国際企業グループが個人データを国境を越えて移転する際、法的・技術的な安全性をどのように担保するかは、近年ますます重要なテーマになっています。
その中核に位置づけられるのが「IGDTA(Intra-Group Data Transfer Agreement:グループ内データ移転契約)」ですが、前2回のシリーズコラムでIGDTAの概要と法的構成について解説しました。
今回は、IGDTAを補充するものとしての「TIA(Transfer Impact Assessment:移転影響評価)」について解説します。
IGDTA(グループ内データ移転契約)コラムシリーズ一覧
第1回 IGDTAとは何か グローバル企業が注目する「グループ内データ移転契約」
第3回 IGDTA(グループ内データ移転契約)とTIA(移転影響評価)を解説
目次
1. TIA(移転影響評価)とは
一般にTIAとは、個人データを国外に移転する際に、移転先国の法制度や政府アクセスのリスクを分析し、その結果に基づいて追加的な保護措置(技術的・組織的措置)を講じることを目的とした評価手続きをいいます。
TIAでは、移転先国の個人データ保護法の内容、政府による個人データへのアクセス権限の存否、個人データ保護に関する司法的救済の可否などを調査します。
2.EUにおけるSchrems II判決(シュレムス・ツー判決)とは
TIAが注目されるようになった契機としては、2020年7月16日の欧州司法裁判所(CJEU)によるSchrems II判決をあげることができます(事件番号 C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd and Maximillian Schrems)。
以下、同判決について解説します。
(1)背景:EUから米国へのデータ移転制度「Privacy Shield Framework」
GDPR45条では、欧州委員会が「十分性認定(Adequacy Decision)」を与えた国へのデータ移転は自由に行えると定めています。
同条に基づいて、欧州委員会は米国が策定した「Privacy Shield Framework」をEUから米国への個人データを可能にする制度として認定していました。
しかし、オーストリアのプライバシー活動家マクシミリアン・シュレムス氏(Max Schrems)は、米国の監視制度によりEU市民の個人データが不当にアクセスされるおそれがあると主張し、Facebook Irelandによる米国への個人データ移転の適法性を争いました。
(2)判決の要旨
欧州司法裁判所は、次の2点を明確にしました。
①Privacy Shieldの無効化
米国の監視制度に基づく情報収集は、EU市民のプライバシー権を十分に保障していないと認定し、Privacy Shield Frameworkは無効とされ、同制度を根拠にEUから米国への個人データ移転をすることはできなくなりました。
②標準契約条項(SCC)の有効性を確認
一方、EU委員会が定めたSCC(旧SCC)自体は有効としつつ、SCCに基づく個人データ移転を行う際には、移転先国の法制度・政府アクセスの実態を調査し、必要に応じて補完的措置を講じることが必要であると判示しました。
同判決を受けて、EUの2021年版新SCCでは、14条において「移転者(データ輸出者)および受領者(データ輸入者)の双方が、移転先国の法制度等を調査する義務」が明文化されました。
関連記事
世界のデータ保護規制 最新アップデート 第1回 米国テキサス州SB2420(アプリストア責任法)…..続きを読む
3. EU標準契約条項(SCC)14条における調査義務
EUの2021年版新SCCの14条a項は、データ輸出者およびデータ輸入者は、知る限りにおいて、移転先国の法律および実務が、SCCが規定するデータ輸入者の義務の履行を妨げるものではないことを保証することを求めています。また同条b項は、同保証をするにあたって、次の事項を十分に考慮したことを宣言することを求めています。
- 移転の具体的な状況(処理の連鎖の長さ、関与する主体の数、使用される伝送経路、予定されている再移転、受領者の種類、処理の目的、移転される個人データのカテゴリーや形式、移転が行われる経済分野、移転されたデータの保存場所)
- 移転先国の法律および実務(移転の具体的な状況、適用される制限や保護措置に照らして関連する、当局へのデータの開示または当局によるアクセスを認める法律や実務)
- SCCに基づく保護措置を補完するために講じられている契約上、技術上、または組織上の保護措置(データの伝送中に適用される措置や、移転先国で個人データを処理する際に適用される措置)
これは、TIAの実施をSCC締結前に要求するものといえます。このTIAを実施して初めて、SCCに基づいたデータ移転が適法に行えることになります。
4. 各国でTIA(移転影響評価)の実施が要求される動き
現在、以下のように、EU以外でもTIAの実施が求められる国または地域が増えています。各国当局が「越境移転に際して移転先国のリスク評価を求める」傾向が明確になっています。
- 英国(UK GDPR):UK GDPR版SCCを使用する際、EU GDPR版SCCと同様にTIAの実施が義務づけられています。
- 中国(中国個人情報保護法):越境移転を行う場合、TIAの実施および当局への提出が要求されています。
- ベトナム・マレーシアなどでも、法令上またはガイドライン上でTIAの実施を要求しています。
5. IGDTA(グループ内データ移転契約)とTIA(移転影響評価)の関係
IGDTAとTIAは、いずれも越境データ移転を適法かつ安全に実施するための仕組みですが、それぞれ異なる役割を持ち、いわば二層構造となっています。
まずIGDTAは、企業グループ全体で統一的にデータ移転を管理するための契約上の枠組みを提供します。すなわち、どのような目的でデータを移転し、どの拠点がどの役割を担い、どのような技術的・組織的安全管理措置を講じるかといった、移転に関する基本ルールを明確に定めるものです。
一方でTIAは、こうした契約上のルールが実際に移転先の国や地域で有効に機能するかどうかを検証する評価プロセスです。移転先国の個人情報保護法、当局によるアクセス権限、データ主体の救済手段の実効性などを確認し、契約で定めた義務が履行可能かどうかを見極めます。
このように、IGDTAは「契約という形式的な枠組み」を提供し、TIAはその枠組みが「実質的に有効に機能しているかを確認する評価」として機能します。両者を組み合わせることで、企業は越境データ移転について、形式的な適法性と実質的な安全性の双方を確保することができます。結果として、IGDTAとTIAは相互に補完し合い、企業の国際的なデータガバナンスを支える基盤となるのです。
海外データ保護法対応ならTMI
TMIプライバシー&セキュリティコンサルティングとTMI総合法律事務所では、海外データ保護法対応が可能です。
また、GDPR対応の法的サービスの領域は、プライバシーポリシーの作成、個人情報管理規程の作成、SCC及びDPAの作成などTMI総合法律事務所がサービス提供しております。
また、GDPRはじめ、世界各国の個人情報保護法対応の法的側面と技術的側面図をワンストップで提供しておりますので、世界各国の個人情報保護法対応を計画している企業の法務担当者・情報完了担当者の方は、お気軽にお問い合わせください。
関連記事
日本企業も対応が必要な中国個人情報保護法をわかりやすく解説…..続きを読む
TMIP&S コラム記事一覧
記事や動画の一覧は、こちらからご覧ください…..一覧を見る
TMIプライバシー&セキュリティコンサルティング 代表
TMI総合法律事務所 パートナー弁護士
クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバーセキュリティの各産業分野における実務を専門とし、個人情報保護法に適合したDMP導入支援、企業へのサイバーアタック、情報漏えいインシデント対応、国内外におけるデータ保護規制に対応したセキュリティアセスメントに従事。セキュリティISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を歴任する。自分達のサービスがクライアントのビジネスにいかに貢献できるか、価値を提供できるかに持ちうる全神経を注ぐことを信条とする。
TMI総合法律事務所 弁護士
京都大学理学部にて原子核物理学を専攻し、マサチューセッツ工科大学スローンスクールにてファイナンス&応用経済学修士号を取得。日系大手証券会社と米国系インベストメントバンクにて長年金融デリバティブ部門でキャリアを積んだのち、TMI総合法律事務所に参画。個人情報その他のデータ関係の法務に専門性を有し、各国個人情報保護法に精通する。