特集 EU 一般データ保護規則(GDPR)について

欧州連合(EU)では、個人情報(データ)の保護という基本的人権の確保を目的とした「EU 一般データ保護規則(General Data Protection Regulation:GDPR)」が、2016年5月24日に発効、2018年5月25日から適用が開始されています。
GDPRは、EUを含む欧州経済領域(EEA)域内で取得した「氏名」や「メールアドレス」「クレジットカード番号」などの個人データを EEA 域外に移転することを原則禁止しており、現地進出の日系企業に勤務する現地採用従業員や、日本から派遣されている駐在員も含まれるため注意が必要とされます。行政罰規定があり、違反行為に対しては、高額の制裁金が課されるリスクもあります。

EUは日本に対する「十分性認定」を2019年1月23日に行いました。これにより、民間事業者においては、EUから日本への個人データの移転は標準契約条項(SCC)の使用等の適切な保護措置を取らなくても、個人情報保護委員会の十分性認定補完的ルールを順守する限り、GDPR上適法に行うことが可能となりました。しかし、EUから「十分性認定」のない第三国への個人データの移転を行う場合には引き続きSCC等を使用した適切な措置が求められます。また、日本を含むEU域外の企業・組織によるEU所在者の個人データの取得が、「移転」ではなく「処理」と評価される場合にはGDPRが適用され、第三国への個人データの移転の場合のSCC等の使用を含め、GDPRに則った対応が必要となります。さらに、2021年6月4日には改定版SCCが公表され、9月27日より新たな契約締結において改定版SCCを利用することが求められています。

本ページでは、GDPRに関する情報を提供します。

「英国一般データ保護規則(UK GDPR)」実務ハンドブック

調査レポート

ビジネス短信から

参考資料

標準契約条項(Standard Contractual Clause: SCC)の契約書ひな形
標準契約条項(SCC)の改定版を付属書として含む、欧州委員会実施決定2021/915と欧州委員会実施決定2021/914が2021年6月27日から施行された。これにより、これまで利用されてきたSCC(欧州委員会決定2001/497および2010/87)は9月27日に廃止され、新たな契約締結では改定版SCCの利用が求められている。また、2022年12月27日までに従来のSCCに基づく契約を、改定版SCCを用いた契約に置き換える必要がある。

管理者―管理者(第三国へのデータ移転)
個人データの第三国への移転のための標準契約条項に関する2021年6月4日付欧州委員会実施決定(EU)2021/914外部サイトへ、新しいウィンドウで開きます
標準契約条項(SCC)に関する決定(2001/497/EC)外部サイトへ、新しいウィンドウで開きます
※欧州委員会実施決定(EU)2021/914により、上記決定(2001/497/EC)は2021年9月27日に廃止。
標準契約条項(SCC)の別の選択肢に関する決定(2004/915/EC)外部サイトへ、新しいウィンドウで開きます
管理者―処理者
管理者・処理者間の標準契約条項(SCC)に関する2021年6月4日付欧州委員会実施決定(EU)2021/915外部サイトへ、新しいウィンドウで開きます
管標準契約条項(SCC)に関する決定(2010/87/EU)外部サイトへ、新しいウィンドウで開きます
※欧州委員会実施決定(EU)2021/914により、上記決定(2010/87/EU)は2021年9月27日に廃止。

関連資料のジェトロ参考和訳

欧州委員会資料(ジェトロ参考和訳)
個人データの第三国への移転のための標準契約条項に関する2021年6月4日付欧州委員会実施決定(EU)2021/914(参考和訳)(2021年10月)PDFファイル(1.1MB)
管理者・処理者間の標準契約条項(SCC)に関する2021年6月4日付欧州委員会実施決定(EU)2021/915(参考和訳)(2021年10月)PDFファイル(977KB)
標準的契約条項(Standard contractual clauses:SCC)(2018年3月)
データ保護影響評価(DPIA)に関する第29条作業部会ガイドラインwp248_rev01(ジェトロ仮訳)PDFファイル(1.4MB)