて政府によるアクセス請求に異議を申し立てること、(法律が許容する範囲で)データ開示に関する法的拘束力のある請求について輸出者に通知すること、そして定期的な透明性レポートを提供することを求めることが挙げられる。
組織上の措置には、内部のデータガバナンス方針、移転するデータを厳密に必要な範囲に最小化すること、輸入者側で厳格なアクセス制御を採用すること、そして定期的な監査の実施が含まれる。
EDPBは、政府が平文のデータへのアクセスを強制できる場合、契約上および組織上の措置のみでは移転先国の法制度の不備を補うことはできないと強調している。可読データへのアクセスを防ぐ技術的措置が、高リスクの法域において最も実効的な保護措置である。
注意: 執行事例は、厳格なTIAを伴わずに締結されたSCCが重大なコンプライアンス上のリスクを生じさせることを示している。アイルランドDPAは2023年5月、EDPB拘束的決定1/2023を受けて、米国法が提供する不十分な保護を補うのに十分な補完的措置を伴わずにSCCを通じてFacebook利用者データを米国へ移転したことを理由に、Metaに12億ユーロの制裁金を科した。オランダDPAは2024年、有効な移転の仕組みなしにドライバーのデータを米国へ移転したことを理由に、Uberに2億9,000万ユーロの制裁金を科した。監督機関は、不十分なTIAおよび補完的措置の欠如を、手続上の不備ではなく実質的な違反として扱っている。
GDPRの適用を受ける輸入者のための係属中のSCC
2021年のSCCには重要な制約がある。SCCが適用されるのは、データ輸入者の処理がGDPRの適用を受けていない移転に限られる。条項自体の文言上、SCCは、EU/EEAのデータ輸出者から、その「データの処理が[GDPR]の適用を受けていない」データ輸入者への移転を規律する。
これは空白を生じさせる。カナダ、日本、またはブラジルに拠点を置く企業は、EU居住者に向けて商品・サービスを提供する、またはその行動を監視することにより、第3条2項のもとでGDPRの域外適用範囲に該当する処理活動を有することがある。EU法人がそのような企業へ個人データを移転する場合、GDPR第5章のもとでの移転の仕組みが依然として必要である。この越境移転は、輸入者がその処理活動について直接GDPRに拘束されている場合であってもリスクを生じさせる。しかし、2021年のSCCは、輸入者がすでにGDPRのもとで直接負っている義務と部分的に重複し、部分的に乖離することになるため、このシナリオには構造的に適合しない。
EDPBは欧州委員会に対し、まさにこのシナリオをカバーする新たなSCCを開発するよう求めた。欧州委員会はこの空白を認識し、新たなSCC一式の開発を発表した。パブリックコンサルテーションは2024年第4四半期に予定され、採択に向けた草案は2025年第2四半期を目標とされた。
2026年5月時点で、欧州委員会の公式なSCC公表ページには、この第3条2項SCCについて正式に採択された施行決定は掲載されていない。このシナリオに直面する組織には、現在のところ限られた選択肢しかない。拘束的企業準則(企業グループ内)、第46条3項a号のもとで監督機関が承認した場当たり的な契約条項、または該当する場合には第49条の適用除外への依拠である。オランダDPAによるUberへの制裁金は、承認された仕組みなしにGDPRの適用を受ける輸入者への移転を進めることの実際の執行リスクを浮き彫りにした。
組織は、これらの条項の正式な採択について、欧州委員会のSCCページを注視すべきである。
SCC、十分性認定、拘束的企業準則の比較
GDPR第5章は、適法な国際的データ移転のためのいくつかの仕組みを定めている。最も一般的に用いられる三つは、十分性認定(第45条)、標準契約条項(第46条2項c号)、そして拘束的企業準則(第47条)である。
| 仕組み | 法的根拠 | 利用できる主体 | 主な特徴 |
|---|---|---|---|
| 十分性認定 | GDPR第45条 | 十分性のある国へ移転するあらゆる組織 | 追加のステップは不要。欧州委員会が当該国は本質的に同等の保護を提供していると判断する。例:英国(2031年まで有効)、カナダ(PIPEDA)、日本、スイス。全リストを参照。 |
| 標準契約条項 | GDPR第46条2項c号 | あらゆる組織。最も広く用いられる仕組み | SCCの完成、附属書の記入、TIAの実施、必要に応じた補完的措置の実施が必要。あらゆる国について機能する。 |
| 拘束的企業準則 | GDPR第47条 | 多国籍企業グループ(グループ内移転のみ) | DPAの承認が必要。先行負担が大きい(通常、承認取得に1年から3年)。いったん承認されれば、承認された範囲内のすべてのグループ内移転を、個別のSCCなしにカバーする。 |
大半の組織にとって、SCCは十分性のない国への移転のためのデフォルトの仕組みである。十分性認定は利用可能な場合は単純だが、地理的に限定されている。BCRは、グループ内移転量の多い大規模な多国籍企業にとっては強力だが、小規模な組織や外部への移転には実用的ではない。
SCCとEU-米国データプライバシーフレームワークの関係
SCCとEU-米国データプライバシーフレームワーク(DPF)は、同じ基本目的(EUからの適法なデータ移転を可能にすること)に資するが、異なる法的仕組みを通じて機能する。
DPFは、認証された米国組織へ送られるデータについて、十分性ベースの移転経路を提供する。米国企業が有効なDPF認証を保持している場合、EUの組織は、十分性のある国の企業へ移転する場合と同様に、SCCなしにその企業へデータを移転できる。国の全リストについては、EU十分性認定の完全ガイドを参照されたい。
SCCは、十分性の有無にかかわらずあらゆる国について機能する、契約ベースの移転経路を提供する。SCCは、アジア、アフリカ、ラテンアメリカ、中東の大半を含む、十分性認定を受けていない国への移転の主要な仕組みである。
多くの組織は両方の仕組みを同時に利用している。企業は、認証された米国サービスプロバイダーへの移転についてはDPFに依拠する一方、インド、フィリピン、またはブラジルの処理者への移転についてはSCCを用いることがある。一部の組織は、大西洋を越える枠組みが無効とされてきた歴史を踏まえ、バックアップとしてDPF認証済みの米国パートナーとの間でもSCCを維持している。
2026年5月時点のDPFの法的地位
DPFは法的異議申立てに直面してきた。2025年9月3日、EU一般裁判所は、フランスの欧州議会議員フィリップ・ラトンブ氏が提起した無効確認訴訟を棄却し、2023年の欧州委員会の十分性認定当時の事実に基づき、DPFの有効性を確認した。裁判所は、米国データ保護審査裁判所が独立性を欠いているという主張、および大量監視について事後的な司法審査が不十分であるという主張を退けた。ラトンブ氏は2025年10月31日にCJEUへ上訴し、当該上訴は現在係属中である。
これとは別の論点として、米国政権の行政措置に関するものがある。Trump v. Slaughter事件は2026年6月または7月までに判決が予定されており、DPFの基盤となる米国のプライバシーの枠組みに影響を及ぼす可能性がある。
米国への移転についてDPFのみに依拠している組織は、これらの手続を注視すべきである。SCCに補完的措置を組み合わせるアプローチは、2020年のプライバシーシールドの場合と同様に、DPFが無効とされた場合であっても有効であり続けるバックアップを提供する。
英国の国際データ移転の仕組み
Brexit後、英国はUK GDPRおよびデータ保護法2018のもとで、国際データ移転のための独自の枠組みを確立した。EUのSCCは、英国法が規律する移転には利用できない。
英国国際データ移転契約(IDTA)
英国情報コミッショナー事務局(ICO)は2022年3月、国際データ移転契約(IDTA)を承認した。IDTAは、EUのSCCと機能的には類似しているが英国法に整合するよう起草された、単独の契約である。モジュール方式ではなく、詳細な表形式の単一の文書を用いる。
英国補遺
IDTAの代替として、組織はEU SCCへの英国補遺を利用できる。この補遺は一式のEU SCCに付随し、英国法の目的に合わせてこれを適合させる。このアプローチは、すでにEU SCCを整備している組織に人気があり、別個の契約を必要としないためである。
移転リスク評価
ICOは、組織に対し、IDTAまたは英国補遺のいずれかに依拠する前に移転リスク評価(TRA)を実施することを求めている。TRAは概ねEUのTIAと類似しているが、ICO独自のガイダンスに従う。ICOは、組織が評価を完了するのを助けるため、詳細なTRAツールを公表している。
データ利用アクセス法2025と更新されたICOガイダンス
英国のデータ利用アクセス法(DUAA)は2025年6月19日に国王裁可を受けた。DUAAの附則7は国際移転の基準を改正した。求められる保護水準は現在、UK GDPRおよびDPA 2018のもとでの基準と比較して「実質的に低くない」ものと表現されており、「データ保護テスト」と呼ばれる。これは、従前の「損なわれない」という基準に取って代わった。
ICOは2026年1月15日、国際移転に関する更新版ガイダンスを公表し、既存のガイドを再構成し、DUAAの新たな文言を組み込んだ。ICOは、DUAAの改正を反映するため、2026年中にIDTAおよび補遺を更新する予定であることを示している。組織は、これらの更新が公表されるまで、現行のIDTAおよび補遺のバージョンを引き続き使用すべきである。
英国・米国データブリッジ
特に米国への移転について、英国は2023年10月に英国・米国データブリッジを確立し、EU-米国間のDPFと並行する十分性ベースの経路を提供した。EEAから英国への移転についての英国の十分性認定は、欧州委員会によって2025年12月19日に更新され、2031年12月27日まで有効である。
EEAから英国への移転に関する注記: 英国の受領者へ個人データを移転するEU域内の組織は、これらの移転についてSCCを必要としない。英国に関する欧州委員会の十分性認定は、EEAから英国への移転をカバーする。SCCは、逆方向(英国からEUへの移転)、および英国法のもとでの英国から十分性のない国への移転について必要である。
SCCに関するよくある誤り
組織は、SCCを導入する際に実務上の困難にしばしば直面する。これらの課題を理解することは、コンプライアンス上の空白を回避する助けとなる。
多層的な処理の連鎖
現代のデータ処理は、しばしば複数の国にまたがる複数層の処理者・副処理者を伴う。単一のSCC契約が複数のモジュールを組み込む必要がある場合があり、連鎖の異なる箇所で別個のSCCが必要となる場合もある。モジュールを選択する前にこれらの関係を正確にマッピングすることが重要である。
TIAを最新の状態に保つ
移転先国の法的状況は変化する。新たな監視立法、判決、または政府の実務は、移転のリスクプロファイルを変化させ得る。組織は、関連する法的動向を監視し、それに応じてTIAを更新するプロセスを備えていなければならない。EDPBが2025年6月に公表したGDPR第48条に関するガイドライン02/2024は、第三国の政府当局が輸入者の保有するデータへのアクセスを要求した場合に組織がどのように対応すべきかについてのガイダンスを追加しており、これはTIAに関連するリスク要因として今後明示的に評価されるべきものである。
副処理者の管理
モジュール2および3は、副処理者との関係を慎重に管理することを求める。(個々の副処理者について個別の許可を得るのではなく)一般的な許可を用いる場合、処理者は副処理者への変更を予定している旨を管理者に通知し、管理者に異議を申し立てる機会を与えなければならない。
執行可能性に関する懸念
SCCは契約としての性質を有する。法の支配が弱い国のデータ輸入者が条項に違反した場合、実務上、執行が困難となることがある。組織は、輸入者の法制度、および契約上の義務の実務上の執行可能性を、TIAにおいて考慮すべきである。
GDPRの適用を受ける輸入者への移転
第3条2項のもとですでに直接GDPRの適用を受けている輸入者へ個人データを移転する必要がある組織は、現行のSCCの枠組みにおける構造的な空白に直面する。2021年のSCCはこのシナリオのために設計されていない。欧州委員会がこの状況のための新たな条項を正式に採択するまで、組織は、BCR(企業グループ内)、第46条3項a号のもとで監督機関が承認した場当たり的な条項、または該当する場合には第49条の適用除外への依拠を文書化することを検討すべきである。これは小さなリスクではない。オランダDPAによるUberへの制裁金は、まさに承認された仕組みなしのこの種の移転に関わるものであった。
最新の動向(2024年から2026年)
2021年のSCCが全面施行されて以降、いくつかの重要な動向が生じている。
Metaに対する執行(2023年5月): アイルランドDPAは、EDPB拘束的決定1/2023を受けて、Metaに12億ユーロの制裁金を科した。EDPBは、MetaによるSCCベースのFacebook利用者データの米国への移転が、米国の監視法が提供する不十分な保護を補うのに十分な補完的措置を欠いていたと認定した。Metaはその移転をコンプライアンスに適合させるよう命じられた。
Uberに対する執行(2024年): オランダDPAは、承認された仕組みが整備されていなかった期間に、有効な移転の仕組みなしにドライバーの個人データを米国へ移転したことを理由に、Uberに2億9,000万ユーロの制裁金を科した。
DPFに対する法的異議申立て(2025年): EU一般裁判所は2025年9月3日、DPFに対するラトンブ氏の異議申立てを棄却した。ラトンブ氏は2025年10月31日にCJEUへ上訴した。上訴は係属中である。DPFの基盤となる米国のプライバシーの枠組みに影響を及ぼす可能性のあるTrump v. Slaughter事件は、2026年半ばまでに判決が予定されていた。
EDPBによる第48条ガイドライン(2025年6月): EDPBは2025年6月5日、GDPR第48条に関するガイドライン02/2024の最終版を採択した。これらは、第三国の政府当局からEUの個人データを移転するよう求める請求を受けた組織が、各請求を個別に評価しなければならず、そのような請求を日常的なコンプライアンス義務として扱うことはできないことを明確にしている。
英国データ利用アクセス法2025: 2025年6月19日の国王裁可により、英国の移転基準は「データ保護テスト」(UK GDPRと比較して実質的に低くない)へと変更された。ICOは2026年1月15日、国際移転に関する更新版ガイダンスを公表した。IDTAおよび補遺の更新は2026年中に見込まれる。
英国十分性認定の更新(2025年12月): 欧州委員会は2025年12月19日、英国に関する十分性認定を更新し、2031年12月27日まで有効とした。
第3条2項SCC(係属中): GDPRの適用を受ける輸入者のために欧州委員会が計画している新たなSCCは、2026年5月時点で正式には採択されていない。このシナリオに直面する組織は、欧州委員会のSCCページで更新情報を注視すべきである。
本稿は一般的な法律情報であり、法的助言ではない。SCCその他の越境移転の仕組みを導入する組織は、自らの状況に固有の助言について、自らの法域で資格を有する弁護士に相談すべきである。本稿は、2026年5月19日時点で確認済みの法令およびガイダンスを反映している。
Frequently Asked Questions
標準契約条項(SCC)とは何ですか。
標準契約条項は、GDPR第46条2項c号のもとで欧州委員会が採択した事前承認済みの契約条項である。これらは、EEA域内のデータ輸出者とEEA域外のデータ輸入者との間に拘束力のあるデータ保護上の義務を生じさせる。2021年6月に採択された現行版(施行決定2021/914)は、2001/2004年版および2010年版の旧条項に取って代わった。SCCは、EUからの国際的データ移転のために最も広く用いられている法的仕組みである。
四つのSCCモジュールとは何であり、それぞれをいつ用いますか。
モジュール1(管理者間)は、EUの管理者がEEA域外の管理者へデータを移転する場合に適用される。モジュール2(管理者から処理者)は、クラウドプロバイダーなど、EUの管理者がEEA域外の処理者と契約する場合をカバーする。モジュール3(処理者間)は、EU域内の処理者がEEA域外の副処理者と契約する場合に適用される。モジュール4(処理者から管理者)は、EUの処理者がEEA域外の管理者へデータを返す場合をカバーする。単一のSCC契約で、異なる処理活動にわたり異なる役割を有する当事者について、複数のモジュールを組み込むことができる。
移転影響評価(TIA)とは何ですか。
移転影響評価は、移転先国の法律および実務がEU基準と本質的に同等の保護を提供しているかどうかを評価するものである。2021年のSCCの第14条項は、当事者に対し、データを移転する前にTIAを完了することを求めている。この評価は、移転先国の監視法、政府によるアクセスの仕組み、そして利用可能な法的救済手段を検討する。TIAがリスクを特定した場合、組織は保護の空白を埋めるための補完的措置(技術的、契約上、または組織上のもの)を実施しなければならない。
旧SCCは依然として有効ですか。
有効ではない。欧州委員会は2022年12月27日を義務的な移行期限として設定し、すべての組織はこれまでに旧SCC(2001/2004年版の管理者間条項および2010年版の管理者から処理者への条項)を2021年版に置き換えることが求められた。その日以降も旧SCCに依拠しているデータ移転は、GDPRのもとで有効な法的根拠を欠いている。
SCCは米国への移転に利用できますか。
利用できる。SCCは、受領者がEU-米国間データプライバシーフレームワーク(DPF)のもとで認証されているか否かにかかわらず、米国への移転について有効な仕組みであり続けている。DPF認証を受けた組織への移転については、SCCをバックアップとして用いることができる。認証を受けていない米国組織への移転については、SCCが通常、主要な移転の仕組みとなる。移転影響評価は、特にFISA第702条および大統領令12333号を含む米国の監視法を評価しなければならず、適切な補完的措置を実施しなければならない。
EUのSCCに相当する英国の仕組みは何ですか。
英国には二つの選択肢がある。ICOが2022年3月に承認した単独の契約である国際データ移転契約(IDTA)、そして既存のEU SCCを英国法に適合させる、EU SCCへの英国補遺である。EUのSCC単独では、UK GDPRが規律する移転には利用できない。組織はまた、ICOのガイダンスに従って移転リスク評価を完了しなければならない。英国のデータ利用アクセス法2025(2025年6月19日国王裁可)は英国の移転基準を変更した。ICOは2026年1月15日に更新版ガイダンスを公表し、2026年中にIDTAおよび補遺を更新する計画である。
組織はSCCとともにどのような補完的措置を実施できますか。
補完的措置は三つのカテゴリーに分類される。技術的措置には、エンドツーエンド暗号化(復号鍵を輸出者のみが保有する)、仮名化、そして分割処理が含まれる。契約上の措置は、輸入者に対し、政府によるアクセス請求に異議を申し立て、透明性レポートを提供することを求める。組織上の措置には、アクセス制御、データの最小化、定期的な監査が含まれる。EDPBは、可読データへのアクセスを防ぐ技術的措置が、高リスクの法域において最も実効的な保護措置であると強調している。契約上および組織上の措置のみでは、政府による強制的なデータアクセスを認める移転先国の法制度を補うことはできない。
移転影響評価はどのくらいの頻度で更新しなければなりませんか。
SCCは、一度限りの評価ではなく、継続的なコンプライアンスを求めている。組織は、移転先国における新たな監視立法、副処理の取り決めの変更、新たな政府の実務、または関連する判決など、状況が重大に変化した場合には、TIAを再評価しなければならない。EDPBは、すべての移転先国における法的動向を監視するための定期的なプロセスを確立することを推奨している。EDPBの2025年のガイドライン02/2024(GDPR第48条について)は、第三国の政府当局がデータへのアクセスを要求した場合の輸入者の法的義務という、評価すべき追加のリスク要因を加えた。
GDPRの適用を受ける輸入者のための新たなSCCとは何であり、いつ利用可能になりますか。
欧州委員会は、第3条2項のもとで、例えばEU居住者を対象としているためにすでに直接GDPRの適用を受けている、EEA域外の管理者・処理者への移転を特に対象とする新たなSCC一式を開発している。2021年のSCCは、輸入者がGDPRの適用を受けていないことを前提としているため、このシナリオには適さない。欧州委員会は2024年第4四半期のパブリックコンサルテーションと、2025年第2四半期の採択に向けた草案を計画していた。2026年5月時点で、官報に正式な施行決定は公表されていない。組織は、正式な採択の発表について欧州委員会のSCCページを注視すべきである。
SCCは拘束的企業準則(BCR)とどのように比較されますか。
SCCは個別の移転関係のために用いられる契約条項であり、あらゆる組織が利用でき、監督機関からの事前承認を必要としない。拘束的企業準則は、GDPR第47条のもとで主導監督機関が承認するグループ内方針である。BCRは、承認された範囲内のすべてのグループ内移転を、個別のSCC契約なしにカバーするため、大規模な多国籍企業にとって効率的だが、承認の取得には通常1年から3年、そして多大な法務リソースを要する。BCRは外部当事者への移転には利用できず、そうした移転にはSCCが引き続き必要である。両者の仕組みは相互補完的である。
EEAから英国へデータを移転する際にSCCは必要ですか。
必要ない。英国に関する欧州委員会の十分性認定はEEAから英国への移転をカバーしており、これらの移転についてSCCまたはその他の第46条の仕組みは必要とされない。十分性認定は2025年12月19日に更新され、2031年12月27日まで有効である。ただし、英国拠点の組織が英国外の十分性のない国へデータを移転する場合は、当該アウトバウンド移転について、依然として英国のIDTAまたは英国補遺(EUのSCCに相当する英国の仕組み)を必要とする。
Sources and References
- 現行のEU SCCは、2021年6月4日付の欧州委員会施行決定(EU)2021/914によって採択された。(eur-lex.europa.eu).gov
- CJEUは、データ保護コミッショナー対Facebook Ireland Limited and Maximillian Schrems事件(事件番号C-311/18、ECLI:EU:C:2020:559、2020年7月16日、Schrems II判決)において、SCCを有効な移転の仕組みとして原則的に支持しつつ、輸出者に対し輸入国の法制度を検証するよう求めた。(eur-lex.europa.eu).gov
- 補完的措置に関するEDPB勧告01/2020(2021年6月最終化)は、TIAのための六段階のプロセスを示している。(edpb.europa.eu).gov
- Meta/Facebookへの12億ユーロの制裁金は、EDPB拘束的決定1/2023(2023年4月13日)を受けてアイルランドDPAによって科された。DPAは、SCCを通じたMetaによるFacebook利用者データの米国への移転が、米国の監視法を補うのに十分な補完的措置を欠いていたと認定した。(edpb.europa.eu).gov
- オランダDPA(Autoriteit Persoonsgegevens)は、有効な移転の仕組みなしにドライバーの個人データを米国へ移転したことを理由に、Uberに2億9,000万ユーロの制裁金を科した。これは、オランダDPAがUberに科した3回目の制裁金である。(edpb.europa.eu).gov
- EU一般裁判所は2025年9月3日、EU-米国データプライバシーフレームワークに対するラトンブ氏の無効確認の異議申立てを棄却した。ラトンブ氏は2025年10月31日にCJEUへ上訴した。上訴は係属中である。(noyb.eu)
- 英国のデータ利用アクセス法は2025年6月19日に国王裁可を受けた。同法の附則7は、国際移転の基準を「損なわれない」からUK GDPRの保護と比較して「実質的に低くない」(「データ保護テスト」)へと改正した。ICOは更新版の国際移転ガイダンスを公表した。(ico.org.uk).gov
- ICOは、DUAAの改正を反映するため、2026年中にIDTAおよび補遺を更新する計画である。組織は、それまでは現行版のIDTAおよび補遺を引き続き使用すべきである。(ico.org.uk).gov
- 欧州委員会は、第3条2項のもとで処理が直接GDPRの適用を受けるEEA域外の管理者・処理者への移転のための新たなSCCを開発中である。パブリックコンサルテーションは2024年第4四半期に、草案は2025年第2四半期に予定されていた。2026年5月時点で、欧州委員会の当該条項は正式には採択されていない。(commission.europa.eu).gov
- EDPBは2025年6月5日、GDPR第48条(第三国当局へのデータ移転)に関するガイドライン02/2024の最終版を採択した。このガイドラインは、第三国当局の判決または決定がEU域内で自動的に承認・執行されるわけではないこと、そして組織が各請求を個別に評価しなければならないことを明確にしている。(edpb.europa.eu).gov
- 現行の2021年のSCCは、データ輸入者の処理がGDPRの適用を受けていない移転に限定されている。輸出者と輸入者の双方がGDPRの適用を受けるシナリオには適さない。条項が、輸入者がすでに負っている義務と部分的に重複し、部分的に乖離することになるためである。(commission.europa.eu).gov
- EDPBは欧州委員会に対し、データ輸出者と輸入者の双方がGDPRの適用を受けるシナリオをカバーする新たなSCCを準備するよう強く求め、これらのSCCはGDPR上の義務を複製するのではなく、輸入者のリスクに特に関連する要素に焦点を当てるべきであると強調した。(edpb.europa.eu).gov
- 英国ICO - 移転リスク評価(ico.org.uk).gov
- 英国データ保護法2018(legislation.gov.uk).gov
- 欧州委員会 - 国際移転のためのSCC(commission.europa.eu).gov
- EDPB:Meta Platforms Ireland(Facebookの米国への移転)に関する拘束的決定1/2023(edpb.europa.eu)