EU一般データ保護規則(GDPR)十分性認定の誤解が多すぎる件(更新)

2018/07/17にEU一般データ保護規則(GDPR)について日本を十分性認定したが、まだGDPRの第29条委員会ガイドラインの読込みをやっているブログがあったりする。

こちらの欧州委員会の今回の十分性に関するプレスリリースと、Q&A形式のファクトシートをちゃんと読んでいるんだろうか。

こちらの弁護士法人・三宅法律事務所の記事が見つけた限りでは唯一妥当な解釈をしていると個人的に考えている。

ポイントだけ引用する。

「日本が十分性認定を得れば、EU以外の十分性認定を取得していない第三国に個人データを『再移転』する場合は、GDPRの問題ではなく、日本法(個人情報保護法24条に基づく外国にある第三者への個人データの移転)の問題となります」

分かりやすく言えば、欧州個人データについて、日本は欧州の一部になったということだ。このことは欧州委員会サイトの十分性認定の決定についての解説にもある

“The effect of such a decision is that personal data can flow from the EU (and Norway, Liechtenstein and Iceland) to that third country without any further safeguard being necessary. In others words, transfers to the country in question will be assimilated to intra-EU transmissions of data.”

「そのような(十分性認定)決定の効果はEU(およびノルウェー、リヒテンシュタイン、アイスランド)からの個人データは、当該第三国にいかなる追加安全措置の必要なしに流通してよいということです。言い換えれば、当該国への移転はEU域内のデータ移動とみなされます」

日本が欧州個人データに関してEUの一部とみなされるかわりに、欧州個人データを日本からを第三国へ再移転する場合、日本はデータ輸出者になる。十分性認定のない第三国にデータ輸出する場合、日本の国内法にもとづいてGDPRのBCR、SCCに相当する手続きを整備する必要がある。

こちらのベーカー&マッケンジー法律事務所の2018/05/02のコラムが分かりやすい

“Although the EU standard clause contracts may not be required under this new adequacy regime (with its additional requirements), some form of contractual obligations will still need to be imposed upon the recipients of the personal data in Japan relying upon the regime. Companies will consequently need to create bespoke agreements or contractual provisions that can address the specific requirements in the Guidelines. In practice, companies will no longer need to worry about the EU standard clause contracts and so will have flexibility as to how the provisions in the Guidelines are incorporated. However, it will still leave companies with a burden to ensure that their agreements meet the specific requirements of the Guidelines, or be at risk that their data transfers from the EU to Japan be considered non-compliant with the adequacy requirements, and be in breach of the GDPR. ”

日本の個人情報保護法が新たにガイドラインを追加することで(with additional requirements)、その新たな十分性制度(new adequacy regime)の下ではEUのSCCは要求されなくなるかもしれないが、日本の欧州個人データ受領者は依然として何らかの形式の契約的な義務を課せられる。その結果、個人情報保護法の追加ガイドラインに対応するための同意や契約を新たに作成する(create)必要があるだろう、とのことだ。

EUのSCCは不要になり、「EUのSCCについてはもう心配する必要はなくなり、ガイドラインの規定にどう対応するかについて柔軟性が出てくる」ことになる。

重要なのは欧州委員会が十分性認定によって「いかなる追加安全措置の必要なしに流通してよい」としているのに対して、ベーカー&マッケンジーは十分性認定によっても、SCC相当の契約手続きがないとGDPR違反とされるおそれがあるとしている点だ。

筆者は欧州委員会の解説を採用する。十分性認定によって日本は欧州個人データについては欧州域内とみなされ、追加の安全措置は一切不要になるという考え方だ。

その結果、日本は欧州個人データの「域外」移転先ではなくなり、十分性認定を受けていない第三国に対しては欧州同様「輸出者」として、その第三国とSCC相当の契約を結ぶ必要が出てくる。

かつ、そのSCC相当の契約は日本の個人情報保護法と追加ガイドラインに基づく契約であり、EUのSCCではない。十分性認定によって日本は第三国への欧州個人データ移転については、GDPRの直接適用を受けなくなるからだ。

ところが日本政府が追加ガイドラインを施行するのは今秋(2018年秋)ごろなので、まだSCCに当たる契約ツールは公開されていない。日本政府が欧州委員会のように契約ツールを提要してくれるかどうかも分からない。

現時点で日本企業は欧州個人データを第三国へ移転する(=輸出する)とき、国内のSCCに相当するツールがないので実務上困ってしまう。

欧州委員会が2018/07/17に公開したファクトシートに書かれているように、十分性認定とは法制度が完全に一致していなくても「本質的な等価性」があれば、いかなる追加安全措置や許可なしに欧州個人データの移転を受けてよい。

もっと言えば、EUからすると「十分性認定したんだからこれからはお前のところの国内法でちゃんとやってくれ」ということだ。これも同ファクトシートに書かれている。

“Japan also agreed to establish a system of handling and resolution of complaints, under the supervision of the Japanese data protection authority (the Personal Information Protection Commission), to ensure that potential complaints from Europeans as regards access to their data by Japanese law enforcement and national security authorities will be effectively investigated and resolved.”

十分性認定後に日本が実施すべきこととして、個人情報保護委員会が日本のデータ保護機関となり、その監督の下で苦情処理のシステムを確立し、欧州個人からの苦情申し立てを日本の法律の執行と日本国内の情報セキュリティ機関が調査、解決する必要があるとしている。

欧州個人からの苦情申し立ても、日本国内法、日本国内の監督機関(=個人情報保護委員会)でやってくれ、という意味だ。

そもそもGDPRが第三国に治外法権を作り出そうというものではないのだから当たり前だ。他国の国内法に直接手をつっこむことができないのは当たり前なのだが、この当たり前を分からずに、まるでGDPRが日本国内の自然人・法人に「直接」適用されると勘違いしている人が多すぎる。

なので十分性認定を得た後でも、日本は十分性認定を得たがゆえにGDPRがより強く直接適用されると勘違いしている人が多い。

たとえばこちらの記事の最後にある「東京都内の弁護士」は、十分性認定によってGDPR対応が不要になるというのは誤解である、という誤解をしている。

十分性認定によってGDPR対応は不要となり、その代わりに国内法である個人情報保護法に追加されるガイドライン対応が必要になる、というのが正しい。ガイドラインでGDPR対応に「十分な」内容が追加されるからだ。

十分性認定を受けた後も日本の国内法が「不十分」であり、依然として国外法のGDPR対応が必要という見解は、上記の欧州委員会の説明やファクトシートと矛盾する。

十分性認定によって、欧州個人データについて日本は欧州域内とみなされ(assimilated to intra-EU transmissions of data)、一切の追加安全措置が不要になる(without any further safeguard being necessary)。

専門家でさえ誤解をしているのだから、日本のメディアが、あたかも欧州域内法であるGDPRが日本に「直接」適用され続けるかのように、つまり、欧州個人データについてだけは日本に治外法権ができるかのように、誤解を生む報道をするのは仕方ない。

【追記1】

日本企業の欧州現地法人がGDPRの「直接適用」を受けるのは、上記と同じ理屈だ。欧州域内の自然人・法人は欧州域内法の適用、十分性認定を受けた日本国内の自然人・法人は日本国内法(個人情報保護法プラス追加ガイドライン)の適用という考え方で整理できる。

しかし三宅法律事務所の上記コラムでは、欧州に拠点のない日本企業が欧州個人データを直接輸入して管理、処理する場合と、欧州域外の日本企業が欧州内の企業から欧州個人データの処理を受託する場合、GDPR上の管理者、処理者としての義務を負うとある。

しかしこの「域外適用」がどのようになされるのか書かれていない。「域外適用」の適用方法がBCR、SCCなら十分性認定の言う「いかなる追加の安全措置や許可なしに」と矛盾する。

十分性認定とは日本の国内法がGDPRと本質的な等価性を持つという認定なので、「域外適用」はGDPR上の管理者、処理者の義務を負うという意味ではなく、日本国内法上の管理者、処理者の義務を負うという意味である。

しかも今回の十分制認定は過去初めての「相互的 reciprocal」な十分性認定だ。

たとえ十分性認定があっても日本の自然人・法人が特定の場合だけ「域外適用」としてGDPR上の義務を負うのであれば、その同じ場合において、欧州の自然人・法人も日本個人データについて「域外適用」として日本国内法(個人情報保護法)上の義務を負うことになるが、この法解釈には無理がある。

今回の相互的十分性認定によって・・・

(1-A)欧州に拠点のない日本企業が欧州個人データを直接輸入(移転受け)して管理、処理する場合
(1-B)日本に拠点のない欧州企業が日本個人データを直接輸入(移転受け)して管理、処理する場合
(2-A)欧州域外の企業が欧州域内の企業から欧州個人データの処理を受託する場合
(2-B)日本国外の企業が日本国内の企業から日本個人データの処理を受託する場合

・・・これらすべてが無条件に認められなければ、相互的十分性認定とは一体何なのだろうか?

【追記2】
欧州委員会のこちらのGDPRの十分性の解説ページをご覧頂きたい。

十分性は国内法制度、または、国際的なコミットメントにより認められるとある。日本の場合は上記ファクトシートから分かるように国内法制度の追加整備(=個人情報保護法の追加ガイドラインのこと)による。

また十分性認定によって「いわば、該当の国への移転はEU域内のデータ移動であるかのようになる(be assimilated)」。つまり今後日本は欧州個人データの移転についてEU域内のデータ移動であるかのよになるだけでなく、欧州は日本個人データの移転について日本国内のデータ移動であるかのようになる。

かといって日本がGDPRに定められた義務を果たす必要がなくなるわけではないが、その義務は十分性認定の根拠にあるように、日本国内法で整備されているため、GDPRを直接参照するのではなく、日本国内法(個人情報保護法と追加ガイドライン)の適用を受けてその義務を果たすことになる。

日本国内の自然人・法人がGDPRの適用を受けるわけではなく日本国内の法制度の適用を受けるのである。

【追記3】

ベーカー&マッケンジーのこちらの『データ保護~日本と欧州間の十分性認定に関する重要な前進』というコラムの最後に、十分性認定後のSCCに代わるものについて記述がある。

「この十分性認定の(追加要求をともなう)新たな制度下で欧州SCCは求められないにもかかわらず、その制度に依拠して日本の個人データの受領者には依然として何らかの形式の契約的義務が課される。(日本の)企業はその結果、ガイドライン(訳注:個人情報保護法の追加ガイドライン)の具体的な要求に対応できるそれ専用の合意または契約上の規定を新たに作成する(create)必要があるだろう。実践的には、企業はもうEUのSCCについて心配する必要はなくなり、ガイドラインの定めをどのように具体化するかについて柔軟性を持つようになる」

要するにGDPRのSCC制度からは解放されるが、依然としてSCC相当の合意や契約ツールを新たに作らなければいけないと書いてある。十分性認定後、日本企業にGDPRが直接適用されることはなく、あくまで日本国内法が適用されるということだ。