直近の2019年1月23日、欧州委員会は、日本のデータ保護規制の十分性認定に関する決定を承認し、同日発効した。同決定は、昨年7月に締結された日本とEU間の自由貿易協定に基づいている。結果として日本とEU間に、世界最大の安全なデータフローの領域が形成されることとなる。
一般データ保護規則は、実際にEU内にてデータの取り扱いがなされるかどうかに関わらず、EU内に拠点を所有する契約当事者の活動の個人データの処理に適用される。
したがって当該決定は、直接または間接的に、データ保護が必要となる局面を正しく規制するために、日本に所在する会社の全ての契約の起草および作成に影響を与えることとなる。
以下に法的根拠を挙げる。
1.一般データ保護規則は取り扱い対象となる個人データの第三国又は欧州経済領域(EU諸国、リヒテンシュタイン公国、アイスランド及びノルウェイ)外の国際機関への移転時、あるいは、移転後の対象個人データのみを明示的に規制する。上記取扱いに関与する当事者が一般データ保護規則の保証するデータ保護レベルがされることを保証する場合、EU内と同様に取り扱うことができる。
2. 同規則第13条及び14条にて、初めて個人情報を入手した場合における、本規則が利害関係人に付与する自身の情報に関する権利に従いデータを取り扱わなければならないという、データ管理者の義務を規定する。
3. 該当する場合には、個人データを第三国又は国際機関に移転する管理者の意図及び欧州委員会により管理者の十分性が認定されているか否かについて、当該情報に含む必要がある。十分性が認識されている場合は、この点にかかる特別な許可は求められない。
4. 上記に代わる方法として、十分性認定によって保護されていないデータの移転に関しては、本規則第46条、第47条及び第49条第1項第2項で、十分若しくは適切な保証およびそのコピー、若しくは実際に適切な措置が採られたとのコピーを入手する等を規定する。(監督当局及び/若しくは欧州委員会によって承認された標準契約。拘束的企業準則。一般データ保護規則に従って承認された行動規範及び適切な保護措置を適用するための拘束力のある約束。移転リスクを知らされた後にデータ主体が提案された移転に明示的に同意等の方法に従って認定された認証メカニズム)同様に、同第49条には、契約上の必要性や合法的利益等の、特定の要件の対象となる例外も規定されている。
データ保護法令はまた、職業的地位に関連する個人データ情報の保護について、つまり、法人の代表者であり契約の署名あるいは執行に介入する自然人の個人データに対する保護についても規定する。しかしながら、データ保護とデジタル権利の保証に関する新法では、そのような通信は正当な利益によって保護されるものとする(GDPR第6条第1f)項)
この意味においては、契約の署名者または関係当事者の1人が日本の会社である場合、
いずれにせよ相手方の署名者の個人データを、契約に含まれている場合、第三者のデータとともに取得する。
その結果、欧州経済領域外へのデータの国際的な移転が行われるものとする。
結果として、契約内情報に対する権利の保証に必要なデータを常に予見する必要性に直面し、GDPR第13条に規定する内容に従って、署名者は以下について通知されるものとする。
a)国際データ移転が存在するかどうかに関わらず、すべての場合にGDPRの第13条に記載されている情報。
b)データを欧州経済領域外外の第三者に移転する管理者の意図。
c)2019年1月23日以降、本条が適用されるケースには、影響下にあるすべての契約は、2019年1月23日の欧州委員会の十分性決定を提示することによって個人データの国際移転に関する規制の要件を満たし、データ保護に関する規定を大幅に簡素化することができる。
GDPRの第45条第1項に規定するように、今後、それ以上特別に追加承認は要求されないものとする。
テラン・アンドレアス (Andreas Terán)
ヴィラ法律事務所
更なる情報を知りたい方は以下までご連絡下さい。
2019年2月8日