国境を越えたデータ転送: SCC、BCR、および十分性の決定

国際的なデータ転送は、世界的なプライバシー コンプライアンスの中で技術的に最も複雑で法的に不確実な領域の 1 つです。 EU から米国のクラウド サーバー、日本から多国籍企業のグローバル人事システム、ブラジルからインドの処理センターなど、個人データが国境を越えて移動する場合、複数の法的枠組みが同時に適用され、それぞれの法的枠組みがデータの移動前に特定の転送メカニズムを整備する必要があります。

シュレムス II 判決 (CJEU、2020 年 7 月 16 日) は、プライバシー シールドを無効にし、標準契約条項に基づく移転について移転影響評価 (TIA) を実施することを組織に義務付けることで、国際移転の状況を根本的に覆しました。それ以来、EU と米国のデータ プライバシー フレームワークの適切性 (2023 年 7 月)、更新された EU SCC (2021 年 6 月)、そして中国 (PIPL)、インド (DPDP 法)、サウジアラビア (PDPL) などの国々からの国家レベルの転送制限の急増という 3 つの主要な進展が発生しました。このガイドは、国際的なデータ転送の迷路を進むための包括的なロードマップを提供します。

重要なポイント

• EU GDPR は、適切な保護や適切な保護手段がなければ、非 EEA 諸国への個人データの転送を制限しています
• 十分性の決定は最も単純なメカニズムです。目的地の国が EU の適切性を備えている場合、追加の保護措置は必要ありません。
• 標準契約条項 (2021 SCC) は最も広く使用されているメカニズムです。コントローラーからコントローラー、コントローラーからプロセッサー、プロセッサーからコントローラー、およびプロセッサーからプロセッサーへの転送をカバーする 4 つのモジュールです。
• SCC ベースの移転には移転影響評価 (TIA) が必要です — 目的国の法律が効果的な保護を可能にしているかどうかを評価します
• 拘束力のある企業規則 (BCR) はグループ内異動に適用されますが、EU DPA の承認が必要です - 2 ～ 3 年のプロセス
• EU-US データ プライバシー フレームワーク (2023 年 7 月) は、米国の転送に対する適切性に基づくメカニズムを提供します - DPF 認証ステータスを確認します
• 中国PIPL、サウジアラビアPDPL、インドDPDPはすべて、独自のメカニズムを必要とするアウトバウンド転送制限を課している
• 地域データのローカリゼーション要件 (ロシア、CIIO の中国、サウジの医療/財務データ) により、特定の送信転送が完全に禁止されます

---

譲渡制限の法的根拠

EU GDPR 第 5 章

GDPR 第 5 章 (第 44 条から第 49 条) では、次の場合にのみ個人データを第三国に転送できると規定しています。

1. 欧州委員会は、その国の十分性に関する決定を採択しました（第 45 条）
2. 適切な保護措置が整備されている (第 46 条) — SCC、BCR、拘束力のあるコミットメントを伴う承認された行動規範、承認された認証メカニズム、公的機関間の法的拘束力のある文書
3. 特定の除外が適用される (第 49 条) — 明示的な同意、契約の必要性、法的請求、重大な利益、公益、公的登録

原則: EU の個人データは、どこに流れても同じレベルの保護を受ける必要があります。転送メカニズムは、これを理論的に実現するツールです。

主要な判例法

Schrems I (CJEU、2015): 米国国家安全保障法が GDPR 原則の効果的な執行を妨げていると判断し、EU-米国間の送金に関するセーフハーバーの枠組みを無効にしました。

Schrems II (CJEU、2020): 無効なプライバシー シールド (セーフ ハーバーの後継)。モデル条項（SCC）は原則として引き続き有効であるが、管理者/処理者は仕向国が効果的な保護を提供しているかどうかをケースバイケースで検証する必要があることが判明した。これにより、TIA 要件が作成されました。

EU-US データプライバシーフレームワーク (2023 年 7 月の委員会決定): 信号インテリジェンス改革に関する米国大統領令 14086 (2022 年 10 月) に従って採用されました。認定 DPF 参加者に適切性を提供します。アイルランドの法廷でマックス・シュレムスが異議申し立て — シュレムス III の訴訟は進行中だが、CJEU が停止命令を出さない限り、DPF は引き続き有効である。

---

適切性の決定

最も単純な移転メカニズム: 欧州委員会が移転先国に対する十分性に関する決定を採用した場合、追加の保護措置は必要ありません。

現在の EU の十分性に関する決定 (2026 年 3 月時点):

• アンドラ、アルゼンチン、カナダ (営利団体)、フェロー諸島、ガーンジー島、イスラエル、マン島、日本、ジャージー、ニュージーランド、大韓民国、スイス、英国、ウルグアイ、米国 (EU-US データ プライバシー フレームワーク — DPF で認定された組織のみ)

重要な警告:

• US: EU-US DPF に基づいて認定された組織のみに適しています。認定されていない米国企業への移転には、SCC、BCR、またはその他のメカニズムが必要です。適切かどうかを信頼する前に、DPF Web サイト (dataprivacyframework.gov) で DPF 認定ステータスを確認してください。
• カナダ: 適切性は PIPEDA に基づく営利団体を対象としています。すべてのカナダの事業体または州の民間部門法を対象とするわけではありません。
• 日本: EU 個人データに関する補足規則の対象となる適切性
• 英国: 4年間のサンセット条項を伴う十分性決定が2021年6月に採択されました。 2025年に更新予定

適切性に関する決定は再検討の対象であり、保留される可能性があります。シュレムス II 事件は、適切性への依存のリスクを示しています。現在適切性が適用されている場合でも、緊急時の SCC 文書を維持します。

---

標準契約条項 (EU SCC 2021)

2021 EU SCC (欧州委員会決定 2021/914、2021 年 6 月 4 日) は、古いモデル条項を置き換え、4 つの移転シナリオすべてをカバーするモジュール構造を導入しました。

4 つのモジュール

モジュール 1 — コントローラー間 (C2C): 2 つのデータ コントローラー。最も一般的なのは、関連性のない企業間でのデータ共有、独自の目的で処理する CRM ベンダーへの顧客データの送信、共同データ パートナーシップです。

モジュール 2 — コントローラーからプロセッサー (C2P): データ コントローラーは、処理をサードパーティのプロセッサーにアウトソーシングします。最も一般的な用途: クラウド サービス、SaaS、IT アウトソーシング、分析サービス、データ センター。

モジュール 3 — プロセッサー間 (P2P): サブプロセッサーの手配。プロセッサがサブプロセッサを使用する場合に使用されます。

モジュール 4 — プロセッサーからコントローラー (P2C): プロセッサーはデータをコントローラーに返します。あまり一般的ではありません。特定のアーキテクチャ シナリオで使用されます。

SCC 必須コンポーネント

2021 年の SCC には、変更できない必須条項が含まれています。

• 第 2 条: 効果と不変性 — 両当事者は、許可された方法以外は条項を変更できないことに同意します
• 第 7 条: ドッキング条項 — 追加の当事者の参加を許可する
• 第 9 条: 副処理者の認可アプローチ (一般的または特定の書面による認可)
• 第 17 条: 準拠法 (少なくとも一方の当事者が設立されている加盟国法、または第三者受益者の権利を認める加盟国法である必要があります)
• 第 18 条: 裁判地の選択 (SCC を管轄する加盟国の管轄裁判所)

カスタマイズできるパーティー:

• 最小限を超える追加の保護措置 (EDPB によって推奨)
• ビジネス固有の付録コンテンツ (処理の説明、データのカテゴリー、技術的対策)
• サブプロセッサーの承認アプローチ (一般的または特定)
• 宛先国におけるデータ主体の救済メカニズム

英国の IDTA

英国 (EU ではない) からの転送の場合は、ICO の国際データ転送協定 (IDTA) または EU SCC への IDTA 補遺を使用します。これらは、2022 年 9 月 21 日以降、英国送金の EU SCC に置き換わりました (既存の EU SCC 契約については 2024 年 3 月 21 日まで延長されます)。

---

移転影響評価 (TIA)

Schrems II に続き、EDPB は、SCC ベースの送金に必須の TIA 要件を伴う送金に関する勧告 01/2020 を発行しました。 TIA は、転送先国の法的枠組みが転送データの効果的な保護を妨げているかどうかを評価する文書化された分析です。

TIA ステップ (EDPB 勧告 01/2020)

ステップ 1 — 転送を把握する: プロセッサおよびサブプロセッサを介した後続転送を含む、すべての転送をマッピングします。

ステップ 2 — 使用されている転送ツールを確認します: どの転送メカニズムが適用されるかを確認します (SCC モジュール、適切性など)。

ステップ 3 — 第三国の法律を評価する: 目的国の法律が SCC の有効性を妨げているかどうかを評価します。関連する要素:

• この国は、政府が必要かつ相応の範囲を超えて個人データにアクセスすることを許可していますか?
• 権利が侵害された場合、EU 個人に対する効果的な法的救済策はありますか?
• その国には独立した監督当局はありますか？

ステップ 4 — 補足措置を特定し採用する: TIA が問題のある仕向国の法律を特定した場合は、補足措置を実施します。

技術的対策:

• エンドツーエンド暗号化 (インポーターが復号キーにアクセスできない場合)
• 移転前のEU側での仮名化
• 単一のインポーターが完全なデータにアクセスできない分割/マルチパーティ処理
• ゼロ知識アーキテクチャ

契約上の措置:

• 透明性義務（輸入者は法的拘束力のあるデータ開示要求を輸出者に通知）
• 輸入者は、法的に可能な場合にはデータ開示要求に異議を唱えます
• 処理されるデータを必要最小限に削減

組織的な対策:

• 政府のアクセスを制限する内部ポリシー
• 法執行機関の要請に対応する適切な技術スタッフ

ステップ 5 — 正式な手順を実行します: SCC を完了し、記録を更新し、TIA を文書化します。

ステップ 6 – 適切な間隔で再評価する: TIA は 1 回限りの演習ではありません。目的地の国の法律が変更され、SCC が修正され、EDPB または各国の DPA からの重要な新しいガイダンスが出現した場合に再評価します。

TIA の国別の考慮事項

---

拘束力のある企業ルール (BCR)

BCR は、EU の管轄当局によって承認された法的拘束力のあるグループ内データ保護規則です。これらは最も堅牢な転送メカニズムですが、実装が最も複雑でもあります。

BCR の対象範囲:

• コントローラー BCR: すべてのグループ メンバーがコントローラーとして機能する企業グループ内のグループ内転送を許可します。
• プロセッサ BCR: プロセッサ (グループ内サービス会社を含む) が EU 管理者からデータを受信して処理できるようにします。

BCR の利点:

• 承認されると、対象となるグループ内フローに転送ごとのメカニズムは必要なくなります
• 最高レベルのコンプライアンスへの取り組みを実証
• 一部の DPA は、BCR 保有グループをより信頼できるものとして扱います

BCR 要件 (GDPR 第 47 条および EDPB ガイドライン):

• すべてのグループメンバーを拘束し、第三者受益者としてのデータ主体によって強制可能
• グループ構成とグループメンバーを明確に指定する
• グループ内のすべての転送と一連の転送をカバーします
• データ処理の目的、データ カテゴリ、受信者、保存期間、非 EU グループ メンバー向けの情報を含める必要があります。
• データ主体の権利をその行使方法も含めて指定する
• コンプライアンス検証（監査、トレーニング）を含む
• 変更の報告メカニズム
• DPAとの協力メカニズム

BCR プロセス: 主任監督当局 (企業の EU 本社が所在する DPA) に申請します。主任 DPA は、他の EU DPA との相互承認手続きを実施します。スケジュール: 通常、申請から承認まで 2 ～ 3 年かかります。申請には広範な文書が必要です。

承認された BCR 保有者: IBM、マリオット、BCG、アーンスト & ヤング、ジョンソン & ジョンソンなど、100 を超える多国籍グループが EU 委員会によって承認された BCR を保有しています。

---

EU 以外の国への移転制限

EU 以外の多くの国は現在、独自の送信データ転送制限を課しています。これにより、多国籍組織にとって双方向のコンプライアンスの複雑さが生じます。

中国PIPL

CAC セキュリティ評価は次の場合に必要です。 CIIO。年間 100,000 人以上の個人データが転送されます。少量の送金向けの標準契約（EU SCC をモデルとしているが中国固有）。グループ内移転の認証メカニズム。 (詳細については、専用の中国 PIPL ガイドを参照してください。)

サウジアラビアPDPL

ほとんどの送信転送には SDAIA の承認または適切性が必要です。セクター固有のローカライゼーション (医療、金融) では、特定の移転が完全に禁止される場合があります。 SDAIA によって開発中の標準契約条項メカニズム。

インド DPDP 法

ポジティブリストアプローチ — 中央政府の通知によって特に制限されている国を除き、すべての国に移転が許可されます。セクター固有のローカリゼーション (RBI、ヘルス) は引き続き独立して適用されます。

ブラジルLGPD

ANPD の適切性に関する決定または契約上の保護措置が必要です。 ANPD は、標準的な契約条項テンプレートを開発しています。代替メカニズムとして明示的な同意を利用できます。

ロシア

連邦法第 149-FZ 号および連邦法第 152-FZ では、ロシア国民の個人データは最初にロシア国内で収集および処理されることが義務付けられています。国境を越えた転送は、ロシアにローカライズされた後にのみ許可されます。実際には、制裁と技術制限により、ロシアからのデータ転送は非常に複雑になっています。

---

国境を越えた転送コンプライアンスチェックリスト

• マッピングされたすべての国境を越えたデータ転送 (コントローラー、プロセッサー、サブプロセッサーのフロー)
• フローごとに決定された転送メカニズム (適切性、SCC、BCR、制限)
• EU の適切な目的地が検証済み (米国の受信者に対して DPF 認証がチェック済み)
• EU SCC が選択されました: 各転送関係に適切なモジュール
• SCC 付属文書の完成: データの説明、技術的/組織的対策
• SCC ベースの移転に対して実施される移転影響評価
• TIA が問題を特定した場合に実施される補足措置
• 英国からの送金に使用される英国 IDTA または付録 (EU SCC ではない)
• グループ内で大規模な移転を行う場合に BCR 申請を提出
• サブプロセッサ SCC チェーンが実装されました (モジュール 3 またはサブプロセッサのコントローラ承認)
• EU 以外のアウトバウンド転送制限が評価されました (PIPL、PDPL、DPDP、LGPD)
• 規制セクター向けに評価されたデータ ローカリゼーション要件
• TIA 再評価スケジュールが確立されました
• 転送メカニズムを反映するために更新された処理アクティビティの記録
• 免除に基づく転送について評価される DPA 通知要件

---

よくある質問

既存の契約に古い EU SCC (2021 年以前) を使用できますか?

いいえ。古い EU SCC を 2021 年 SCC に置き換える移行期限は、2022 年 12 月 27 日でした。古い EU SCC はもう有効ではありません。古い SCC (決定 2001/497/EC、2004/915/EC、または 2010/87/EU に基づいて発行された) をまだ参照している契約がある場合、それらの契約は 2021 SCC に更新する必要があります。新しい契約では 2021 SCC を使用する必要があります。古い SCC に依存し続けると、組織は強制措置にさらされることになります。

すべてのデータ転送に SCC が必要ですか、それとも全体的な合意が 1 つだけ必要ですか?

SCC は、データ エクスポーターとデータ インポーターの各ペアの間で実行する必要があります。あなたの会社 (EU 拠点) が 10 の異なるクラウド ベンダーを使用し、それぞれが個人データを受信する場合は、10 の個別の SCC 契約が必要です。単一の SCC 契約内で、複数のカテゴリのデータ、複数のデータ主体、および複数の目的をカバーできますが、それぞれの二国間関係には独自の締結された契約が必要です。多くのベンダーを抱える大規模組織の場合、SCC 在庫と更新追跡システムを維持することが不可欠です。

EU-US データ プライバシー フレームワークとは何ですか?また、その使用方法は何ですか?

EU-US データ プライバシー フレームワーク (DPF) は、信号インテリジェンスのプライバシー保護の強化に関する米国大統領令 14086 に従って、2023 年 7 月 10 日に欧州委員会によって採用された十分性メカニズムです。これにより、SCC や TIA なしで個人データが EU から認定された米国の組織に流れることが可能になります。 DPF を使用するには: (1) 米国の受取人は米国商務省に自己証明する必要があります。 (2) dataprivacyframework.gov で認定を確認します。 (3) 認証されている場合、その組織への EU→US 移行には追加のメカニズムは必要ありません。 DPF は法的に異議を申し立てられています (Schrems III) - 緊急事態に備えて SCC バックアップ文書を維持します。

問題を引き起こす最も一般的な TIA の結果は何ですか?

最も一般的な問題のある TIA の調査結果には次のものが含まれます。(1) 広範な政府監視アクセス、特に司法監督なしで一括収集を許可する米国 FISA セクション 702 および他の国の同等の当局。 (2) プライバシー保護を無効にする国家安全保障法 - 独裁国家では一般的。 (3) EU 個人に対する効果的な法的救済策の欠如 - 裁判所が独立していないか、EU 個人に地位がない場合。 (4) 処理者に課せられるデータアクセス義務 — 例: CIIO に対する CSL/PIPL に基づく中国の義務。 TIA が問題を特定した場合、通常、特定のリスクに対処するために技術的対策 (暗号化、仮名化) が実装されますが、特定されたアクセスを単に主張するだけでなく、実際に阻止する必要があります。

第 49 条に基づく免除は定期的な異動にも適用されますか?

いいえ、EDPB は一貫して、第 49 条の適用除外は臨時的かつ非反復的な異動にのみ適用されると述べています。明示的な同意（除外条項 49(1)(a)）は、日常的な異動の場合に特に問題になります。同意は具体的であり（目的国の名前と異動のリスクを説明する）、自由に与えられ（雇用または必須サービスの状況では難しい場合があります）、各異動前に明示的に取得する必要があります。クラウド サービス、HR システム、CRM システムなどの体系的で継続的なデータ フローの場合、除外は適切ではありません。ルーチン転送には SCC、BCR、または十分性メカニズムを使用します。

サブプロセッサのデータ転送はどのように処理すればよいですか?

サブプロセッサの転送は、適切な転送メカニズムによってカバーされる必要があります。 EU SCC モジュール 2 (コントローラーからプロセッサー) に基づき、プロセッサーは、適切な国または SCC の下にあるサブプロセッサーのみを関与させる必要があります。モジュール 3 (プロセッサー間) では、サブプロセッサーの関係について説明します。管理者はサブプロセッサーについて通知を受け、承認する必要があります (具体的に、または通知によりカテゴリーごとに)。サブプロセッサーは、通常はモジュール 3 SCC を組み込んだサブプロセッサー契約を通じて、プロセッサーと同じデータ保護義務に拘束される必要があります。多くの組織は副処理者リストを維持し、プライバシー通知を通じてデータ主体に通知します。

---

次のステップ

国境を越えたデータ転送のコンプライアンスは、1 回限りのプロジェクトではなく、継続的な管理活動です。新しい国の法律によりアウトバウンド転送が制限され、適切性の決定が法的異議申し立てにさらされ、ベンダーの状況が進化するにつれて、転送メカニズムの在庫もそれに対応する必要があります。

ECOSIRE は、組織が転送メカニズムのフレームワークを設計し、転送影響評価を実施し、国際的なデータ運用に対する技術的保護措置を実装するのに役立ちます。当社の経験は、EU GDPR、英国 GDPR、PIPL、LGPD、および新興の国家枠組みに及びます。

始めましょう: ECOSIRE サービス

免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。国境を越えたデータ転送の要件は複雑で管轄区域ごとに異なり、裁判所の判決や規制の指針によって急速に変更される可能性があります。組織の異動フローに特有のアドバイスについては、資格のある法律顧問に相談してください。