貴社の英国内から第三国の譲受人への個人情報の移転は、UK GDPRの要件に準拠していますか?
国際的な個人情報の移転において検討すべき法律には、英国で保持されている「欧州一般データ保護規則」(EU GDPR)及び「2018 年データ保護法」(Data Protection Act 2018)が含まれます。本二ュースレターでは、これらを合わせて「UK GDPR」と呼びます。
また本ニュースレターにおいて、譲受人とは、個人情報の譲渡人とは別の組織または個人を意味します。
なお本ニュースレターは、公的機関である譲渡人、また、公共の利益・個人の重要な利益の保護に関連するルールについて説明するものではありません。
個人情報を(国際的に)移転する場合、譲渡人は後述するようなリスクを回避するために、当該移転が法的に可能であることを確認しなければなりません。法的に移転が認められるための根拠としては、英国による(移転先国の)十分性認定(UK adequacy decision)への依拠、適切な保護措置(Safeguard)の使用、またはその他例外規定への依拠が含まれます。 これら3つの概念について、以下詳述します。
情報の移転先は英国による十分性認定(UK adequacy decision)を受けていますか?
まず始めに企業は、(UK GDPRの対象となる)個人情報の移転先が、英国の十分性認定(UK adequacy decision)でカバーされているかどうかを検討する必要があります。
英国による十分性認定(UK adequacy decision)とは、ある国、地域、分野、または国際組織が、UK GDPRと同等のレベルの個人情報保護制度を提供しているという、英国国務長官による認定を意味します。移転先が英国による十分性認定を受けていれば、監督官庁によるさらなる認可を必要とせず、個人情報を(十分性認定の条件に従って)自由に移転できます。
十分性認定を受けている国(地域、分野、組織)については、こちらのガイダンスをご覧ください。本ガイダンスの発行以降、韓国についても英国の十分性認定が下されており、詳細はこちらでご覧いただけます。
十分性認定への依拠が不可能な場合、適切な保護措置(Safeguard)を設けていますか?
十分性認定に頼ることができない場合、譲渡人は、合法的に個人情報を移転するために適切な保護措置(Safeguard)を設けることを検討する必要があります。
適切な保護措置(Safeguard)の例としては、以下のものが含まれます(このリストはすべてを網羅するものではありません)。
- 情報コミッショナー事務局(Information Commissioner’s Office、以下「ICO」)によって採用された標準データ保護条項の利用
- 拘束的企業準則(Binding Corporate Rules)(企業グループ内の組織間で結ばれた契約)の利用
- ICOが承認した行動規範 (Code of Conduct) の遵守
- ICOが個別に承認した契約条項の利用
- ICOの認証メカニズムに基づく承認を受けた場合
譲渡人は、譲受人の所在地において、データ主体の権利の行使が可能であること、およびデータ主体のための効果的な法的救済措置が利用可能であることを証明できる場合にのみ、適切な保護措置に依拠した個人情報の移転を行うことができます。そのため、ICOは、データ移転リスク評価(Transfer Risk Assessment)を行うことを推奨しています。
特定の状況下で例外的に認められる移転にはどのようなものがありますか?
(十分性認定や適切な保護措置に依拠できない場合には)譲渡人は(限られた状況で利用できる)例外規定に頼ることが可能かどうかを確認する必要があります。これには以下のものが含まれます(このリストはすべてを網羅するものではありません)。
- データ主体が、発生し得るリスクについて説明を受けた上で、特定の個人情報の移転に明確に同意した場合。
- 個人情報の移転が契約の履行に必要であり、目的を達成するための適切な方法である場合。この例外は限られた状況においてのみ適用され、他の手段を通じて同じ目的を合理的に達成できる場合は適用されません。
- 個人情報の移転が、法的な請求権の確立、権利の行使、または弁護のために必要な場合。
法的に正当化する根拠のないまま個人情報の英国外への移転を行った場合、どのような影響があるのでしょうか?
個人情報が、正当な措置に基づかずに英国から英国外の譲受人に移転された場合、ICOによる強制措置につながる可能性があります。ICOには、事実を調査し、最高1750万ポンド(または事業者の場合、前会計年度の全世界での年間総売上高の最大4%のいずれか高い方)の罰金を課す権限が付与されています。
また、データ主体は苦情申立てや民事的な請求を行うこともあり、(違反業者にとっては)悪評、賠償金の支払い、費用負担につながる可能性があります。
個人情報を英国外に移転する企業が取るべきステップとは何でしょうか?
- まず企業は、個人情報を英国外に移転している(または移転することを計画している)かどうかを確認する必要があります。
- 英国外へ個人情報を移転する場合、企業はその個人情報を合法的に移転するために講じるべき(またはその予定がある)措置を特定する必要があります。
- 移転に当たって書類が要求される場合には、譲渡人は、移転が開始される前にその書類が準備されていることを確認しなければなりません。これには、(該当する場合)データ移転リスク評価(Transfer Risk Assessment)を行うことも含まれます。特に、ICOの発行しているテンプレートに最近変更があったことを踏まえ、企業は要求されている書類の法定形式に関して常に最新情報を入手しておく必要があります
- また企業は、UK GDPR全般を遵守する必要があります (本ニュースレターはUK GDPRのすべての領域をカバーするものではありません)。
3CSにできること
国際的な個人情報の移転やその他会社法、商法についてご相談がある場合には、3CSの担当者にお問い合わせください。
