企業グループの国際展開が進むなかで、グループ内での個人データ移転を適法に行うための契約枠組みとして「IGDTA(Intra-Group Data Transfer Agreement:グループ内データ移転契約)」が広く用いられるようになっています。
その契約内容は、各国の個人データ保護法に準拠した法的設計と、グループ内の個人データ移転の実態に即した運用ルールの両方を兼ね備える必要があります。今回は、実務的観点から、IGDTAの契約書がどのような構成で成り立っているのかを整理してご紹介します。
IGDTA(グループ内データ移転契約)の構成の例
| 共通条項 | 定義・目的条項、個人データ移転の条件、責任分担と監視権限等 |
| 付属文書 | (1)グローバル共通セキュリティ基準 |
| 付属文書 | (2)対象データの移転経路一覧(Data Flow Matrix) |
| 付属文書 | (3)EU GDPR版SCC |
| 付属文書 | (4)UK GDPR版SCC |
| 付属文書 | (5)中国版SCC |
| 付属文書 | (6)ASEAN MCC |
| 付属文書 | (7)その他DTA |
IGDTA(グループ内データ移転契約)コラムシリーズ一覧
第1回 IGDTAとは何か グローバル企業が注目する「グループ内データ移転契約」
第2回 IGDTA(グループ内データ移転契約)の構成
目次
1. IGDTAの全体構成
IGDTAは一般的に、「共通条項」と「付属文書」から構成されます。
共通条項では、グループ全体に共通する基本的なルール(定義、目的、個人データ移転の条件、責任の分担、監査権限など)を定め、付属文書では、具体的な個人データ移転を特定し、各国の個人情報保護法に基づくSCC(標準契約条項)の適用条項、グローバル共通のセキュリティ基準などを記載します。
2.基本的な共通条項
IGDTAの基本的な共通条項は、以下のような内容でまとめられることが多いです。
(1)定義・目的条項
契約全体で用いる用語を統一的に定義します。特に「個人データ」「処理(processing)」「管理者(controller)」「処理者(processor)」などはGDPR等の定義を踏まえ、明確に記載します。
また、契約の目的として「グループ内における個人データの安全な越境移転を確保すること」「関連法令を遵守し、グループ全体のデータ保護水準を維持すること」などを記載します。
(2)個人データ移転の条件
どのような条件でデータ移転が行われるかを定めます。
具体的には、個人データ移転の目的、範囲、当事者の役割(管理者間の移転なのか、管理者から処理者への移転なのか)を整理し、データ主体の権利を確保するための共通ルールを設けます。
ここでは「移転の正当性」、すなわち移転の法的正当化根拠、「個人情報の収集・利用の目的に応じた必要最小限の取扱いの原則」、「プライバシーポリシーにより定められた利用目的の範囲外の利用制限」など、個人データ移転の基本原則を規定します。
(3)責任分担と監査権限
グループ内のどの会社がどのような責任を負うかを明確にします。
親会社が統括管理者として全体のガバナンスを担うケースや、各社が独立した管理者として相互に責任を負うケースなど、グループの実態に応じて構成します。
さらに、監査権限の所在(通常は統括管理者たる親会社)についても明記し、グループ内のデータ処理状況を監査・検証できる体制を確立します。
(4)苦情対応・事故対応
データ主体(本人)からの問い合わせや苦情への対応体制を定めます。どの会社が窓口となるか、どのように対応をエスカレーションするか、当局への報告手順をどのように定めるかを規定します。
(5)準拠法・紛争解決条項
GDPRその他各国個人情報保護法を前提にした契約であっても、どの国の法を準拠法とするかを定める必要があります。
多くの場合、親会社の所在国の法律を選択し、紛争解決はその国の裁判所の専属管轄とする例が一般的です。
ただし、EU SCCや一部のDTAでは、準拠法や管轄裁判所が明示的に指定されている場合があり、IGDTA内での整合性を保つことが重要です。
関連記事
世界のデータ保護規制 最新アップデート 第1回 米国テキサス州SB2420(アプリストア責任法)…..続きを読む
3. 付属文書の例
IGDTAの付属文書として、次のような書類が添付されるのが通例です。
(1)グローバル共通セキュリティ基準
グローバル共通セキュリティ基準とは、国内外のグループ会社に共通に適用されるべき最低限のセキュリティ基準です。「グローバルセキュリティ規程」として定められる場合もあります。これらの基準や規程を付属文書として添付することがよく見られますが、付属文書とはせずに別途独立した文書として作成し、IGDTAから当該文書を参照する形式にすることもあります。
どちらの形式をとるにせよ、グループ内のデータ移転が、グローバル共通セキュリティ基準(または規程)を遵守した形で行われていることが可視化できます。
(2)対象データの移転経路一覧(Data Flow Matrix)
どの国のどの会社間で、どのような種類のデータが移転されているかを一覧化した表です。
(3)EU GDPR版SCC
GDPRに基づくEU域外移転の合法化手段として、欧州委員会が定めた標準契約条項です。
(4)UK GDPR版SCC
英国のEU離脱に伴い、英国当局であるInformation Commissionが定めた独自の標準契約条項です。EU GDPR版SCCを修正する形式の「UK Addendum」と独立した契約条項である「International Data Transfer Agreement(IDTA)」の2種があり、いずれかを使用します。付属文書としてEU GDPR版SCCと同時に使用する場合は、UK Addendumを使用することが便宜です。
(5)中国版SCC
中国国家インターネット情報弁公室が定めた中国版の越境移転の標準契約条項です。
(6)ASEAN MCC
ASEANデジタル大臣会合で承認された越境移転の共通モデル契約条項(MCC; Model Contractual Clauses)です。タイなどで、越境移転を適法化する契約として利用可能です。
(7)その他DTA
独自に定めた標準契約条項を持たないものの、各国の個人情報保護法の要求に基づく内容のDTA(Data Transfer Agreement)を締結することにより、域外移転が適法化される国(シンガポールなど)があります。そのような国をカバーするためには、各国の個人情報保護法の要求に基づいて作成するオリジナルのDTAを利用することになります。
これらの付属文書は、実務上は最も頻繁に更新される部分です。すなわち、各国法改正、SCCの改訂、セキュリティ技術の変化等に応じて、少なくとも年1回アップデートを行うことが望まれます。
海外データ保護法対応ならTMI
TMIプライバシー&セキュリティコンサルティングとTMI総合法律事務所では、海外データ保護法対応が可能です。
また、GDPR対応の法的サービスの領域は、プライバシーポリシーの作成、個人情報管理規程の作成、SCC及びDPAの作成などTMI総合法律事務所がサービス提供しております。
また、GDPRはじめ、世界各国の個人情報保護法対応の法的側面と技術的側面図をワンストップで提供しておりますので、世界各国の個人情報保護法対応を計画している企業の法務担当者・情報完了担当者の方は、お気軽にお問い合わせください。
関連記事
日本企業も対応が必要な中国個人情報保護法をわかりやすく解説…..続きを読む
TMIP&S コラム記事一覧
記事や動画の一覧は、こちらからご覧ください…..一覧を見る
TMIプライバシー&セキュリティコンサルティング 代表
TMI総合法律事務所 パートナー弁護士
クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバーセキュリティの各産業分野における実務を専門とし、個人情報保護法に適合したDMP導入支援、企業へのサイバーアタック、情報漏えいインシデント対応、国内外におけるデータ保護規制に対応したセキュリティアセスメントに従事。セキュリティISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を歴任する。自分達のサービスがクライアントのビジネスにいかに貢献できるか、価値を提供できるかに持ちうる全神経を注ぐことを信条とする。
TMI総合法律事務所 弁護士
京都大学理学部にて原子核物理学を専攻し、マサチューセッツ工科大学スローンスクールにてファイナンス&応用経済学修士号を取得。日系大手証券会社と米国系インベストメントバンクにて長年金融デリバティブ部門でキャリアを積んだのち、TMI総合法律事務所に参画。個人情報その他のデータ関係の法務に専門性を有し、各国個人情報保護法に精通する。