欧州司法裁判所が2000年の欧州委員会と米政府との合意によるセーフ・ハーバーを無効と判断して以降、セーフ・ハーバーに代えて、標準契約条項(Standard Contractual Clauses)の採用、拘束力を有する企業の内部規定(Binding Corporate Rules、以下「BCR」といいます。)の制定といったデータ保護手段を利用することで、EUから米国への個人データの移転を合法とすることができるかどうか、明確ではありませんでした。この点、ドイツのある州のデータ保護当局が、標準契約条項に基づくデータ移転を認めないとの声明を発表したことで、いっそう不明瞭となっていました。
これに対し、各国のデータ保護当局、欧州データ保護監督官および欧州委員会の代表からなる、データ保護問題に関する独立の諮問機関である、29条作業部会(以下「作業部会」といいます。)は、セーフ・ハーバー無効の実務上の取扱いについての企業向けガイドラインを含む共同声明を発表し、この中で、標準契約条項、BCRといった代替保護手段を用いることができるとしました。これは、特に、セーフ・ハーバーに基づいて個人データを欧州連合から米国に移転していた、4400社以上の企業にとって、重要です。
作業部会は、米国へのデータ移転の適切なフレームワークは、2016年1月末に確定するとみています。それまで、作業部会は、欧州司法裁判所の先の判決の標準契約条項、BCRに対する影響を継続的に調査するとしました。したがって、先の判決が、これらの代替的保護手段にも影響する可能性があります。
作業部会は、2016年1月末までの間、標準契約条項やBCRを、各国のデータ保護当局がデータ移転を許容する基礎として取り扱うことを確認しました。但し、申立てがあったような場合に、当局が個々のケースについて調査することは、妨げられないと述べています。
このため、より規制に積極的なデータ保護当局が、欧州司法裁判所の論理を参考に、米国への個人データの移転を無効とする可能性は残っています。ただ、米国法の詳細な分析が必要と考えられ、また、具体的な案件について、実質的な害悪(adverse effect)を示すことが必要となることから、単に先の欧州司法裁判所の判決に言及するだけでは、差止めを正当化するには不十分です。
セーフ・ハーバーを米国へのデータ移転の基礎としていた企業が、セーフ・ハーバーの無効に対して最初にとるべき実務上の対応は、代替策をただちに導入することです。BCRを採用し承認を得るには時間を要するため、短期的には、標準契約条項が最良で最速な解決策と考えられます。しかし、データ保護当局の調査が厳しくなっていることから、企業は、正しい条項を選択し、適用されるデータ保護法が、追加の行政上の要件を課していないかどうかを確認する必要があります。
さらに、企業は、すべてのデータ移転について、正当化事由が必要であることを念頭に置く必要があります。また、データ保護当局に疑念を持たれたときに防御に役立つよう、データ移転の基礎について、文書化しておくべきです。
最後に、今後の進展を継続してモニターする必要があります。作業部会は、声明の中で、代替手段の欧州司法裁判所判決の観点からの検討結果次第で、また、米国との間で2016年1月末までに解決策が見い出せなかった場合には、データ保護当局は、連携による執行措置を含む、あらゆる必要な措置をとることとする、としています。
本件は、日本企業の米国子会社等関連企業が欧州の顧客を持つ場合や、日本企業の欧州子会社等関連企業が米国企業からITサービスの提供を受ける場合などに大きな影響があるため、ご紹介いたします。
詳細は Jones Day Alert "EU Data Protection: Article 29 Working Party Says Standard Contractual Clauses, Binding Corporate Rules are Adequate—For Now" (オリジナル(英語)版)をご参照ください。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
