国際企業グループが個人データを国境を越えて移転する際、法的・技術的な安全性をどのように担保するかは、近年ますます重要なテーマになっています。

その中核に位置づけられるのが「IGDTA（Intra-Group Data Transfer Agreement：グループ内データ移転契約）」ですが、前回のシリーズコラムでは、IGDTAを補充するものとしての「TIA（Transfer Impact Assessment：移転影響評価）」について解説しました。

今回は、TIAの結果として必要性が判明する「補完的措置」について、EDPB（欧州データ保護会議）の補完的措置に関するリコメンデーション（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data）（以下「リコメンデーション」と言います。）に基づいて解説します。

1. 補完的措置とは何か

国際企業グループが、グループ内で個人データを国境を越えて移転する目的でIGDTA（グループ内データ移転契約）を締結しているとします。IGDTAはEU域外移転のためのSCC（標準契約条項）を内包していることから、グループ内のEU域内拠点とEU域外拠点間でSCCが締結されていることになります。

すなわちグループ内の個人データのEU域外移転は、SCCに依拠することによって、GDPRの域外移転規制をクリアする建付けです。しかしながら、移転先国において国家当局による個人データへのアクセス権限（ガバメントアクセス）が存在する場合、移転先企業にSCC上の契約的義務を負わせるだけでは、個人データ侵害のリスクを除去することはできません。

補完的措置とは、TIA（移転影響評価） で判明した移転先国のそのようなリスクを軽減するために、個人データの移転元企業または移転先企業が追加で講じる技術的・契約的・組織的措置を指します。

すなわち補完的措置とは、SCCが形式的に締結されることに終わらず、移転先企業において、実質的にEU基準と同等の保護が確保されていることを担保するための措置といえます。

2.TikTok事件

補完的措置の重要性は、TikTok社に対するアイルランド当局の制裁事案（2023–2024）によって明確に示されました。TikTok社はEUから中国への個人データ移転に関してSCCを締結していましたが、アイルランド当局は以下の理由からGDPRの保護水準を満たさないと判断しました。

① 移転先国（中国）の政府アクセスリスクの考慮不足（TIA不備）

中国の国家情報法などによる広範な政府アクセス権限を踏まえた十分なリスクアセスメントが実施されていないとされました。

② 技術的措置が実効的でない

暗号化自体は存在するものの、復号鍵管理の不備もあり、ガバメントアクセスを防御するための技術的補完措置が不十分とされました。

③ 組織的措置（政府アクセス要求対応手続）が不十分

ガバメントアクセスに対する透明性のある対応フローやデータ主体への通知体制の整備が不十分とされました。

結果として、アイルランド当局は、制裁金5億3千万ユーロ（約870億円）の支払い、TIAの再実施、暗号管理・アクセス制御等の補完的措置の強化を命じました。

このケースから得られる教訓としては、EU域外移転規制をクリアするにはSCC締結のみでは必ずしも十分ではなく、必要な補完的措置が不足していればGDPR違反と判断され、厳しい制裁を課され得るという事実です。

3. 補完的措置の例

リコメンデーションで取り上げられている補完的措置の例を以下、順に解説します。

（1）技術的措置

補完的措置は、技術的措置が中核となるところ、リコメンデーションは、①暗号化と復号鍵の管理、②仮名化と再識別情報の管理、③分割・分散処理を例としてあげています。

①	暗号化と復号鍵の管理	データを暗号化したまま第三国に移転し、暗号鍵をEU域内に留めることにより、受領者や第三国政府が復号できない状態を作る措置です。
②	仮名化と再識別情報の管理	個人識別子を仮名化データに置き換え、再識別に必要な追加情報（再識別情報）をEU側で厳格に管理することで、第三国では個人を特定できない状態を作る措置です。
③	分割・分散処理	個人データを複数の受領者用に分割して、受領者がそれぞれ分散して処理することにより、いずれの受領者も単独では当該個人データを復元または識別できない状態を確保する技術的措置です。

リコメンデーションは、これらの措置は常に有効な補完的措置となるものではなく、特定のユースケースでの文脈において有効となるとしています。以下、リコメンデーションが取り上げているユースケースを順に解説します。

ユースケース 1：第三国のデータストレージにデータを移転する場合

データを強力に暗号化したうえで第三国に移転し、暗号鍵をEU域内に留めることが有効な補完的措置となり得ます。第三国の受領者は復号できませんが、データストレージの役割を果たすうえでは支障ありません。一方、第三国政府がアクセスしても、復号して解読することができません。ガバメントアクセスを技術的に無効化する典型例です。

ユースケース 2：第三国で仮名化データを処理するためにデータを移転する場合

仮名化したデータを第三国に移転し、再識別情報をEU側に保持するケースです。第三国の受領者は、仮名化データのまま処理して分析結果を移転元に返すことができます。再識別可能性については、慎重に吟味する必要がありますが、再識別情報なしでは個人を特定不能と評価できる場合には、仮名化と再識別情報の管理が有効な補完的措置となり得ます。

ユースケース 3：最終的な移転先とは別の第三国を経由する場合

暗号化して個人データを送付する一方、復号鍵は別の経路で当該中継第三国を迂回して最終的な移転先に送ることが有効な補完的措置となり得ます。

ユースケース 4：移転先が、医療機関や弁護士のような職業上の守秘義務や秘匿特権により現地法上守られている場合

当該第三国の法制度の下で特別に保護されている受領者への移転のケースです。特別に保護されている当該受領者以外の処理者が介在しない場合には、暗号化と復号鍵の管理が有効な補完的措置となり得ます。復号鍵を当該受領者に安全に渡して管理させることが必要です。

ユースケース 5：複数の法域に所在する複数の受領者にデータを分散処理させる場合

分割・分散処理が有効な補完的措置となり得ます。個人データを分割し、いずれの受領者も単独では個人を特定できない構造とし、第三国で意味のある個人データとして復元できないよう設計する必要があります。

以上に対し、リコメンデーションは、BPO（ビジネス プロセス アウトソーシング）やコールセンターを第三国で実施させる場合、あるいは第三国のSaaS事業者がサービス提供のために平文データを処理する場合には、暗号化や仮名化を行うと業務が成立しませんので、必ずしも暗号化や仮名化が有効な補完的措置とはなり得ないとしています。

（2）契約的措置

リコメンデーションは、上記のような技術的措置に加えて、以下のような義務や権利等を定めた契約を当事者間で締結することが、補完的措置として有効としています。

契約条項の例

• 政府当局からのデータ開示要請を受けた場合の法的に許される限りでの通知義務
• 開示要請の合法性・必要性・範囲を検討し、不当・過度な要請には可能な限り争う義務
• 開示が必要な場合でも、対象データを必要最小限に限定する義務
• 政府アクセスや開示要請に関する通知義務
• 第三国の法制度や実務運用に関する情報提供義務
• 補完的措置の実装状況に関する監査の受忍義務
• 再委託（サブプロセッサ利用）の制限または事前に承認を得る義務
• 契約違反時の是正措置、契約解除、責任に関する条項

（3）組織的措置

リコメンデーションは、補完的措置を一時的・形式的な対応に終わらせず、継続的に機能させるために、以下のような組織的措置を受領者の社内規程等で規定し整備することが有効としています。

組織的措置の典型例

• 当局からの開示要請に対応するための社内ポリシー、手順マニュアルの整備
• 当局からの開示要請に対応するための社内の役割分担、意思決定、エスカレーション体制の明確化
• 従業員に対する定期的な教育・訓練の実施
• 個人データへのアクセス権限の最小化
• アクセスログ・操作ログの取得および保存
• 内部監査や自己点検の実施
• 第三国の法制度や実務の変化を踏まえたTIAの定期的更新
• 補完的措置の実装状況の文書化・記録管理

以上がTIAの結果として必要性が判明する「補完的措置」について、EDPB（欧州データ保護会議）の補完的措置に関するリコメンデーションに基づいての解説でした。