欧州委員会が非EU/EEA国のデータ処理者への個人情報移送に関する改正標準契約条項を決定

　
　本ブログでもしばしば紹介してきたとおり、わが国も含め先進国のプライバシーや個人情報保護面の監視体制は制度的には整ってきているといえよう。

　しかし一方で、ITCの分野はさらにその先を行っている。すなわち、2003年頃から 欧米主要国でも最も機微情報を扱う金融機関でのアウトソーシングは小切手処理やコールセンター業務から始まり、さらに国外へのアウトソーシングがごく一般的となっている。(筆者注1)

この問題は筆者が現在進めている「クラウド・コンピューテイングの法的検討課題」と極めて緊密な関係がある問題であり、その関連で今回の欧州委員会の決定を知った。(筆者注2)

EUやEEAを除き従来各国の法律や裁判制度等の下でのアウトソーシングの運用を前提としてきた監視体制のあり方の抜本的な見直しが必要になる大きな問題であり、急遽まとめることとした。

内容は本文で述べるとおりであるが、2月5日に採択、2010年5月15日施行する欧州委員会(以下「委員会」という)の標準契約条項はデータ・コントローラー(データ管理責任者)にとって契約上の採用遵守を強制するものではない。しかし、同委員会はEUのデータ管理者がEU/EEA以外の第三国のデータ・プロセッサー（データ処理責任者）に個人情報を移送する契約において本標準契約条項を採用することの優位性は、一方では取扱企業に保護規準の遵守義務を負わせることであり、他方ではEU加盟国の保護監督機関に対し、これらの移送が十分適切な保護にあたることを認めさせるという利点がある点を指摘する。

また、今回の委員会決定は今後、筆者がまさに問題視しているアウトソーシングやデータの二次使用問題を具体的に解決する具体的なメルクマールとなるともいえる。

わが国の中ではメディアも含めこの問題の重要性に気づいていないのか、ウェブ上で紹介レポートは1件(筆者注3)のみである。

　なお、本原稿をまとめる作業中の3月7日時点で気がついたのであるが、委員会の公式サイトでの説明不足と思われる点も見つけた。あわせて記しておく。

１．今回委員会が採択したEU企業のデータ管理責任者のEU/EEA以外の第三国の情報処理者への個人情報の移送に関する改正標準契約条項
　今回の改正作業に当り産業界を代表して委員会で検討を交渉した「ハントン・ウイリアムズ・ローファーム(Hunton & Williams　Law Firm )」弁護士のクリストファー・クナー氏(Christopher Kuner)のレポートは、単に委員会のリリースの解説だけでない実務面の重要な指摘が含まれており、ここでも参照した。

(1)第三国への移送に関する委員会の標準契約条項決定の法的根拠と法的効果
　EUの個人情報保護指令(Directive 95/46/EC) 26条 (2)項および (4)項は、適切な保護レベルを提供していない第三国への情報移送における十分な安全対策として一定の「標準的契約条項」を決定できる権限を定めている。

　委員会は次の検討手続きを経て改正条項を決定した。
①委員会の改正(案)
②EU加盟国の全保護委員からなるEU指令第29条専門調査委員会(Article 29 working party)本ブログの筆者注14参照)
③加盟国の主要国の代表からなるEU指令第31条管理委員会(Article 31 Management Committee)
④委員会が行政権限を適格に執行しているかをチェックする30日間の欧州議会による精査、他

　今回の決定は、委員会が適切なレベルでないとは認定するEU加盟国27カ国およびアイスランド、ノルウェイ、リヒテンシュタインのEEA(European Economic Area)欧州経済領域3カ国、スイス(筆者注4)以外の国へのデータ・コントローラーからデータ処理者間の個人情報移送に関する改正標準契約条項に関する決定を採択したものである。

　なお、EUがEU/EEA以外の第三国で情報保護体制が相当であるすなわち特別な手続なしにEU住民の個人情報を受け取りを認めている国は、カナダ、アルゼンチン(Argentina)、ガーンジー(Guernsey)、マン島(Isle of Man)、ジャージー(Jersey)とセーフハーバー協定を締結している米国のみである。

(2)すでに委員会が決定している標準的モデル契約条項　
・委員会決定：2001/497/EC “controller to controller” に関する
もの
・委員会決定： 2002/16/EC “controller to processors”に関する
もの
・委員会決定： 2004/915/EC “controller to controller ”に関す
　るもので2001/497/ECの改正版

　なお、国際商工会議所(International Chamber of Commerce：ICC)は“The E.U. Alternative Standard Contractual Clauses for International Data Transfers”において“2004/915/EC”に関する詳細な解説を行っている。また、5月4日に前記クナー氏を講師とするオンライン・セミナーを開催する予定である。

(3)EU/EEAの企業におけるアウトソーシングの前提とする契約手続条項の導入ニーズと新条項の留意点
A.「ハントン・ウイリアムズ・ローファーム」のブログは、新モデル条項の契約実務面から見たメリット・留意点を次のとおりまとめている。
①新条項は、EUのデータ保護法において非EUのデータ処理者からデータ処理者へのデータ移送について法的な根拠を提供する。新条項のもとで主たるデータ管理者が書面で合意した処理者の保護義務は、下請け処理契約にも適用される。また下請け契約者の法違反に関する当初の契約者である処理者の責任もそのまま引続く。

②従来の条項で多くのEU企業が反対した強制仲裁条項(mandatory arbitration clause)は、削除された。

③データ管理者からデータ処理者への個人情報の移送に関する条項は、施行後は新条項を新規採用または変更しなければならないが、既存のモデル条項についてはその効力は存続する。

④新条項は、EU内からEU域外データ処理者への移送をカバーした内容であるが、EU域内の処理者の域外の処理者への下請け契約はカバーしていない。しかし、加盟国の保護監督機関はこのような場合についても新条項の使用を認めることになろう。

B.英国のPinsent Masons LLPの解説サイト“OUT-LAW News”は、現状の英国のデータ管理者の取組みを踏まえた問題と、今回のモデル条項の改正により契約実務がどのように変わるかにつき以下のとおり解説している。やや長くなるが、契約実務面の解説としては参考になると考え、正確に紹介する。

「従来のモデル契約条項の問題点は、データ管理者は非EU/EEAのデータ処理者へのデータの移送は想定していたものの、データ処理の下請け（再委託）までを想定していない。データ管理者はEU指令(Directive 95/46/EC)や加盟国の保護法の遵守義務・責任を負うが、処理者は負わない。新しいモデル条項の下では、データ管理者は処理者との間でEU指令に基づく管理者の安全対策責務等につき処理者に伝えるかたち移転契約を結ぶことになる。

　従来、もしアウトソーシング会社である処理会社が特定の仕事を再委託に出すとしたら、データ管理者はデータの移送に関し自身が負う義務をどのようなかたちで履行するかにつき決定しなければならなかった。このような場合の対策として、管理者は下請け契約の禁止を行うことはできるが、これは現実的な選択肢ではない。

　データ管理者はデータ処理者に対し同程度の安全義務を下請け契約者に課すことで下請けを認めることが出来たが、この場合の問題点は、データ処理者が下請け契約者からモデル条項の内容につき署名を得たとしても、これはデータ管理者と処理者の間を拘束するもので処理者と再処理者(下請け契約者)を自動的に拘束するものではない。

　このため一般的に英国の管理者が取った方策の１つは、モデル条項を使用するとき、管理者は情報保護にために適切な手段を取ることおよび適切に行われているかの調査権を主張することである。また別の方策としては、いかなる下請け業者も管理者と処理者のモデル契約に直接加わるというものであった。しかし、この方法はリスクは比較的少なく、管理者は直接的責任を下請け業者に課すものといえるが、このような契約につき下請け業者の同意は難しく抵抗にあったり、複数の下請け業者がいた場合、同意の確保が煩雑等の問題があった。

　今回の改正条項は、非EUの処理者の下請け契約を１以上の非EU下請け業者にも適合させ、これはデータ管理者からの要求にもとづく合意事項とする。そして処理者はモデル条項のもとでデータ処理者に課されるのと同様の義務を下請け処理者の義務として課す旨の合意文言を契約書に明記するというものである。

　このような契約形式は「主契約(head contract)」ではしばしば使用される方式であるが、新条項に基づき下請け処理者が書面の契約書に定める保護義務を履行しないとき、処理者は同契約合意に基づき下請け処理者の責務に関しデータ管理者に100%の責任を負うことになる。

　下請け契約もデータ管理者の遵守すべき法（データ管理者の遵守の根拠法）に準拠することになり、下請け契約者にとってはビジネス的には面白くない、例えば米国の処理者とインドの下請け業者の下請け契約が英国の保護法に支配されることになるが、少なくともデータ保護は実行されるといえる。

　また、新条項はその要件としてデータ処理者は下請け契約の写しをデータ管理者に提供すること、およびデータ管理者は下請け契約のリストを作成かつ少なくとも毎年更新しなければならないと定める。

　新条項の脚注で下請け業者はデータ管理者と処理者間のモデル条項につき共同調印できる点を記している。ただし、この共同署名は後下請け業者が追加された場合には有効に機能しない点が懸念される。」

２．欧州委員会サイトの更新作業の遅れや説明不足
(1) 欧州委員会（市民の自由、司法および域内問題委員会(Committee on Civil Liberties ,Justice and Home Affaires European Parliament)のEU/EEA以外の第三国への個人情報の移送に関するモデル契約(Model Contracts for the transfer of personal data to third countries )解説サイトの更新の遅れ
　3月初めには改訂されたが、2月末の時点では今回の決定の原文検索のキーとなる情報が欧州委員会のサイトどこにもなかった。当然のことながらリリースもEUの官報にあたるOffice Journalの番号にはまだ言及していない。筆者も一番困ったと思ったのであるが、EUの各法律事務所やローファームも同様の問題指摘を行っている。

(2)標準契約条項に関する委員会決定についての説明不足
　今回の契約条項のもととなるモデル契約条項は2002/16/ECである。前述(および筆者注3)のとおり、委員会決定は2種類ある。
　このことは英国の大手ローファームの専門家でさえ理解されていない。例えば、Pinsent Masons LLPの解説サイト“OUT-LAW News”の2月18日付けの記事を見て気がついた。この2種類が区別されておらず、今回のモデル契約条項が委員会決定「2001/497/EC (controller to controller) に関するもの」の改正版であるように指摘している。重ねて言うが、今回のモデル条項は委員会決定 「2002/16/EC (controller to processors) に関するもの」の改正版である。

　このような誤解が生じる最大の原因は、欧州委員会の解説サイトの説明不足であろう。
ただし、3月初めに改訂された新しい解説サイトをよく読むと「第三国におけるデータ処理者への個人情報の移送に係る標準契約条項(Standard Contractual Clauses for Data Processors established in Third Countries)」として今回の改訂条項と2002/16/ECが併記されており、今後は“OUT-LAW News”の解説のような誤解はなくなるであろう。(筆者注5)

3．わが国の国際化する企業活動とアウトソーシング規制のあり方
　わが国の企業の新たな国際戦略とはいかなることであろうか。トヨタの例で代表されるとおりわが国の製造や繊維メーカー業界等の海外進出は著しい。しかし、これらの企業は競争法、知的財産権、訴訟リスク、政治的安定性等に配慮すればよかった。しかし、わが国の経済における第三次産業のウェイトはますます高まるであろうことは間違いない。

　とりわけ、金融、ソフトウェア開発等については国内の再委託（アウトソーシング）は極めて限定されており、前者については自由化されたものの依然当局の監督下における護送船団の運用が続いており、一方後者については製品サービスの保証基準・瑕疵担保責任等はなく、現状はユーザーとベンダー間の相対契約にもとづく範囲での保証しかなく品質保証はほとんどない。

　これは海外でも同様であるが、これだけITが行政、企業や教育活動に欠かせないものとなっている時代にこのままで良いのかと考えるのは筆者だけではあるまい。

　この問題につき、ユーザーとベンダー間の信頼性強化の観点から経済産省が中心となって検討を行いまとめたのが「情報システム信頼性向上のための取引慣行・契約に関する研究会」最終報告書 ～情報システム・モデル取引・契約書～」である。筆者も研究会の主要委員から実務面の課題や裁判例について具体的な説明を聞く機会を最近もった。その「第一版」の説明の中で再委託におけるユーザーの承認の要否・責任の明確化があげられている。

　また、筆者が現在取組んでいる「クラウド・コンピューティングの法的検討課題」の海外の研究動向でも、やはり共通的に問題となるのは国際的または国内における再委託先の品質保証シスエム（サービスレベル）の早期導入である。

　これらについは機会を改めてのべることとしたい。

(筆者注1)金融機関を含むわが国のユーザー企業や公的機関の海外に向けたアウトソーシングが普及しない最大の理由は「言葉の壁」であろう。このことはわが国の将来に大きな負担となる可能性がある。すなわち国際通用語となっている中国や言語の壁に前向きに取組んでいる韓国との国際競争力において勝ちうるのか。特に手厚い保護下で経営を行ってきた金融業界の国際金融競争はこれからが正念場である。

(筆者注2)筆者が本ニュースを直接見つけたのは、わが国でも事務所を開設しているベルギーのブリュッセルに本拠をもつ「ハントン・ウイリアムズ・ローファーム(Hunton & Williams　Law Firm )」サイトで「アウトソーシングとプライバシーの法的問題」を調べていたときである。欧州委員会からのリリースは毎日読んでいるが見逃していた。同事務所の説明によると、今回の改正条項の内容は国際商工会議所(international Chamber of Commerce：ICC)のプライバシー・情報保護専門委員会の委員長であるクリストファー・クナー氏(Christopher Kuner) と欧州委員会が数年間にわたり交渉検討してきたとある。
　
(筆者注3) 「EU、個人データ輸出規制の契約条項標準を修正」と題するものである。記事の内容は海外の記事をもとに翻訳したものといえようが、その内容は専門家向けとはいえない。例えば、本文で述べたとおり欧州委員会のEU/EEA以外の第三国への個人情報の移送に関する標準契約条項の決定は大別すると2種類あり、①“data controller to data controller”、②data controller to processor”である。今回は②が改訂されたもので（旧標準条項は欧州議会決定2002/16/ECである）この点を踏まえて説明すべきである。なお、一般向記事として見ると内容は細かな訳語のミスを除けばおおむね良好であるが、最大の問題は原文のURLの引用漏れである。メディアとしての基本原則が守られていない。

(筆者注4)スイスはEEAに直接参加していないが、EUとは1972年に締結した“Free Trade Agreement”との間で基本となる協定を締結し、またその後、保険協定、二国間協定そのた100以上の技術的な協定を締結している。その詳細な内容は欧州委員会の外部関係に関するサイトで説明されている。

(筆者注5)余談であるが、3月7日現在でもPinsent Masons LLPの解説サイト“OUT-LAW News”の誤解はそのままで修正は行われていない。筆者としても、機会があれば同法律事務所に確認しておきたい。

［参照URL］
http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/10/30&format=HTML&aged=0&language=EN&guiLanguage=en（欧州委員会のプレスリリース）
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:EN:PDF（欧州委員会の決定本文）
http://ec.europa.eu/justice_home/fsj/privacy/docs/international_transfers_faq/international_transfers_faq.pdf（欧州委員会の標準契約条項に関するQ&A）

Copyright (c)2006-2010 福田平冶．　All Rights Reserved.