Loading…
2020年7月16日のCJEU(EU司法裁判所)によるSchrems II判決は、EU-USプライバシーシールドを無効とし、標準契約条項(SCC)は原則として依然有効であるものの、移転先国の法がその提供する保護を損なう場合には依拠できないことを明確にしました。管理者および処理者は、各移転について移転影響評価(TIA)を実施しなければなりません。
EDPBの勧告01/2020は6ステップの手法を定めています。適切に実施されたTIAは、移転、移転先国の法制、適用した補完的措置、および結論を文書化し、監査において防御可能なものとなります。不十分に実施されたTIAは、執行の前に崩れ去る形式的なチェック作業にすぎません。
2023年のEU-USデータプライバシーフレームワーク(DPF)は、認証された米国の輸入者への移転について十分性を回復しました。しかし、それはすべての移転をカバーするわけではなく、再び異議を申し立てられる可能性があり(Schrems IIIが提起されています)、米国以外への移転の大半は依然としてTIAを要するSCCに依拠しています。
この事件(C-311/18)はプライバシーシールドを無効とし、SCCの利用者に警鐘を鳴らしました。CJEUは次のように判断しました。
実務的には、SCCだけでは十分ではありません。TIAは、貴社がその作業を行ったことを示す文書による証拠です。
把握していないものをTIAの対象にすることはできません。次のものをインベントリ化してください。
第30条のROPAを出発点として利用しつつ、実際のインフラと照合して検証してください。クラウドプロバイダーは、既定でEEA域外のリージョンにレプリケーションまたはフェイルオーバーすることがよくあります。これは移転に該当します。
TIAの中核です。各移転先国について、次の点を評価します。
EDPB勧告02/2020は「本質的保証」のフレームワークを定めています。米国への移転については、FISA第702条および大統領令12333が主要な懸念事項です。米国以外については、その国の法を個別に評価してください。多くのTIAは、低リスク国について検討を行わずに一律に「十分」と既定で扱っていますが、これこそ規制当局が指摘する点です。
3つのカテゴリーがあります。それぞれを組み合わせて適用してください。
再評価のきっかけ。
2023年7月10日、欧州委員会はEU-USデータプライバシーフレームワーク(DPF)について十分性認定を採択しました。DPFに認証した米国拠点の企業への移転については、その法的効果は完全な十分性認定と同等であり、DPF認証済みの移転についてはSCCもTIAも不要です。
実務的なアドバイス。米国の輸入者がDPF認証済みである場合は、その移転についてはDPFの十分性に依拠しつつ、背後でSCCを締結したままにし、将来への備えとしてTIAも実施しておきましょう。
「移転シナリオ」ごとです。通常は移転先国ごと、かつ輸入者ごとです。同じ輸入者への、類似のデータを伴う移転は1つのTIAにまとめることができます。国法の分析は、同じ国への移転間で再利用できます。
いいえ。EDPBは(ガイドライン05/2021で)、第3条(2)の域外適用範囲に基づく移転であっても、第V章の移転メカニズムの遵守が依然として必要であることを明確にしています。第3条を逃げ道として利用しないでください。
法的には該当します。ただし、輸入者が復号化されたデータにアクセスできない、強力に暗号化されたデータの移転は、教科書的な補完的措置です。多くのTIAは、まさにこの根拠に基づいて移転を進められると結論づけています。
重要なデータポイントですが、決め手にはなりません。EDPBは、主観的な実務は法制の同等性に取って代わることはできないと明確にしています。要求がゼロだった過去の記録は裏付けとなる証拠として文書化しつつも、TIAをそれに依拠させないでください。
はい。それがEDPBのステップ6の明示的な結論です。実務上、多くの管理者はSCC条項14(f)に求められるとおり、(それに加えて、またはその代わりに)監督機関に通知することも行います。その判断を厳密に文書化してください。
貴社の移転シナリオ向けにTIAを構築します。SCCモジュールの締結、補完的措置の明示、出典を示した国法の分析を行います。1シナリオあたり2〜4週間で監査対応可能な状態に仕上げます。