NBLでクラウドサービスについての法律問題の連載が始まっていますが、977号の第2回 個人情報保護法制の記事で、他のクラウド本ではあまり突っ込んだ言及がされていない「EUデータ保護指令」および規制のさらなる強化を図る「2012/1/25制定新規則案」の域外への情報移転規制がクラウドサービスに及ぼす影響について記述がありました。
他の文献・記事・論稿と併せて整理し、自分の勉強・備忘のためにポイントをメモしておきたいと思います。この辺の日本のクラウド・webサービス事業者さんのスルーっぷりがちょっと気になってたりもするもので・・・。

「EUデータ保護指令」による個人情報移転規制
EU域内の企業がEU域外の国に個人データを移転する際は、移転先の国が欧州委員会の定めるadequate level of protectionを確保していなければならない。
現時点では主要国では以下の国がこのadequate level of protectionを満たしているという十分性認定を受けている。
・スイス
・カナダ
・アルゼンチン
・米国(※セーフハーバールールによる)
※ 日本は満たしていない。
※ 本稿には言及がないが、その他ガーンジー、マン島、ジャージー、フェロー諸島、オーストラリアの一部が十分性を認定されている。
上記十分性認定国に該当しない国に対しては、以下3つの例外に該当すれば移転が許容される。
1)本人から明確な同意を取得した場合
2)欧州委員会の定める標準契約約款SCC(Standard Contractual Clauses)を利用した場合
3)拘束的企業準則BCR(Binding Corporate Rules)を制定した企業グループ内移転の場合
「2012/1/25制定新規則案」による規制の強化
「EUデータ保護指令」ではEU域内企業が主な対象規制だったのに対し、「2012/1/25制定新規則案」では、域外企業が域内居住者に対し商品やサービスを提供する際にも規制が及ぶことに。
加えて、adequate level of protectionの例外1)〜3)の運用が変更となる。
・1)の同意取得方法について、明確な同意行動を伴うオプトインが必要に。
「利用規約等に異議が無かったことをもって同意をみなす」規定ではNGであることが明言される。
・その代わりに2)SCC・3)BCRに関する手続きを簡略化。
今後クラウド・webサービス事業者が個人情報の取扱いを含むサービスを提供しようとする場合、EU域内居住者からのアクセスをすべてブロックすることが非現実である以上、そして1)がこれまで以上に厳格になるとすると、上記例外の2)SCC or 3)BCRの活用が必須となりそう。
このブログをよく御覧いただく法務パーソンの皆様は御存知かと思いますが、EUでは、個人情報に対する規制がじわじわと厳格化されています。5月から施行されたEUクッキー法もそのひとつ。その割に、日本企業の反応が鈍いのが気になります。消費者庁のレポート「国際移転における企業の個人データ保護措置調査報告書」P25〜(3)日系企業の対応状況などを見ても、多くの企業が本格的な対応に二の足を踏んでいる(場合によってはEU指令を無視したまま事業を行なっている)ことがわかります。
米国はセーフハーバールールによってadequate level of protectionを満たせているのでまあいいとしても、私達日本国はEUにまだ認められていない国(笑)だということを肝に銘じ、そろそろこのSCC・BCRへの本格対応が必要となるであろうことを、頭の片隅におかれておいたほうが良さそうです。
参考文献:

著者:堀部 政男
販売元:商事法務
(2010-04)
販売元:Amazon.co.jp