第45条は「十分性認定に基づく移転」です。
2019年1月23日に、日本の個人情報保護委員会と欧州委員会は、相互に十分性認定をしました。
欧州委員会(EU→日本)
https://ec.europa.eu/commission/presscorner/detail/en/IP_19_421
個人情報保護委員会(日本→EU)
https://www.ppc.go.jp/files/pdf/200201_h31iinkaikokuji01.pdf
これにより日本は、GDPR施行後に、この第45条に基づいて十分性認定を受けた最初の国となりました。
そういった訳で、日本との関係も深い十分性認定について規定した第45条を見ていきます。
第45条:十分性認定に基づく移転
1. 第三国、第三国内の地域又は1若しくは複数の特定の部門、又は、国際機関が十分なデータ保護の水準を確保していると欧州委員会が決定した場合、当該第三国又は国際機関への個人データの移転を行うことができる。その移転は、いかなる個別の許可も要しない。
ここで出てくる「第三国」というのは、EU/EEA域外の国を意味しています。
その第三国、第三国内の地域または1つ以上の特定の部門、または国際機関が十分な個人データ保護水準を確保していると欧州委員会が決定した場合には、何の個別の許可を要することなく、当該第三国や国際機関への個人データの移転を実施することができます。
前文第103項には以下のように説明されています。なお、後段にて、一度決定した十分性認定でも、欧州委員会はその決定を無効にすることができることについて言及されていますが、これは第5項に関係してきます。
欧州委員会は、十分なレベルの保護を提供するものと判断される第三国又は国際機関に関しては、第三国、第三国内の地域若しくは特定の部門又は国際機関が十分なレベルのデータ保護を提供しており、そして、EU全域における法的安定性及び統一性を提供している旨の決定をEU全域において有効なものとして、行うことができる。その場合、当該第三国又は国際機関への個人データの移転は、別の承認を得る必要なく、これを行うことができる。欧州委員会は、その第三国又は国際機関に対し、その通知及びその理由の全文を示す声明文を発して、その決定を無効にする決定を行うこともできる。
一般データ保護規則(GDPR)の前文第103項 個人情報保護委員会にる仮日本語訳
2. 保護水準の十分性を評価する場合、欧州委員会は、とりわけ、以下の要素を考慮に入れる:
(a) 法の支配、人権及び基本的自由の尊重、公共の安全、国防、国家安全保障及び犯罪法を含め、一般的又は分野別の関連立法、及び、公的機関による個人データへのアクセス、並びに、そのような立法の実装、他の第三国又は国際機関への個人データの再移転に関する規定であって、当該第三国又は国際機関が遵守する法令を含め、データ保護規則、職業上の準則及び保護措置、判例法、並びに、効果的で執行可能なデータ主体の権利、その個人データが移転されつつあるデータ主体のための行政上及び司法上の救済;
(b) 適切な執行権限を含め、データ保護法令の遵守を確保し、かつ、執行することに関し、データ主体が その権利を行使する際に支援し助言することに関し、及び、加盟国の監督機関と協力することに関して責任を負う第三国内の、又は、国際機関が服する1若しくは複数の独立の監督機関が存在し、かつ、それが効果的に機能していること;並びに、
(c)当該第三国若しくは国際機関が加入している国際的な取決め。特に、個人データ保護に関する法的拘束力のある条約若しくは法律文書から生ずるそれ以外の義務、並びに、多国間システム又は領域システムへの参加から生ずる義務。
欧州委員会が保護水準の十分性を評価する際には、特に上記(a)~(c)の3点が考慮されます。
(a)と(b)については前文第104項で、(c)については前文第105項で説明されており、そちらを見ることで(a)~(c)の趣旨が分かりやすくなると思いますので、以下に引用します。
EUが立脚する基本的な価値観、特に、人権の保護に沿って、欧州委員会は、その第三国又はその第三国内の地域若しくは特定の部門の評価に際し、特定の第三国が、法の支配、司法へのアクセス、並びに、国際人権の規範と基準、及び、公共の安全、国防及び国家安全保障並びに公共の秩序及び刑事法に関する立法を含め、その第三国の一般法及び特別法をいかに尊重しているかを考慮に入れなければならない。第三国内の地域又は特定の部門と関連する十分性決定の採択は、特定の取扱活動及びその第三国において施行されている適用可能な法的基準及び立法の適用範囲のような、明確で客観的な基準を考慮に入れなければならない。特に、個人データが1又は複数の特定の部門において取扱われる場合において、その第三国は、EU域内で確保されている保護と基本的に等しく十分なレベルの保護を確保していることの保証を提供しなければならない。特に、その第三国は、実効的かつ独立のデータ保護監督を確保しなければならず、かつ、加盟国のデータ保護機関との協力の仕組みを定めなければならず、かつ、データ主体は、実効的で執行可能な権利並びに実効的な行政救済及び司法救済を与えられるものとしなければならない。
一般データ保護規則(GDPR)の前文第104項 個人情報保護委員会にる仮日本語訳
第三国又は国際機関が加入している国際関係とは別に、欧州委員会は、特に、個人データの保護並びにその義務の履行と関連して、第三国又は国際機関が多国間のシステム又は地域的なシステムに参加することから生ずる義務を考慮しなければならない。特に、個人データの自動的な取扱いに関連する個人の保護のための1981年1月28日の欧州評議会条約及びその追加議定書への第三国の加盟を考慮に入れなければならない。欧州委員会は、第三国及び国際機関における保護の水準を評価する際、委員会と協議しなければならない。
一般データ保護規則(GDPR)の前文第105項 個人情報保護委員会にる仮日本語訳
「1981年1月28日の欧州評議会条約」とは、1980年に採択された第108号条約(個人データの自動処理に係る個人の保護に関する条約)のことで、「その追加議定書」とは2001年に採択された「Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows(監督機関及び越境データ移転における個人データの自動処理に関する個人保護のための条約の追加議定書)」のことです。
3. 欧州委員会は、保護のレベルの十分性を評価した後、実装行為により、第三国、第三国内の地域又は1若しくは複数の特定の部門又は国際機関が、本条第2項の趣旨における十分なレベルのデータ保護を確保している旨を決定することができる。その実装行為は、少なくとも4年毎の定期的な見直しの仕組みを定め、その見直しは、その第三国又は国際機関の関係する全ての進展を考慮に入れるものとする。その実装行為は、その領域上及び部門上の適用範囲を特定し、かつ、適用可能なときは、本条第2項(b)に定める監督機関を明らかにしなければならない。この実装行為は、第93条第2項に定める審議手続に従って採択されなければならない。
欧州委員会は、保護レベルの十分性を評価した後に、その第三国、第三国内の地域や一つ以上の特定の部門、または国際機関が、第2項の趣旨において十分なレベルのデータ保護を確保している旨を決定することができます。
その評価・決定は4年毎に定期的な見直しをすることを仕組みとして組み込み、見直しの際にはその第三国や国際機関の関係する動向変化を考慮することとされています。
4. 欧州委員会は、有効である基準に基づき、本条第3項により採択された決定及び指令95/46/ECの第25条第6項に基づいて採択された決定が機能することに対して影響を及ぼしうる第三国内及び国際機関内の進展を監視しなければならない。
欧州委員会は、保護レベルが有効といえる基準に基づき、第3項または指令95/46/ECの第25条第6項に基づいて採択された決定が機能することに影響を及ぼしうる第三国内および国際機関内の進展を監視しなければなりません。
第3項、第4項に関連する、前文第106項の説明を以下に引用します。
欧州委員会は、第三国、第三国内の地域若しくは特定の部門又は国際機関における保護のレベルに関する決定が有効に機能していることを監視しなければならず、また、指令95/46/ECの第25条第6項又は第26条第4項に基づいて採択された決定が有効に機能していることを監視しなければならない。この十分性の決定において、欧州委員会は、それらが有効に機能していることを定期的に見直す仕組みを定めなければならない。この定期的な見直しは、当の第三国又は国際機関との協議を経た上で、その第三国又は国際機関内の関連する全ての動向を考慮に入れた上で、行われなければならない。この監視及び定期的な見直しを行う目的のために、欧州委員会は、欧州議会及び理事会並びにそれ以外の関連する組織や情報源からの意見及び判断を考慮に入れなければならない。欧州委員会は、合理的な期間内に、後者の決定が有効に機能していることを評価し、かつ、本規則に基づいて策定されたものとしての欧州議会及び理事会の規則(EU)No182/2011の意味における委員会、欧州議会及び理事会に対し、その調査結果を報告しなければならない。
一般データ保護規則(GDPR)の前文第106項 個人情報保護委員会にる仮日本語訳
5. 欧州委員会は、当該第三国、第三国内の地域又は1若しくは複数の特定の部門又は国際機関が本条第2項の趣旨における十分なレベルのデータ保護を確保していないことが、利用可能な情報から、特に、本条第3項に定める見直しの結果から、明らかにされた場合、実装行為により、遡及効をもつことなく、必要な範囲内で、本条第3項に定める決定を取り消し、修正し、又は、停止しなければならない。この実装行為は、第93条第2項に定める審議手続に従って採択されなければならない。
緊急性という正当化事由に基づき、欧州委員会は、第93条第3項で定める手続に従い、直ちに、適用可能な実装行為を採択しなければならない。
第2項の趣旨に基づいて十分なレベルのデータ保護を確保しているとしていた第三国、第三国内の地域や一つ以上の特定の部門、または国際機関が、利用な可能な情報や第3項で定めた4年毎の定期的な見直しにより、十分なレベルのデータ保護を確保できていないことが明らかにされた場合には、欧州委員会は第3項に基づいた十分性決定の取り消し、修正、または停止をしなければなりません。
この取り消し、修正、停止手続きは、通常は第93条第2項にある通常手続きで(=規則(EU) No 182/2011の第5条に準じて)進められますが、緊急性がある場合は第93条第3項の手続き(=規則(EU) No 182/2011の第8条に準じて)で直ちに実施しなければならないとされています。
6. 欧州委員会は、第5項によって行われた決定を生じさせている状況を救済するという観点から、第三国又は国際機関と協議に入らなければならない。
欧州委員会は第5項によって行われた取り消し、修正、停止といった決定により生じる状況を救済する観点から、第三国または国際機関と協議しなければならないとされています。
第5項と第6項に関連する、前文第107項の説明を以下に引用します。
欧州委員会は、第三国、第三国内の地域若しくは特定の部門又は国際機関が十分な水準のデータ保護をもはや確保していない旨を判断できる。その判断の結果、当該第三国又は国際機関に対する個人データの移転は、拘束的企業準則を含め、適切な保護措置による移転及び特別な状況における例外に関する本規則の要件が充足されない限り、禁止されなければならない。この場合、欧州委員会と当該第三国又は国際機関との間で、協議がもたれなければならない。欧州委員会は、その状況を救済するため、適時に、その第三国又は国際機関に対し、その理由を通知し、かつ、協議に入らなければならない。
一般データ保護規則(GDPR)の前文第107項 個人情報保護委員会にる仮日本語訳
7. 本条第5項による決定は、第46条から第49条による当の第三国、第三国内の地域又は1若しくは複数の特定の部門又は国際機関への個人データの移転を妨げるものではない。
第三国への個人データの移転は第45条の十分性認定を根拠にする方法だけでなく、第46条から第49条で規定された根拠でも移転することができることとされているのですが、ここでは第45条5項の十分性認定の取り消し・修正・停止といった決定が、第46条から第49条で規定された根拠による個人データの移転に影響しないことを示しています。
すなわち、個人データの域外への移転について第46条から第49条で規定された適切な根拠があれば、十分性認定が取り消されても、第46条から第49条の移転根拠により引き続き移転ができるということになります。
8. 欧州委員会は、EU官報及びそのウェブサイト上において、十分なレベルの保護がある旨の決定がなされ、又は、確保されていない旨の決定がなされた第三国、第三国内の地域若しくは特定の部門又は国際機関の一覧を公表する。
欧州委員会は、十分性決定がなされた場合、または十分性の確保がなされていないとの決定をした場合には、その第三国、第三国内の地域や特定の部門、または国際機関について、EU官報やウェブサイト上で一覧で公表することとされています。
9. 指令95/46/ECの第25条第6項に基づき欧州委員会によって採択された決定は、本条第3項又は第5項に従って採択される欧州委員会の決定によって修正され、差し替え、又は、廃止されるまで、その有効性が維持されなければならない。
指令95/46/ECの第25条第6項に基づいて、欧州委員会によって採択された決定は、本条第3項又は第5項に従って採択される欧州委員会の決定によって修正され、差し替え、又は、廃止されるまで、その有効性が維持されなければならない、とされています。
以上、第45条の「十分性認定に基づく移転」でした。
