« ポケモンGOで「正しい歩きスマフォ」の練習を子供にさせてもよいかも | トップページ | BYOD導入のための3ステップ »

2016年9月15日 (木)

EUデータ保護対応で日本企業にとって十分性認定はSCCより有利か?

日本企業がEUの個人情報をEU域外に持ち出して取り扱う場合の制約について、日本企業にとって、十分性認定がSCC(標準契約条項)より無条件に優れているかについては、ちょっと立ち止まって考えてみたい。

日本企業がEUで消費者向け事業を直接するというB2Cの場合には、SCCを使うことができないが、それ以外のB2Bの場合、たとえば、日本のクラウドサービス事業者がEU企業にも自社の国内クラウドセンターを使ってもらうという場合を想定して考えてみる。

※十分性認定とBCR,SCCの違いについては、日経ITproの「[第2回]「十分性認定」のない日本企業」がわかりやすい。

十分制認定が取れていれば、企業が個別に手間がかからなくてよいという利点があるのは確かだが、そのためには、本来は内政である国内の個人情報保護基準をEUに合わせることになる。
たとえば、日本の個人情報保護法は現行法でも改正法でも、個人情報を取得する際に利用目的を通知するだけで、同意を得る必要はない。しかし、十分性認定を取るためには、同意を得る必要がある。
個人的には、同意を得るのがよいだろうと思っているが、それは日本がその是非を判断して決めることであって、その是非をEUに強制されるということには疑問がある。
国内基準は海外基準も視野に入れて決めないといけないのだから、最初から海外基準を採用すればいいではないかという考え方があるかもしれないが、それは海外基準を無条件に採用することとは異なる。当該海外基準の内容を見て、それが国内でも適当であるから海外基準を文書をそのまま使うと判断することと、内容の判断なく基準をそのまま受け入れるということとは異なる。

本来の最善策は、米国EUセーフハーバーのように、国内基準は自分で決め、EUと取引したい企業は自らの選択として、EU基準に合わせるというのが最善ではあろう。しかし、セーフハーバー締結はいろいろな駆け引きがあり、現状の日本政府がそれをできないのであれば、十分性認定を次善とするより、SCCが次善策なのではないだろうか。

また、SCCの欠点は手間がかかることであるが、その手間には以下の3点ある。
1.データ受理者(日本企業)がEUの求める管理体制の整備をしないといけないこと
2.データ送出者(EU企業)がEUの求める管理体制の整備をしないといけないこと
3.それらについてEUのDPAから認定を受けること

1については、本来しなければならないことが求められているのであって、いずれにしてもすることになる。すなわち、十分性認定を国が取るとしたら、全国内企業はそれを常に求められるている。したがって、これはSCCとしての欠点にはならない。
先に3については、国内規制であれば日本語だけでよいが、英語で書面などを準備しなければならないという手間が増える。しかし、そもそも、やりたいことは、EU企業相手の事業なのであれば、認定を受けるという手続きの手間は増えるが、英語での整備については、追加として増えることではないのではないか。
そして2についてであるが、十分性認定があれば、事業のお客様となるEU企業にこれを求め、それについて3を求めることが、事業で不利になるということが指摘されている。
手間の観点では確かにそうだが、リスク・マネジメントの観点も加味した方がよい。
たとえば、個人情報の流出が複数の関係者、すなわち複数の企業間で起きた場合だが、機密情報が流出した場合に比べると、流出源を外部状況から観察して特定するのは比較的困難になる。そのとき、企業間の関係が対等ではなく受発注関係であると、通常は、発注者が受注者からの流出を疑い、それがなかったことの説明を求められる。しかし、仮に、発注者からの流出だった場合に、受注者側からそれを言い出すことはやりにくいだろう。
ここで当然なのは、発注者も十分な管理をしていなければならないが、それを受発注間の契約で言及することは通常は行われない。しかし、この点は、実は受注者側の残存リスクである。受注者の無実を証明しない限り責任を取らされる可能性があり、それが受注者側だけの片務でかかっているというのが、通常の機密保持契約書だ。
SCCを締結するにあたっては、上記2により、これを求めることができ、さらに3によってDPAが認定するということによって、契約書外でリスク・マネジメントできる利点があると捉えることはできないだろうか。

EU企業のお客様に対して、SCC締結を求めなければならないということは、ビジネスの不利な条件ではあるが、その場合の競合相手の他国の企業とは、サービス内容や価格で、その手間を圧しても有益であるという差別化ができればよい。
もちろん、サービス内容や価格が同等の場合には、不利ではあるが、SCC認定を容易に取得できないEU企業と取引することのリスクもまた考えてもよいのではないだろうか。
特に、日本国内での委託先での個人情報流出事案では、流出源の調査には発注元も協力して解決に当たっているし、発注元は自身への被害を最小化することで委託先への損害賠償額も抑止される。しかし、EU企業の場合には、はたして、同様になされるだろうか?まずは、受注者が無実の証明を一方的に求められないか?さらに国内では実費相当の損害賠償が基本となるのに対して、EUでは高額な制裁金も課されるだろう。
SCCを締結すると、その原因調査や責任分担が明確になるとは、もちろん言えないが、SCC締結に難色を示すEU企業は、要注意だと考えることもできないだろうか。

そんなことも考えながら、日本は、十分性認定を取ることが次善なのかを決めることが大切だと思う。
ただ、いずれにせよ、最善なのは、日本EUセーフハーバーではないかと考えている。

9月 15, 2016 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/66521/64206527

この記事へのトラックバック一覧です: EUデータ保護対応で日本企業にとって十分性認定はSCCより有利か?:

コメント

コメントを書く