MENU

SCC(標準契約条項)とBCR(拘束的企業準則)

まずは、復習からはじめますね。

 

越境データ移転のところで解説しましたが、GDPRでは、「EU域内の個人データのEU域外への移転」を原則として認めません
EU内での移転は自由ですが、EU域外にデータを移転する場合には、以下の条件を満たす必要があります。

 

移転を行うには、
①十分性認定(十分な個人データ保護の保障)
(欧州委員会が、データ移転先の国が十分なレベルの個人データ保護を保障していることを決定)
②BCR(Binding Corporate Rules:拘束的企業準則)の締結
(企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認)
③SCC(Standard Contractual Clauses:標準契約条項)の締結
(データ移転元とデータ移転先との間で締結し、欧州委員会が承認)
④特例 
・明確な本人同意など

 

というわけで、SCCもBCRも越境データ移転を行うための条件の一つになります。

 

現在、日本では十分性認定が認められる見通しなので、SCCやBCRの締結の必要性は下がっています。
ただ、まだ100%確実とはいえないので、SCC(標準契約条項)とBCR(拘束的企業準則)についても解説していきたいと思います。
最新動向については、こちらのページをご確認くださいね。

 

SCC(標準契約条項)

SCC(Standard Contractual Clauses:)は、個人データ提供元と提供先の企業でデータ保護に関する契約を締結する方法です。
個別契約を取交わした企業間のみに適用されます。
SCCは、BCRと比べるとハードルが低い方法です。

 

SCCは、モデル契約条項とも呼ばれており、欧州委員会によって決定されたデータ移転の契約書の雛形になります。
この雛形通りに契約を締結すればよい、ということになります。
ただ、英語やEU圏の各言語で記述されており、日本語訳は今のところないようです。
まぁ、契約する決まりなので、その通りに記述するしかないものなので、和訳する必要もないのかもしれませんが(笑)
NEW
→2018年3月、日本語訳がリリースされました。SCCの和訳については、こちらをご覧ください。

 

SCCは、欧州連合(EU)のWebサイトで入手ができますよ。
https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en

 

フォーマットは3種類あります。

EU controller to non-EU or EEA controller(管理者間の契約)

2種類あります。
① decision 2001/497/EC
② decision 2004/915/EC

 

EU controller to non-EU or EEA processor(管理者と処理者の間の契約)

③ decision 2010/87/EU

 

BCR(拘束的企業準則)

BCR(Binding Corporate Rules)は、グループ企業全体でデータ保護に関するルールを整備する方法です。
監督機関に提出する文書には、SCC比べて情報管理に関する詳細な記載が求められ、外部専門家の助力が必要になる場合が多いということで、SCCよりもハードルが高い方法です。

 

「楽天グループ」が承認を取得した、ということで話題になりましたね。
楽天は、欧州拠点があるルクセンブルクのデータ保護機関からBCRの承認を受けたとのことです。

 

BCRは、自社グループ内での個人データの移転に関するルールを整備し運用する方法なので、グループ外の企業とのデータ移転には適用できません。
BCRを取得していても、グループ外の企業とやり取りするためには、SCCの締結が必要、ということになります。

 

BCR 対応は、SCCに比べて、コストも時間もかかります。
時間は、BCR 申請準備開始から、当局との交渉を経て、当局からの BCR 承認取得、承認を受けた BCR の実行までを考えると、
約15カ月から約24カ月はかかるとのことです。
残念ながら、すでにGDPRの施行までに間に合わせることもできないので、現実的な手段ではありませんね。

 

対応のポイント

JETROにSCC・BCRの対応のポイント資料がありましたので、紹介します。
こちらの情報が一番正確かと思います。
「企業はまず最低限 SCC による対応を完了させることに注力することが望ましい」とされています。

 

SCC・BCR による対応のポイント

https://www.jetro.go.jp/ext_images/biz/special/2017/37d786f4de44651c/10.pdf

関連ページ

GDPRの施行日は?いつから発効?猶予期間終了しました。
GDPR(EU一般データ保護・規則)について、どこよりもわかりやすく説明します。 GDPRの施行日・発効日・猶予期間は?いつから対応が必要になるの?
GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR十分性認定とは?十分性認定国はどこ?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR十分性認定とは?十分性認定国はどこ?
GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR プロファイリングに異議を唱える権利とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR プロファイリングに異議を唱える権利とは?
GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPRデータポータビリティの権利とは?対策は必要?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRデータポータビリティの権利とは?対策は必要?
GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPRのガイドラインは?日本語訳(和訳)はこちらです。
GDPRのガイドラインは?日本語訳(和訳)はこちらです。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR 匿名化と仮名化の違いは?暗号化はどっち?
GDPR 匿名化と仮名化の違いについて解説します。匿名化(Anonymous)と仮名化(Pseudonymisation)の違いは?暗号化はどっち? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 監督機関、データ保護機関(SA、DPAs)ってどこにある?
監督機関、データ保護監督機関(SA、DPAs)って何のこと?どこにある? GDPR(EU一般データ保護規則)でデータ侵害時などに通知義務がある監督機関についてまとめました。
GDPRでデータ主体に認められた8つの権利とは?
GDPR(EU一般データ保護規則)でデータ主体に認められた8つの権利について、解説します。 情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利 があります。
GDPR モデル条項 SCCとSDPCの違いは?
SCC(標準契約条項)とSDPC(標準契約条項)の違いは? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい?
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
クッキー法とも呼ばれるe-privacy規則(eプライバシー規則)とは?
クッキー法とも呼ばれるe-privacy Regulation(eプライバシー規則)とは? GDPRと同様、個人情報を保護するための規則です。GDPRを補完する規則になります。