個人データの保護のEUレベルへの準拠を確実にするために転送ツールを補足する措置に関する勧告

2020年11月10日採択

Recommendations 01/2020 on measures that
supplement transfer tools to ensure compliance with
the EU level of protection of personal data

エグゼクティブサマリー

EU一般データ保護規則(GDPR)は、個人の基本的な権利と自由、特に個人データの保護に対する権利を維持しながら、欧州連合内での個人データの自由な流れを促進するという2つの目的を果たすために採用されました。

最近の判決C-311 / 18(Schrems II)で、欧州連合司法裁判所(CJEU)は、欧州経済領域(EEA)の個人データに付与された保護は、どこに行ってもデータと一緒に移動する必要があることを思い出させます。個人データを第三国に転送することは、EEAで提供されている保護を弱体化または弱体化させる手段にはなり得ません。

裁判所はまた、第三国の保護レベルがEEA内で保証されているものと同一である必要はないが、本質的に同等である必要があることを明確にすることによってこれを主張します。更に、第三国に転送されるデータに対して契約上本質的に同等のレベルの保護を保証するのに役立つ可能性のある転送ツールとして、標準的な契約条項の有効性を支持します。GDPR第46条に記載されている標準の契約条項やその他の転送ツールは、孤立した状態では機能しません。裁判所は、輸出業者として機能する管理者または加工業者が、ケースバイケースで、必要に応じて、第三国の法律または慣行が違反しているかどうかを第三国の輸入業者と協力して検証する責任があると述べています。

第46条GDPR転送ツールに含まれる適切なセーフガードの有効性について。そのような場合でも、裁判所は、輸出業者が保護のこれらのギャップを埋め、EU法で要求されるレベルまで引き上げる補足措置を実施する可能性を残しています。裁判所は、これらがどの措置である可能性があるかを特定していません。ただし、裁判所は、輸出業者がケースバイケースでそれらを特定する必要があることを強調しています。これは、管理者が責任を負い、個人データの処理に関連するGDPRの原則に準拠していることを実証できることを要求する第5.2条GDPRの説明責任の原則に沿ったものです。

輸出業者(管理者または処理者、民間団体または公的機関、GDPRの適用範囲内で個人データを処理する)が、第三国を評価し、必要に応じて適切な補足措置を特定するという複雑なタスクを支援するために、欧州データ保護委員会( EDP​​B)はこれらの推奨事項を採用しています。これらの推奨事項は、輸出業者に、従うべき一連のステップ、潜在的な情報源、および実施できる補足措置のいくつかの例を提供します。

最初のステップとして、EDPBは、輸出業者に転送を知るようにアドバイスします。個人データのすべての転送を第三国にマッピングすることは、困難な作業になる可能性があります。ただし、個人データがどこに処理される場合でも、本質的に同等のレベルの保護が提供されるようにするには、個人データの行き先を認識する必要があります。また、転送するデータが適切で、関連性があり、第三国への転送および第三国での処理の目的に関連して必要なものに限定されていることを確認する必要があります。

2番目のステップは、第V章GDPRにリストされているものの中で、転送が依存している転送ツールを確認することです。欧州委員会が、データを転送する国、地域、またはセクターを、GDPR第45条または以前の指令95/46に基づく適切性の決定のいずれかを通じて、決定がまだ有効である限り、適切であるとすでに宣言している場合、妥当性の決定が引き続き有効であることを監視する以外に、これ以上の手順を実行する必要はありません。適切性の決定がない場合、定期的かつ反復的な転送については、GDPR第46条に記載されている転送ツールの1つに依存する必要があります。条件を満たしている場合に限り、GDPR第49条に規定されている委任のいずれかに依存できるのは、不定期で非反復的な転送の場合のみです。

3番目のステップは、特定の転送のコンテキストで、依存している転送ツールの適切な保護手段の有効性に影響を与える可能性のある、第三国の法律または慣行に何かがあるかどうかを評価することです。評価は主に、転送に関連し、信頼している第46条GDPR転送ツールであり、その保護レベルを損なう可能性のある第三国の法律に焦点を当てる必要があります。監視の目的で公的機関によるデータへのアクセスを扱う第三国の法律を評価する際に考慮すべき要素を評価するために、EDPB欧州必須保証勧告を参照してください。特に、公的機関によるデータへのアクセスを管理する法律が曖昧であるか、公に利用可能でない場合は、これを慎重に検討する必要があります。公的機関が個人データにアクセスする可能性のある状況を規定する法律がない場合でも、転送を続行する場合は、公的機関の可能性などの主観的な要因に依存せずに、他の関連する客観的な要因を調べる必要があります。 ‘EU基準に準拠していない方法でデータにアクセスする。この評価は、デューデリジェンスを使用して実施し、徹底的に文書化する必要があります。これは、それに基づいて行う可能性のある決定に対して責任を負うためです。

4番目のステップは、転送されたデータの保護レベルをEUの本質的同等性基準まで引き上げるために必要な補足措置を特定して採用することです。この手順は、第46条GDPR転送ツールの有効性に第三国の法律が影響を及ぼしていることが評価で明らかになった場合、または転送のコンテキストで依存する予定の場合にのみ必要です。これらの推奨事項には、効果を発揮するために必要な条件のいくつかを含む補足措置の例の非網羅的なリストが含まれています。第46条の移転ツールに含まれる適切な保障措置の場合と同様に、一部の国ではいくつかの補足措置が有効である可能性がありますが、必ずしも他の国では有効ではありません。あなたは、譲渡の文脈でそれらの有効性を評価する責任があり、あなたが依存している第三国の法律と譲渡ツールに照らして、あなたが下した決定に対して責任を負います。これには、いくつかの補足的な手段を組み合わせる必要がある場合もあります。最終的には、特定の転送に対して本質的に同等のレベルの保護を保証できる補足的な手段がないことに気付く場合があります。補足措置が適切でない場合は、個人データの保護レベルを損なうことを避けるために、転送を回避、一時停止、または終了する必要があります。また、この補足措置の評価を十分な注意を払って実施し、文書化する必要があります。

5番目のステップは、信頼している第46条GDPR転送ツールに応じて、補足措置の採用に必要となる可能性のある正式な手続き上のステップを実行することです。これらの推奨事項は、これらの手続きを指定します。それらのいくつかについては、管轄の監督当局に相談する必要があるかもしれません。

6番目の最後のステップは、適切な間隔で、第三国に転送するデータに与えられた保護のレベルを再評価し、それに影響を与える可能性のある開発があったかどうかを監視することです。説明責任の原則は、個人データの保護レベルの継続的な警戒を必要とします。

監督当局は、GDPRの適用を監視し、それを実施するという権限を引き続き行使します。監督当局は、輸出業者が転送するデータに本質的に同等のレベルの保護が提供されることを保証するためにとる行動に十分な配慮を払います。裁判所が想起するように、監督当局は、調査または苦情の結果、本質的に同等のレベルの保護が保証できないと判断した場合、データ転送を一時停止または禁止します。
監督当局は、EUデータ保護法の適用の一貫性を確保するために、輸出業者向けのガイダンスを作成し、EDPBでの行動を調整し続けます。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ