個人情報データをEU域内の子会社から国内に移転する場合の対応

1. 3つの移転方法：同意取得、標準契約条項（SCC）の締結、拘束的企業準則（BCR）
2. 移転方法の違い：BCRとSCCの違い

EUにおける現行ルールであるEUデータ保護指令下において、域内に子会社を持つ日本企業が当該子会社で保有する個人データを日本国内に移転する際には、主に次の3つから選択し対応する必要がある。

1つ目は、個人データの持ち主である情報主体から国外への移転に関する同意を取得する方法である。同意取得は、データ移転の目的、データ処理の方法、移転先などの詳細が通知された上で行われる必要がある。

2つ目は、標準契約条項（SCC）と呼ばれる所定の様式に基づく契約をEU子会社と日本の本社との間で締結し、関係国のデータ保護機関（DPA）から承認を受けることで当該2社間の個人データ移転を可能とする方法で、多くの企業で採用されている。手続きが簡便である半面、データ移転の目的が変更になった場合は再申請が必要になる。

3つ目は、拘束的企業準則（BCR）と呼ばれる方法であり、グローバル企業グループ内において内部規定を整備する方法である。当該内部規定の内容が欧州委員会の要求水準を満たしていると認証されてはじめて、個人データの移転が可能となる。

BCRによって、企業はグループ内で均質で適切な安全管理措置を策定でき、グループ内の個人データ保護関連の実務を標準化できる。SCCとは異なり、データ移転の目的が変更になった場合においても、再申請する必要がない。その半面、申請手続きが煩雑であるとともに認証までに半年から2年かかるとされている。

いずれの方法を選択するかについては、EUの子会社から移転されるデータの種類や対応を完了させる時期、将来的に個人データを移転するケースの増加や目的を変更する可能性があるのか等を確認し、計画的に取り組む必要がある。

• EUが「十分なレベルの保護を保障していると認定した国」への移転の場合
• データ主体が移転に対し明確な同意を与えている場合
• データ主体及び管理者間の契約の履行のために必要である場合
• 移転が、重要な公共の利益を根拠として要求される場合
• 移転が、データ主体の重大な利益を保護するために必要である場合
• 同一グループ内の移転で、規制当局から拘束的企業準則（BCR）の承認を受けている場合
• 定められた標準契約条項（SCC）の締結により、十分な保護措置が保障される場合
• 規制当局が当該企業による保護措置の十分性を承認した場合

KPMGコンサルティング
シニアマネジャー　宮原 潤

日経産業新聞　2016年11月15日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。