標準契約条項: 未来の越境データ フローを実現する
Workday バイス プレジデント兼チーフ プライバシー オフィサーの Barbara Cosgrove が、欧州委員会が発表した新しい標準契約条項 (SCCs) の最終版についてご説明します。SCCs は、企業に個人データをヨーロッパ外に移転する際の明確な基準を示すものです。
Workday バイス プレジデント兼チーフ プライバシー オフィサーの Barbara Cosgrove が、欧州委員会が発表した新しい標準契約条項 (SCCs) の最終版についてご説明します。SCCs は、企業に個人データをヨーロッパ外に移転する際の明確な基準を示すものです。
本日、欧州委員会は、第三国への個人データ移転に関する新しい標準契約条項 (SCCs) の最終版を発表しました。昨年の「Schrems II」事件における EU 司法裁判所 (CJEU) の決定以来、個人データをヨーロッパ外へ移転する企業は明確な基準を求めており、新しい SCCs はこのような基準を明らかにします。弊社のお客様にとって特に重要となる点は、新しい SCCs では公的当局から過去にデータ提出の要求がない場合、企業はデータを移転する際に何らかの補足的な保護対策が必要であると判断できるという点です。このアプローチは一般データ保護規則 (GDPR) のコンプライアンスに対するリスク ベース アプローチと、CJEU の「Schrems II」判決における要件と連動しています。
次の項目で、新しい SCCs の概要と「Schrems II」の文脈における意味合い、そして越境データ移転に関する今後の展望についてご説明します。
価値および透明性担当バイス プレジデントの Vera Jourová は、新しい SCCs とともに発行されたプレス リリースで次のように述べています。
「私たちは保護対策を講じることを条件に、ヨーロッパにおけるデータの公開と移動がオープンであり続けてほしいと希望しています。最新版の標準契約条項は、この希望を後押ししてくれることでしょう。企業が EU 圏内および国際的なデータ移転に際し、データ保護法に確実に準拠するための手段を提示しているからです。本条項は、数回のクリックでデータを移転することが可能なデジタル世界に必要なソリューションです」
SCCs が直近で更新されたのは 2004 年 (コントローラーからコントローラーへの移転に関する条項) と 2010 年 (コントローラーからプロセッサーへの移転に関する条項) です。これ以降、GDPR はデータ処理契約に含めなければならない特定の要件を導入しました。新しい SCCs は GDPR 要件をデータ移転メカニズムに統合しています。また、新しい SCCs は、コントローラーとプロセッサーの両方の役割を担うことが多い今日の企業の現状をより適切に反映しています。新しい SCCs は、モジュール式アプローチを採用することで契約プロセスを簡略化するだけでなく、2 つの追加の移転形式 (プロセッサーからコントローラー、プロセッサーからプロセッサー) に対応しています。
「Schrems II」判決に従い、個人データを EU から米国などの第三国へ移転する企業は、個別に評価を行って補足的措置を特定し、移転する個人データを保護する必要があります。評価はデータの移転先となる国の行政調査と個人の権利を考慮して行う必要があります。新しい SCCs はこの要件を反映しており、具体的な保護対策を規定しています。該当する場合は政府のデータ提出要求に対して懸念や異議を表明したり、データ輸出者に通知したりする必要があります。お客様や規制当局は、本件に対する当社の対応に興味をお持ちのことと思います。顧客サービスにおけるコア バリューと完全性に基づき、Workday は政府のデータ提出要求に関する原則と公式透明性レポートをお客様向けに発行しています。
5 月にベルギー データ保護当局は、クラウド サービス プロバイダ向け EU データ保護行動規範 (以下「EU Cloud CoC」) を承認したと発表しました。これは GDPR が採択されて以来初めての国家間 EU 行動規範です。EU Cloud CoC は、GDPR に基づくコンプライアンス メカニズムとして SCCs を補完しますが、データ移転メカニズムの役割は果たしません。 Workday は 2019 年 8 月に EU Cloud CoC を遵守する最初の組織になりました。
Workday は新しい SCCs を詳細に精査しており、これらの契約責任については、既存の契約が有効である 18 か月間のうちにお客様に提示いたします。弊社は今月下旬の欧州データ保護会議で、データ移転に対する補足的措置の推奨事項が最終的に決定されるものと予想しています。ここでも企業が個人データに関して政府当局から正式な要求を受けているかどうかが考慮されることを期待しています。これまでの経過と肯定的な政府声明を考えると、企業の人財、財務データ、分析データに対する政府当局の関心は低くなっています。
加えて、プライバシー シールド (Privacy Shield) の後継フレームワークが今年中に合意されると予想しています。それまでの間、Workday は既存のプライバシー シールド証明書を更新し、プライバシー シールド原則に基づいて個人データを処理し、FCT とお客様へのコミットメントを維持してまいります。
最も重要なことに、Workday は米国および EU 政府がデータの越境移転を可能にするべく弊社と引き続き協働し、2 政府の尽力に沿った更新版標準契約条項を発行することで目標達成を支援します。
さらに読む
Workday が革新的な人事テクノロジーでどのようにお客様の成功を支援しているのかをご確認ください。
人々が一同に会する Workday Rising 2024 にご参加ください。貴重なコネクションを構築し、AI イノベーションを確認し、ビジネスを長期にわたって前進させる最先端の戦略について意見を交換できます。Workday の最高マーケティング責任者を務める Emma Chalwin が詳細を説明します。
AI の開発者やそのテクノロジーを導入する企業は、AI が良いことのために活用されるように連携して取り組む必要があります。AI バリュー チェーンに関与するすべての人々が、AI の開発・使用について責任を持って進めるという使命を担っています。