ＥＵデータ保護対応で日本企業にとって十分性認定はＳＣＣより有利か？

日本企業がＥＵの個人情報をＥＵ域外に持ち出して取り扱う場合の制約について、日本企業にとって、十分性認定がＳＣＣ（標準契約条項）より無条件に優れているかについては、ちょっと立ち止まって考えてみたい。

日本企業がＥＵで消費者向け事業を直接するというＢ２Ｃの場合には、ＳＣＣを使うことができないが、それ以外のＢ２Ｂの場合、たとえば、日本のクラウドサービス事業者がＥＵ企業にも自社の国内クラウドセンターを使ってもらうという場合を想定して考えてみる。

※十分性認定とＢＣＲ，ＳＣＣの違いについては、日経ITproの「［第2回］「十分性認定」のない日本企業」がわかりやすい。

十分制認定が取れていれば、企業が個別に手間がかからなくてよいという利点があるのは確かだが、そのためには、本来は内政である国内の個人情報保護基準をＥＵに合わせることになる。
たとえば、日本の個人情報保護法は現行法でも改正法でも、個人情報を取得する際に利用目的を通知するだけで、同意を得る必要はない。しかし、十分性認定を取るためには、同意を得る必要がある。
個人的には、同意を得るのがよいだろうと思っているが、それは日本がその是非を判断して決めることであって、その是非をＥＵに強制されるということには疑問がある。
国内基準は海外基準も視野に入れて決めないといけないのだから、最初から海外基準を採用すればいいではないかという考え方があるかもしれないが、それは海外基準を無条件に採用することとは異なる。当該海外基準の内容を見て、それが国内でも適当であるから海外基準を文書をそのまま使うと判断することと、内容の判断なく基準をそのまま受け入れるということとは異なる。

本来の最善策は、米国ＥＵセーフハーバーのように、国内基準は自分で決め、ＥＵと取引したい企業は自らの選択として、ＥＵ基準に合わせるというのが最善ではあろう。しかし、セーフハーバー締結はいろいろな駆け引きがあり、現状の日本政府がそれをできないのであれば、十分性認定を次善とするより、ＳＣＣが次善策なのではないだろうか。

また、ＳＣＣの欠点は手間がかかることであるが、その手間には以下の３点ある。
１．データ受理者（日本企業）がＥＵの求める管理体制の整備をしないといけないこと
２．データ送出者（ＥＵ企業）がＥＵの求める管理体制の整備をしないといけないこと
３．それらについてＥＵのＤＰＡから認定を受けること

１については、本来しなければならないことが求められているのであって、いずれにしてもすることになる。すなわち、十分性認定を国が取るとしたら、全国内企業はそれを常に求められるている。したがって、これはＳＣＣとしての欠点にはならない。
先に３については、国内規制であれば日本語だけでよいが、英語で書面などを準備しなければならないという手間が増える。しかし、そもそも、やりたいことは、ＥＵ企業相手の事業なのであれば、認定を受けるという手続きの手間は増えるが、英語での整備については、追加として増えることではないのではないか。
そして２についてであるが、十分性認定があれば、事業のお客様となるＥＵ企業にこれを求め、それについて３を求めることが、事業で不利になるということが指摘されている。
手間の観点では確かにそうだが、リスク・マネジメントの観点も加味した方がよい。
たとえば、個人情報の流出が複数の関係者、すなわち複数の企業間で起きた場合だが、機密情報が流出した場合に比べると、流出源を外部状況から観察して特定するのは比較的困難になる。そのとき、企業間の関係が対等ではなく受発注関係であると、通常は、発注者が受注者からの流出を疑い、それがなかったことの説明を求められる。しかし、仮に、発注者からの流出だった場合に、受注者側からそれを言い出すことはやりにくいだろう。
ここで当然なのは、発注者も十分な管理をしていなければならないが、それを受発注間の契約で言及することは通常は行われない。しかし、この点は、実は受注者側の残存リスクである。受注者の無実を証明しない限り責任を取らされる可能性があり、それが受注者側だけの片務でかかっているというのが、通常の機密保持契約書だ。
ＳＣＣを締結するにあたっては、上記２により、これを求めることができ、さらに３によってＤＰＡが認定するということによって、契約書外でリスク・マネジメントできる利点があると捉えることはできないだろうか。

ＥＵ企業のお客様に対して、ＳＣＣ締結を求めなければならないということは、ビジネスの不利な条件ではあるが、その場合の競合相手の他国の企業とは、サービス内容や価格で、その手間を圧しても有益であるという差別化ができればよい。
もちろん、サービス内容や価格が同等の場合には、不利ではあるが、ＳＣＣ認定を容易に取得できないＥＵ企業と取引することのリスクもまた考えてもよいのではないだろうか。
特に、日本国内での委託先での個人情報流出事案では、流出源の調査には発注元も協力して解決に当たっているし、発注元は自身への被害を最小化することで委託先への損害賠償額も抑止される。しかし、ＥＵ企業の場合には、はたして、同様になされるだろうか？まずは、受注者が無実の証明を一方的に求められないか？さらに国内では実費相当の損害賠償が基本となるのに対して、ＥＵでは高額な制裁金も課されるだろう。
ＳＣＣを締結すると、その原因調査や責任分担が明確になるとは、もちろん言えないが、ＳＣＣ締結に難色を示すＥＵ企業は、要注意だと考えることもできないだろうか。

そんなことも考えながら、日本は、十分性認定を取ることが次善なのかを決めることが大切だと思う。
ただ、いずれにせよ、最善なのは、日本ＥＵセーフハーバーではないかと考えている。