第47条は、第46条第2項で「十分性認定がない場合で域外への移転を認める場合に求められる適切な保護措置」の一つのとして挙げられていた「拘束的企業準則」についてです。
拘束的企業準則(BCR: Binding corporate rules)を用いたデータ移転は、主にグローバルで活躍する大企業で用いられています。
2023年3月現在、日本企業でBCRの承認を受けている企業を探すと、楽天とインターネットイニシアティブ(IIJ)が見つかりました。
第47条:拘束的企業準則
1. 所轄監督機関は、次に掲げる場合、第63条に定める一貫性メカニズムに従い、拘束的企業準則を承認しなければならない:
(a) その従業者を含め、企業グループ又は共同経済活動に従事する企業グループの関係する全てのメンバ ーを法的に拘束し、それらの者に適用され、かつ、それらの者によって執行され;
(b) その個人データの取扱いと関連するデータ主体の執行可能な権利を明示で与えており;かつ、
(c) 第2項に定める要件を満たしている場合。
以下の(a)から(c)の3つの要件全てに該当する場合には、第63条に定める一貫性メカニズムに従って、所轄監督機関は拘束的企業準則を承認しなければならないとされています。
(a) その企業グループや共同経済活動に従事する企業グループに所属する全てのメンバーを法的に拘束するものであり、それらのメンバーに適用され、遵守されており、
(b) 取り扱われている個人データに関連するデータ主体に執行可能な権利を明示的に与えており、
(c) 第2項で定められた要件を満たしている
前文第110項の説明を以下に引用します。
企業グループ又は共同で経済活動に従事する企業グループは、そのような拘束的企業準則が、個人データの移転又はその移転の種類のための適切な保護措置を確保するための全ての重要な基本原則及び執行可能な権利を含めるものである限り、EUから同じ企業グループ又は共同で経済活動に従事する企業グループ内にある組織に対する個人データの国際的な移転のために、承認された拘束的企業準則を利用できるようにしなければならない。
一般データ保護規則(GDPR)の前文第110項 個人情報保護委員会にる仮日本語訳
2. 第1項で定める拘束的企業準則は、少なくとも、以下の事項を明記しなくてはならない:
(a) 企業グループ若しくは共同経済活動に従事する企業グループ又はそれらを構成する個々のメンバーの組織体制及び連絡先;
(b) 個人データの種類、取扱いの種類及びその目的、影響を受けるデータ主体の類型、及び問題となっている特定された第三国若しくは複数の第三国の事項を含むデータ移転又はデータ移転の集合
(c) 内部的及び対外的拘束力の法的性質;
(d) 一般的なデータ保護の原則の適用。特に、目的の制限、データの最小化、記録保存期間の制限、データの品質、データ保護バイデザイン及びバイデフォルト、取扱いの法的根拠、特別な種類の個人データの取扱い、データの安全性を確保するための措置、並びに、拘束的企業準則によって拘束されない組織に対するデータ再移転に関する要件;
(e) 取扱いに関するデータ主体の権利及び当該権利行使の履行手段。第22条に従うプロファイリングを含む自動取扱いのみによる決定に服しない権利、所轄監督機関に対し異議を申し立てる権利、第79条に従い加盟国の裁判所に異議を申し立てる権利、並びに、救済の権利、及び、適切な場合、拘束的企業準則の侵害に関する損害賠償を求める権利を含む。;
(f) EU域内に拠点のない関連するあらゆるメンバーによる拘束的企業準則の違反行為による法的責任を有する加盟国の領土に拠点のある管理者又は処理者の承諾;その管理者又は処理者は、当該メンバーがその損害の発生を生じさせる出来事に関して責任を負わないことを証明した場合に限り、その法的責任の全部又は一部を免れるものとする;
(g) 拘束的企業準則に関する情報、特に、第13条及び第14条に加え、本項(d)、(e)及び(f)で定める各条項に関する情報をデータ主体に提供する方法;
(h) 第37条に従って任命されたデータ保護オフィサー、又は企業グループ内又は共同で経済活動に従事する企業グループ内において、拘束的企業準則の遵守並びに訓練及び異議申立ての取扱いの監視を実施する責任があるあらゆるその他の人物若しくは組織の業務;
(i) 異議申立て手続;
(j) 企業グループ若しくは共同で経済活動に従事する企業グループのメンバー内における拘束的企業準則の遵守の確認を確保するための仕組み。その仕組みは、データ保護監査、及び、データ主体の権利を保護するための是正活動を確保するための方法を含むものでなければならない。その確認の結果は、(h)で定める者若しくは組織並びに企業グループ若しくは共同で経済活動に従事する企業グループの内の事業を管理している会議に対して通知され、また、要求に応じて、所轄監督機関に利用可能なものにしなければならない;
(k) 規則の変更の報告及び記録の仕組み、並びに、監督機関に対する当該変更の報告;
(l) 企業グループ若しくは共同で経済活動に従事する企業グループのメンバーによる遵守を確保するための、とりわけ、(j)で定める措置の有効性検証の結果を監督機関が利用できるようにすることによる、監督機関との協力の仕組み;
(m) 企業グループ若しくは共同で経済活動に従事する企業グループのメンバーが服する第三国における法律上の要件であって、その拘束的企業準則によって提供される保証に対して実質的な悪影響を及ぼすおそれのあるものを監督機関に報告するための仕組み;並びに、
(n) 永続的に又は継続的に個人データへのアクセスをもつ者に対する適切なデータ保護トレーニング。
第2項では、第1項の(c)の具体的な要件を定めています。
その具体的な要件とは、少なくとも以下の(a)から(n)の事項について、拘束的企業準則に明記することとされています。
その(a)から(n)の内容を簡略化して記載してみると以下のような感じです。
(a) 企業グループの組織体制と連絡先について
(b) 域外に移転する個人データの種類、目的、データ主体の類型などの情報について
(c) 内部的および対外的な法的拘束力について
(d) 一般的なデータ保護の原則の適用について
(e) データ主体の権利と救済の権利・損害賠償を求める権利について
(f) EU域外の企業メンバーが拘束的企業準則に違反した場合の、域内の管理者または処理者の責任について
(g) 拘束的企業準則に関する情報をデータ主体に提供する方法について
(h) 企業グループ内で拘束的企業準則の順守や監視等を担当するデータ保護オフィサーの業務について
(i) 異議申立て手続きについて
(j) 企業グループ内で拘束的企業準則の順守を確保するための仕組みについて
(k) 拘束的企業準則の変更の報告・記録の仕組みや監督機関に対する当該変更についての報告について
(l) 拘束的企業準則を遵守するための監督機関との協力の仕組みについて
(m) 拘束的企業準則の保証に悪影響を及ぼす、企業グループのある第三国の法的義務を監督機関に報告する仕組みについて
(n) 個人データにアクセスするものに対するデータ保護のトレーニングについて
3. 欧州委員会は、本条の趣旨における拘束的企業準則に関する管理者、処理者及び監督機関の間の情報交換の形式及び手続を定めることができる。この実装行為は、第93条第2項で規定された審議手続に従って採択されるものとする。
欧州委員会は、拘束的企業準則に関して、管理者、処理者および監督機関の間での情報交換の形式や手続きについて定めることができるとされています(第93条第2項で規定された審議手続きに従って採択)。
以上、第47条の「拘束的企業準則」でした。
