バック フォーリーブログ 欧州委員会、標準契約条項案を公表 2020年12月7日 LinkedInで共有するツイッターで共有プリントメールで共有シェア トップに戻る 2020年11月12日、欧州委員会(以下「EC」)は、一般データ保護規則EU 2016/679(以下「GDPR」)に基づく第三国への個人データ移転に関する標準契約条項(以下「SCCs」)の実施決定案と、新たなSCCsの草案(総称して「越境SCCs」)を公表した。。 より高い柔軟性 既存の標準契約条項(SCC)は、欧州経済領域(EEA)発の2種類の移転(管理者間移転および管理者から処理者への移転)にのみ適用されるのに対し、提案されている越境SCCは、多様な移転シナリオと現代の処理チェーンの複雑性に対応するモジュール式コンセプトを採用している: Controller-to-controller transfers</strong>; Controller-to-processor transfers</strong>; Processor-to-processor transfers</strong>; and プロセッサーからコントローラーへの移転(特に、EEA域内のプロセッサーが第三国のコントローラーから受け取った個人データを、EEA域内で収集した個人データと組み合わせる場合)。 既存の標準契約条項(SCC)は上記のシナリオのうち最初の2つに対応していますが、組織は後者の2つのシナリオについてはかなり長い間(少なくともGDPR発効以降)対応に苦慮しており、これらに対応するSCCはこうした組織にとって歓迎すべき追加となる可能性があります。 さらに欧州委員会は、単一の標準契約条項(SCC)が2社以上の当事者間で利用可能であることを示唆しており、これにより組織が新たなベンダーやサービスプロバイダーを導入する際(あるいは既存のSCCをこれらの新たな越境SCCに置き換える必要がある場合)、締結すべき契約数を大幅に削減できる。 新たな要件 クロスボーダーSCCにはいくつかの新たな義務も含まれており、その一部は以下の通りです: データ主体からの要請に応じて、越境SCCの写しを提供し、(i) 目的および (ii) 個人データが開示される第三者の身元の変更について通知すること。 データ輸入者による他の第三国の受領者への転送に関しては、(i) 受領者が越境SCCに同意すること、(ii) 転送される個人データの保護が他の手段によって提供されること、および/または (iii) データ主体が当該転送について明示的かつ情報に基づく同意を与えることを確保すること。 当事者間の責任、データ主体に対する責任、および移転に関わる当事者間の補償義務について、より詳細に記述する。 第28条 条項 越境SCCに加え、欧州委員会はEEA域内に所在する管理者および処理者間のSCC草案も公表した。これには、GDPR第28条に基づき管理者が課す義務のある契約上の要件を満たすため、管理者が処理者に課すことができる条項が含まれる。これらの第28条条項の使用は義務付けられず、企業は引き続き第28条を満たすために個別に調整されたデータ処理契約を使用できる。 シュレムスII事件への対応 越境SCCは、2020年7月の欧州司法裁判所によるシュレムスII判決後の課題に対応するものです。これらの新たなSCCには、データ輸入者に適用される法令が条項遵守を妨げる場合、特に政府当局が個人データへのアクセスを要求する拘束力のある要請を発出した際に、データ輸入者がどのように対応すべきかを明示的に規定する文言が含まれています。 欧州委員会の決定案はさらに、輸入国の法令が当事者の契約上の義務に与える影響に対処するための追加要件にも言及し、これらはデータが欧州経済領域(EEA)内で発生した場合にのみ必要となり、管理者が輸入者であり、当初処理のために処理者に送信したデータのみを受け取る場合には必要とされない可能性を示唆している。 この声明は、GDPRの要件がEEA域内の個人にのみ適用され、GDPRの適用対象となる企業と取引する他国の個人には適用されないことを暗に示唆しているように見える。さらに、この決定は、GDPRの直接適用対象となる事業体と直接適用対象外となる事業体との間で個人データを移転する場合に、これらの越境SCCが適用可能であることを示唆している。 欧州委員会の決定と提案されている越境SCCの双方は、SCCが提供する保護水準に対する外国法の影響に対処するために当事者が講じなければならない三つの方法を説明している: EDPBの補足措置に関する勧告(「EDPB勧告」)の記載箇所が設けられています。 EDPB勧告に記載された補足措置の一部は、決定案に直接組み込まれている。具体的には、政府機関からの個人データに関する法的拘束力のある要求について、可能な限りデータ輸出者及びデータ主体に通知すること、この種の要求に関する集計情報を定期的に共有すること、当該要求を文書化すること、そして可能な場合には当該要求に異議を申し立てることといった要件が規定されている。 EDPB勧告とは若干異なり、本決定では当事者に対し「移転されるデータの種類について、データ輸入者が公的機関から開示請求を受けた前例があるか否かを示す関連する実務経験」を考慮するよう推奨している。 これに対し、EDPB勧告は「EU基準に合致しない形で公的機関がデータにアクセスする可能性といった主観的要素」への依存を戒めている。ただし、データの本質を考慮しGDPRに内在するリスクベースアプローチを適用すべきとするEDPB勧告の他の部分と整合性が高いように思われる。 結論 越境SCCは2020年12月10日までパブリックコメントを受け付けています。承認され次第、これらの条項はGDPRに基づく個人データの国際移転における適切な保護措置として組織が使用してきた従来のSCCに取って代わります。最終的なSCCは2021年初頭に採択される見込みです。 組織は、越境SCCが発効した日から12か月以内に、現在個人データの国際移転に依存している既存のSCCを、越境SCCに置き換える必要があります。 ただし、組織は新たなSCC(特に処理者間または処理者と管理者のシナリオをより直接的に扱うもの)の結果として見直しが必要となる可能性のある既存SCCの範囲を理解し始め、EDPB勧告で説明される追加措置の詳細を組み込もうとする際に生じうる激しい議論に備えるべきである。 本件に関するご質問や追加情報については、著者のいずれか、または担当のFoley関係パートナーまでお問い合わせください。 免責事項 閉じる このブログは、フォーリー&ラードナー法律事務所(「フォーリー」または「当事務所」)が情報提供のみを目的として公開しているものです。このブログは、クライアントのために当事務所の法的立場を伝えるものではなく、特定の法的助言を伝えるものでもありません。本記事で表明された意見は、必ずしもフォーリー&ラードナー法律事務所、そのパートナー、またはそのクライアントの見解を反映するものではありません。従って、資格を有する弁護士の助言を求めることなく、この情報に基づいて行動しないでください。このブログは、弁護士とクライアントの関係を構築することを意図したものではなく、またこのブログの受領は弁護士とクライアントの関係を構成するものでもありません。本ウェブサイトを通じて電子メール、ブログ記事、またはその他の方法でフォーリーと連絡を取ることは、いかなる法的問題に関しても弁護士とクライアントの関係を構築するものではありません。従って、電子メール、ブログ投稿、その他の方法を問わず、本ブログを通じてフォーリーに送信された通信または資料は、機密または専有物として扱われることはありません。本ブログの情報は「現状のまま」公開されており、完全性、正確性、最新性を保証するものではありません。フォーリーは、本サイトの運営または内容に関して、明示または黙示を問わず、いかなる種類の表明または保証も行いません。Foley は、法令、法律、商業的使用、その他に起因するか否かを問わず、商品性、特定目的への適合性、権原、非侵害の黙示的保証を含め、明示または黙示を問わず、その他のあらゆる保証、保証、条件、および表明を明示的に否認します。いかなる場合においても、フォーリーまたはそのパートナー、役員、従業員、代理人、関連会社は、直接的、間接的を問わず、法の理論(契約、不法行為、過失、その他)を問わず、本サイト(情報およびその他のコンテンツを含む)または第三者のウェブサイト、またはそのようなウェブサイトを通じてアクセスされた情報、リソース、資料の作成、使用、またはそれらに起因する、またはそれらに依存することによって生じる、直接的、間接的、特別、付随的、懲罰的、または結果的な請求、損失、または損害について、お客様または他の誰に対しても責任を負わないものとします。法域によっては、本ブログの内容が弁護士広告とみなされる場合があります。該当する場合、過去の結果が同様の結果を保証するものではないことにご注意ください。写真は演出のためのものであり、モデルが含まれている場合があります。似顔絵は必ずしも現在のクライアント、パートナーシップ、従業員の地位を意味するものではありません。 著者 アーロン・K・タントレフ [email protected] シカゴ 312.832.4367 ジェニファー・L・アーバン [email protected] ミルウォーキー 414.297.5864 スティーブン・M・ミレンドルフ [email protected] サンディエゴ 858.847.6737 サミュエル・D・ゴールドスティック [email protected] シカゴ 312.832.4915 もっと見る 関連インサイト すべての投稿を見る 2025年12月11日 フォーリー・ビューポイント 知的財産ポートフォリオ管理における独占禁止法リスクとコンプライアンス戦略 本稿は、知的財産ポートフォリオ管理が、いかにしてイノベーションを促進すると同時に潜在的な…をもたらすかを分析する。 2025年12月11日 フォーリー・ビューポイント カリフォルニア州大気資源局(CARB)、SB 261および253に関する規制案を発表 2025年12月9日、カリフォルニア州大気資源局(CARB)は、初期規制に関する規制案の草案を公開した… 2025年12月11日 革新的な技術インサイト OCCが暗号資産に友好的な解釈書を追加発行:リスクのない元本暗号資産取引の許容性 2025年12月9日、通貨監督庁(OCC)は解釈書1188(IL 1188)を発行し、国立銀行が銀行業務の一環としてリスクのない元本保証型暗号資産取引に従事することが認められることを確認した。
