第49条は「特定の状況における例外」です。
ここまで第5章として、EUから第三国または国際機関へ個人データを転送するための方法として、第45条(十分性認定)、第46条(適切な保護措置に従った移転)、第47条(拘束的企業準則)を示してきましたが、ここ(第49条)では、それらの方法に基づかない「例外」として認めらえる場合が示されています。
第49条:特定の状況における例外
1. 第45条第3項による十分性認定がない場合、又は拘束的企業準則を含め、第46条による適切な保護措置がない場合、以下の条件中のいずれかを満たしている場合においてのみ、第三国又は国際機関への個人データの移転又は個人データ移転の集合を行うことができる:
(a)十分性認定及び適切な保護措置が存在しないために、そのような移転がそのデータ主体に対して発生させる可能性のあるリスクの情報提供を受けた後に、そのデータ主体が、提案された移転に明示的に同意した場合;
(b)データ主体と管理者との間の契約の履行のためにその移転が必要となる場合、又は、データ主体の要求により、契約締結前の措置を実施するためにその移転が必要となる場合;
(c)管理者及びそれ以外の自然人若しくは法人との間でデータ主体の利益のために帰する契約の締結、又は、その契約の履行のために移転が必要となる場合;
(d)公共の利益の重大な事由の移転が必要となる場合;
(e)法的主張時の立証、行使又は抗弁に移転が必要となる場合;
(f)データ主体が物理的又は法的に同意を与えることができない場合において、データ主体又はそれ以外の者の生命に関する利益を保護するために移転が必要となる場合;
(g)EU法又は加盟国の国内法に従い、公衆に対して情報を提供することを予定しており、かつ、公衆一般及び正当な利益をもつことを説明することのできる者の両者に対して開かれているが、個々の案件において、照会に関してEU法又は加盟国の国内法により定められた条件が充足する限度内のみに制限されている登録機関に限り、登録機関からの移転が必要となる場合。
拘束的企業準則の条項を含め、第45条又は46条に基づいて移転を行うことができず、かつ、本項(a)から(g)による特定の状況における例外がいずれも適用可能ではない場合、その移転が、反復的なものではなく、限定された人数のデータ主体に関係するものであり、データ主体の権利及び自由によって優先されるものではない管理者が求める義務的な正当な利益の目的のために必要であり、かつ、管理者がデータ移転と関連する全ての事情を評価しており、かつ、その評価に基づき、その管理者が個人データの保護に関連して適合する保護措置を提供した場合に限り、第三国又は国際機関に対する移転を行うことができる。その管理者は、監督機関に対して、その移転を通知しなければならない。その管理者は、そのデータ主体に対し、第13条及び第14条に規定する情報に加え、その移転及び求められる義務的な正当な利益に関し、情報提供しなければならない。
第45条第3項による十分性認定がない場合、または、第46条による適切な保護措置がない場合(第46条には第47条の拘束的企業準則も含んでいるため第47条の場合も含む)、以下の(a)から(g)のいずれかを満たしている場合においてのみ、第三国または国際機関に個人データを移転または個人データ移転の集合を行うことができます。
(a)十分性認定や適切な保護措置がなく、その移転がそのデータ主体に対し与えうるリスクについての情報提供を受けた上で、データ主体がその移転について明示的に同意した場合
(b)データ主体と管理者との間の契約の履行のためにその移転が必要となる場合、または、データ主体の要求により、契約締結前の措置を実施するためにその移転が必要となる場合
(c)管理者やそれ以外の自然人・法人との間でデータ主体の利益のために帰する契約の締結、または、その契約の履行のために移転が必要となる場合
(d)公共の利益の重大な事由の移転が必要となる場合
(e)法的主張時の立証、行使または抗弁に移転が必要となる場合
(f)データ主体が物理的・法的に同意を与えることができない状況において、データ主体またはそれ以外の者の生命に関する利益を保護するために移転が必要となる場合
(g)EU法または加盟国の国内法に従い、公衆に対して情報を提供することを予定しており、かつ、公衆一般および正当な利益をもつことを説明することのできる者の両者に対して開かれているが、個々の案件において、照会に関してEU法または加盟国の国内法により定められた条件が充足する限度内のみに制限されている登録機関に限り、登録機関からの移転が必要となる場合
(a)は、域外への移転に関する本人の同意によるものであり、日本の個人情報保護法の第28条第2項とほぼ同じような形態です。
法第28条(外国にある第三者への提供の制限)
個人情報の保護に関する法律(平成十五年法律第五十七号)(令和五年法律第四十七号による改正)
2. 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
第1項の後段を読むと、第45条~第47条に基づかず、例外として規定された第1項の(a)~(g)にも該当しない場合であっても、以下の全ての条件に合致すれば域外への移転が可能とされています。
「最後の手段」的な感じですね。
- 反復的なものではない
- 限定された人数のデータ主体に関係するものである
- データ主体の権利及び自由によって優先されるものではない管理者が求める義務的な正当な利益の目的のために必要である
- 管理者がデータ移転と関連する全ての事情を評価しており、かつ、その評価に基づき、その管理者が個人データの保護に関連して適合する保護措置を提供している
この「最後の手段」で域外移転する場合には、管理者は監督機関にその移転について通知するとともに、管理者はデータ主体に対し第13条および第14条に規定する情報に加え、その移転と求められる義務的な正当な利益に関して情報提供しなければならないとされています。
第2項以降は、第1項前段の(a)~(g)の補足説明になっています。
2. 第1項(g)による移転は、その登録機関に収録されている個人データ全体又は全ての種類の個人データを含むものではない。登録機関が公正な利益を有する者からの協議での利用を意図している場合、その者の要求、又は、その者が取得者となる場合に限定して、その移転が行われる。
第1項前段(g)による移転は、記録されている個人データ全体又は全ての種類の個人データを含んではならず、関係する人に限定して実施されなければならないとされています。
3.第1項前段(a)、(b)及び(c)並びに同項後段は、その権限の行使において公的機関によって実施される行為には適用されない。
第1項前段の(a)、(b)、(c)による移転、または後段の「最後の手段」での移転は、公的機関では利用できないとされています。
4.第1項(d)で定める公共の利益は、EU法又は管理者が従う加盟国の国内法において認められていなければならない。
第1項前段(d)の「公共の利益」は、EU法または管理者が従う加盟国法で定められた対象でなければならないとされています。
5.十分性認定がない場合、EU法又は加盟国の国内法は、重要な公共の利益を理由として、第三国又は国際機関への特別な種類の個人データの移転について、明示の制限を設けることができる。加盟国は、欧州委員会に対し、そのような条項を通知しなければならない。
十分性認定がない場合でも、EU法または加盟国法により、重要な公共の利益のためであれば、第三国または国際機関への「特別な種類の個人データ」の移転について、明示の制限を定めることができるとされています。
加盟国がそのような制限を設けた場合、その加盟国は欧州委員会にその条項について通知しなければなりません。
6.管理者又は処理者は、評価及び本条第1項後段で定める適切な保護措置を第30条で定める記録の中で文書化しなければならない。
第1項後段の「最後の手段」を用いる場合、管理者または処理者は第30条(取扱活動の記録)で定める記録の中に、「評価と関連する保護措置」について文書化しなければなりません。
以下、第49条に関連する前文を参考までに貼り付けておきます。
データ主体が自己の明示の同意を与えたという一定の状況下において、規制当局の手続を含め、それが司法手続内のものであるか行政手続若しくは訴訟外手続によるものであるかを問わず、契約又は訴訟との関係において、その移転が偶発的なものであり、かつ、必要なものである場合、移転を可能とするための条項が設けられなければならない。EU法又は加盟国法によって定められる公共の利益上の重要な法的根拠がそのような移転を求める場合、又は、法律によって策定され、正当な利益を有する公的若しくは個人からの協議に応ずるための登録所から移転が行われる場合において、移転ができるようにするための条項も設けられなければならない。後者の場合、そのような移転は、その登録所の中に収められている個人データ全体又はデータの種類全体を含めることはできず、かつ、正当な利益をもつ個人からの協議に対して登録所が応じようとする場合には、そのような者の要求があった際においてのみ、又は、それが取得者のために行われる場合には、データ主体の利益及び基本的な権利を完全に考慮に入れた上で、移転が行われるものとしなければならない。
一般データ保護規則(GDPR)の前文第111項 個人情報保護委員会にる仮日本語訳
これらの例外は、特に、例えば、公正取引委員会、税務当局又は税関当局の間、金融監督機関の間、並びに、例えば、感染症の接触追跡調査の場合、又は、スポーツにおけるドーピングの抑制及び・又は抑止のために、社会保障に関する事項若しくは公衆衛生について所轄当局の間において行われる国際的なデータ交換の場合など、公益という重要な理由に基づく必要なデータの移転に適用されなければならない。個人データの移転は、データ主体がその同意を与えることができない場合において、身体的な完全性又は生命を含め、データ主体又はそれ以外の者の生命に関する利益のために必須となる利益の保護のために必要となる場合においても、適法とみなされなければならない。十分性認定がない場合、EU法又は加盟国法は、公共の利益上の重要な理由のために、特別な種類のデータの第三国又は国際機関に対する移転の制限を明確に定めることができる。加盟国は、そのような条項を、欧州委員会に対して通知しなければならない。ジュネーブ諸条約に基づいて行う義務のある職務の遂行という観点から、又は、武力衝突に適用可能な国際人道法を遵守するための、身体的又は法的な原因により同意を与えることができないデータ主体の個人データの国際的な人道組織に対する移転は、公共の利益上の重要な理由のために、又は、データ主体の生命に関する利益に係わるという理由により、必要なものと判断できる。
一般データ保護規則(GDPR)の前文第112項 個人情報保護委員会にる仮日本語訳
管理者の義務的な正当な利益がデータ主体の権利及び自由よりも優先するものではない場合であり、かつ、管理者がその移転に伴う全ての事情を評価している場合、管理者による義務的な正当な利益の目的のために、反復性がないと評価されうるものであり、かつ、限定された人数のデータ主体のみに関する移転を行うことができる。管理者は、特に、個人データの性質、予定されている取扱業務の目的及び期間、並びに、移転元の国、第三国及び最終移転先の国の状況について検討しなければならず、かつ、その個人データの取扱いに関連する自然人の基本的な権利及び自由を保護するための適切な保護措置を提供しなければならない。そのような移転は、移転のための他の適用可能な根拠が存在しない場合においてのみ、これを行うことができる。科学的研究若しくは歴史的研究の目的又は統計の目的に関しては、知識の増加に対する社会の正当な期待を考慮に入れなければならない。管理者は、監督機関及びデータ主体に対し、その移転に関し情報提供しなければならない。
一般データ保護規則(GDPR)の前文第113項 個人情報保護委員会にる仮日本語訳
欧州委員会が第三国における十分な水準のデータ保護についていかなる決定もしない場合、いかなる場合においても、管理者及び処理者は、データ主体が引き続き基本的な権利及び保護措置を享受するようにするため、データ主体のデータが移転されてしまっても、EUにおけるデータ主体のデータの取扱いと関連する執行可能かつ実効的な権利をデータ主体に提供する解決策を、利用できるようにしなければならない。
一般データ保護規則(GDPR)の前文第114項 個人情報保護委員会にる仮日本語訳
いくつかの第三国は、加盟国の裁判管轄権の下にある自然人及び法人の取扱活動を直接に規律することを旨とする法律、規則及びその他の法的行為を採択している。これは、管理者又は処理者に対して個人データの移転又は開示を求める第三国内の裁判所若しくは法廷の判決又は行政機関の決定であって、司法共助協定のような要求元の第三国とEU若しくは加盟国との間で効力を有する国際協定に基づくものではないものを含みうる。これらの法律、規則及びそれ以外の法的行為の域外適用は、国際法違反となりうるものであり、また、本規則によってEU域内で確保されるべき自然人の保護の達成を害するものとなりうる。移転は、第三国への移転に関して定める本規則の要件に適合する場合にのみ、認められるものとしなければならない。これは、特に、管理者が服するEU法又は加盟国の国内法において認められている公共の利益上の重要な法的根拠のゆえに開示が必要となる場合に該当しうるものである。
一般データ保護規則(GDPR)の前文第115項 個人情報保護委員会にる仮日本語訳
第49条は「例外」に関する部分であるため、どうしても曖昧な部分が出やすく、EDPBはこの条項についてより詳細に説明するため、「Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679」というガイドラインを公表しています。
このガイドラインは個人情報保護委員会により日本語訳が作成されておりますので、第49条をより詳細に知りたい方は、これらの文書をご確認ください。
個人情報保護委員会訳:規則第49条の例外に関するガイドライン
以上、第49条の「特定の状況における例外」でした。
