TMIプライバシー＆セキュリティニュース10月号より

　2022年12月末にGDPRの新SCCへの切替期限が迫っています。今回は新旧のSCCを比較しながら、新SCCの変更点や対応方法について解説していきます。

　スケジュール

　こちらのスケジュールをご覧ください。新SCCは、2021年6月27日に発効しています。したがって、2021年6月27日以降、新規に締結するSCCは新旧両方とも使用できる状態でした。2021年9月27日で旧SCCは廃止となりましたので2022年11月現在、新規にSCCを締結する企業は、旧SCCを使用することはできません。必ず新SCCを使用して越境移転規制をクリアする必要があります。

　多くの企業はGDPR施行後、旧SCCで様々な越境移転のデータ保護について締結済みの状態かと思いますが、2022年12月27日で旧SCCが失効することになります。

　つまり締結済みの旧SCCに基づき締結している既存のSCCを新SCCに基づき再締結し、旧SCCから新SCCへの締結に差し替える必要が出てきます。

　この点、旧SCCに記載した内容を新SCCのフォーマットに形式的に書き換えるだけなら多くの工数を要しません。しかし、新旧のSCCに改訂された際に、実質的な変更点がいくつかありますので、その点に注意しながら書き換えを行う必要があります。
　この実質的な変更点を中心に詳しく見てまいります。

　新SCCの変更点①

　旧SCCと新SCCでは、データフローの類型が変わっています。旧SCCでは、C to CとC to Pの2パターンだけでしたが、新SCCではC to CとC to Pに加えて、P to PとP to Cもカバーしています。既に旧SCCで締結済みの企業は、P to PとP to Cが漏れている状態になってしまうわけです。そのため、あらためて、データマッピングを行い、EUからEU外への越境データフローの中でP to PとP to Cのパターン（図の③、④を参照）があれば補足しなくてなりません。

　新SCCの変更点②

　旧SCCのDPA＝データ処理契約では、GDPRの要求事項を満たしているDPAのひな形が存在しなかったので、手作りで（TMI総合法律事務所が）GDPR28条3項を参照しながら作成していました。新SCCは、P to PとP to Cの2つのモジュールのケースにおいて、GDPR28条3項の必要的記載事項が盛り込まれた形でリリースされています。

　そうするとDPAの締結は、別途のDPAを締結する必要はなく、新SCCでカバーできるということになります。そのため、手作りしていた締結済みの旧DPAを新SCCに1本化するという方法を採用することが可能ということです。

　また、新SCCとは別に、DPAのひな形であるstandard contractual clauses between controllers and processorsがリリースされていますので、このDPAのひな形を今後使用するという方法もあります。

　さらには、GDPRに準拠している限りにおいて旧DPAの継続使用も許容されてますので、今後は、管理上どの方法が簡便かという観点でこの3パターンを選択することになります。1つの有力な選択肢は旧DPAを廃止して、新SCCに切り替えて1本化する方法です。

　新SCCの変更点③

　こちらの変更点③は安全管理措置を記載するSCCの別紙部分になります。ここは、SCCのひな形ではブランクになっていて企業の皆様が個人情報管理に関する実装の実態に応じて記載する箇所になります。旧SCCは、C to Pの場合、データインポーターであるプロセッサーの技術的、組織的安全管理措置の記載が必須でした。

　一方で、C to C、例えばグループ間でのEUの拠点から日本の本社の場合には、移転先のコントローラーの安全管理措置の記載は任意的記載事項でした。しかし、新SCCではC to Cの場合も移転先であるコントローラーについての安全管理措置の記載が必須になりました。

　先に例に挙げたグループ内での移転も安全管理措置の記載が必要になりますので、旧SCCでは記載が無かった企業も新SCCでは記載が必要になっていますので注意が必要です。

　なお、安全管理措置の記載について、旧SCCでは、どの程度記載するべきか特にルールがありませんでした。他方で、新SCCでは、記載内容のサンプルが示されていますので、新SCCの変更点④をご覧ください。

　新SCCの変更点④

このように記載例が例示的に列挙されていますので、記載の粒度の参考になるでしょう。

　日本の個人情報保護法では、令和2年改正法対応の一環として、個人情報保護法のガイドラインを見ながら、人的安全管理措置、組織的安全管理措置、技術的安全管理措置の観点から簡潔にまとめるという作業をしましたが、まさにこの作業内容は、新SCCの作成においても活かされることになります。

さらに記載例が続きます。

　新SCCの変更点⑤

旧SCCと比べ、技術的、組織的安全管理措置の記載を充実させるという内容になっています。

次に、新SCCの変更点⑥です。こちらが最も大きな変更点です。

　新SCCの変更点⑥

　ポイントは「データ移転影響評価」になります。データ移転が、いかにプライバシーに影響を与えるかということを評価（＝アセスメント）しましょうという内容が新SCCに盛り込まれました。

「新SCCにおいては、SCCの遵守に影響を与え得る移転先の法令及び運用について検証し、SCCのみでは十分なデータ保護を確保できない場合には補完的措置実施」

　この記載を見て日本企業の皆様は、個人情報保護法の令和2年改正法対応の苦労を思い出されるのではないでしょうか。まさに令和2年改正では、移転先の国で発生するガバメントアクセスリスクを評価をして、それに対してどうプライバシー・リスクを担保するかの説明義務が盛り込まれました。この改正の大元（＝起源）は、GDPRにおける新SCCにおけるデータ移転影響評価なのです。

具体的なデータ移転影響評価のプロセスは、

①域外移転に係る状況を把握する
これは、どのような域外移転が起こっているのか、データフローを把握します。

②域外移転の根拠の特定
ここでは、十分性認定なのか？SCCなのか？この場合は、SCCを根拠としてデータ移転影響評価を実施します。

　新SCCの変更点⑦

　③移転先において、EU域内と同水準のデータ保護を阻害する法律及び運用が存在しないか確認
例えば、ある国にガバメントアクセスを許容する根拠法があるとします。その場合は、法律を特定して、どのようなリスクがあるか吟味、評価する必要があります。その具体的な内容が（ⅰ）（ⅱ）（ⅲ）に記載されてます。

　上記を「データ移転影響評価書」の形式でレポートとして取りまとめておくこと、これがデータ移転影響評価の最終成果物となるわけです。

　日本企業においては、このリスクアセスメントの手続きやレポートの作成に必ずしも馴染みがあるわけではありませんので、専門の弁護士に依頼されることも多い状況です。

　次回のコラムでは「日本の個人情報保護法のPIA」について解説します。今回のデータ移転影響評価と極めて密接に絡み、参考とすべき内容ですので併せてご覧ください。