標準契約条項: 未来の越境データ フローを実現する

Workday バイス プレジデント兼チーフ プライバシー オフィサーの Barbara Cosgrove が、欧州委員会が発表した新しい標準契約条項 (SCCs) の最終版についてご説明します。SCCs は、企業に個人データをヨーロッパ外に移転する際の明確な基準を示すものです。

本日、欧州委員会は、第三国への個人データ移転に関する新しい標準契約条項 (SCCs) の最終版を発表しました。昨年の「Schrems II」事件における EU 司法裁判所 (CJEU) の決定以来、個人データをヨーロッパ外へ移転する企業は明確な基準を求めており、新しい SCCs はこのような基準を明らかにします。弊社のお客様にとって特に重要となる点は、新しい SCCs では公的当局から過去にデータ提出の要求がない場合、企業はデータを移転する際に何らかの補足的な保護対策が必要であると判断できるという点です。このアプローチは一般データ保護規則 (GDPR) のコンプライアンスに対するリスク ベース アプローチと、CJEU の「Schrems II」判決における要件と連動しています。 

次の項目で、新しい SCCs の概要と「Schrems II」の文脈における意味合い、そして越境データ移転に関する今後の展望についてご説明します。 

新しい SCCs が発行された理由

価値および透明性担当バイス プレジデントの Vera Jourová は、新しい SCCs とともに発行されたプレス リリースで次のように述べています。

「私たちは保護対策を講じることを条件に、ヨーロッパにおけるデータの公開と移動がオープンであり続けてほしいと希望しています。最新版の標準契約条項は、この希望を後押ししてくれることでしょう。企業が EU 圏内および国際的なデータ移転に際し、データ保護法に確実に準拠するための手段を提示しているからです。本条項は、数回のクリックでデータを移転することが可能なデジタル世界に必要なソリューションです」

SCCs が直近で更新されたのは 2004 年 (コントローラーからコントローラーへの移転に関する条項) と 2010 年 (コントローラーからプロセッサーへの移転に関する条項) です。これ以降、GDPR はデータ処理契約に含めなければならない特定の要件を導入しました。新しい SCCs は GDPR 要件をデータ移転メカニズムに統合しています。また、新しい SCCs は、コントローラーとプロセッサーの両方の役割を担うことが多い今日の企業の現状をより適切に反映しています。新しい SCCs は、モジュール式アプローチを採用することで契約プロセスを簡略化するだけでなく、2 つの追加の移転形式 (プロセッサーからコントローラー、プロセッサーからプロセッサー) に対応しています。 

新しい SCCs と「Schrems II」の関係

「Schrems II」判決に従い、個人データを EU から米国などの第三国へ移転する企業は、個別に評価を行って補足的措置を特定し、移転する個人データを保護する必要があります。評価はデータの移転先となる国の行政調査と個人の権利を考慮して行う必要があります。新しい SCCs はこの要件を反映しており、具体的な保護対策を規定しています。該当する場合は政府のデータ提出要求に対して懸念や異議を表明したり、データ輸出者に通知したりする必要があります。お客様や規制当局は、本件に対する当社の対応に興味をお持ちのことと思います。顧客サービスにおけるコア バリューと完全性に基づき、Workday は政府のデータ提出要求に関する原則と公式透明性レポートをお客様向けに発行しています。 

SCCs と新たに承認されたヨーロッパ クラウド行動規範の関係

5 月にベルギー データ保護当局は、クラウド サービス プロバイダ向け EU データ保護行動規範 (以下「EU Cloud CoC」) を承認したと発表しました。これは GDPR が採択されて以来初めての国家間 EU 行動規範です。EU Cloud CoC は、GDPR に基づくコンプライアンス メカニズムとして SCCs を補完しますが、データ移転メカニズムの役割は果たしません。 Workday は 2019 年 8 月に EU Cloud CoC を遵守する最初の組織になりました。 

次の一手は?

Workday は新しい SCCs を詳細に精査しており、これらの契約責任については、既存の契約が有効である 18 か月間のうちにお客様に提示いたします。弊社は今月下旬の欧州データ保護会議で、データ移転に対する補足的措置の推奨事項が最終的に決定されるものと予想しています。ここでも企業が個人データに関して政府当局から正式な要求を受けているかどうかが考慮されることを期待しています。これまでの経過と肯定的な政府声明を考えると、企業の人財、財務データ、分析データに対する政府当局の関心は低くなっています。

加えて、プライバシー シールド (Privacy Shield) の後継フレームワークが今年中に合意されると予想しています。それまでの間、Workday は既存のプライバシー シールド証明書を更新し、プライバシー シールド原則に基づいて個人データを処理し、FCT とお客様へのコミットメントを維持してまいります。 

最も重要なことに、Workday は米国および EU 政府がデータの越境移転を可能にするべく弊社と引き続き協働し、2 政府の尽力に沿った更新版標準契約条項を発行することで目標達成を支援します。

さらに読む