Compliance & Regulationシリーズの一部
完全ガイドを読む国境を越えたデータ転送規制: 国際的なデータ フローをナビゲートする
グローバル企業の 85% が国境を越えて個人データを転送していますが、文書化された転送メカニズムが整備されている企業は 34% のみです。 2020 年にシュレムス 2 世が EU-US プライバシー シールドを無効にして以降、国境を越えたデータ転送はデータ保護法の最も複雑な分野の 1 つになりました。 EU-米国間のデータプライバシーフレームワークにより、米国の転送に対する法的確実性が部分的に回復されましたが、世界的なデータ転送制限のより広範な状況は拡大し続けています。
このガイドは、国境を越えたデータ転送規制の現状をマッピングし、国際的に事業を展開する企業に実践的な実装ガイダンスを提供します。
重要なポイント
- EU は、「適切な」データ保護を提供していると認めているのは 15 か国のみ --- 他のすべての転送には追加のメカニズムが必要
- 標準契約条項 (SCC) が最も一般的な移転メカニズムですが、現在は補足的な移転影響評価が必要です
- データのローカリゼーション要件が増大: 中国、ロシア、インド、サウジアラビアは特定のデータの国外への流出を制限しています
- EU-US データプライバシーフレームワークは、自己認証を行う米国企業に転送メカニズムを提供します。
転送メカニズムの階層
GDPR では、個人データは次のメカニズムのいずれかを使用してのみ EEA から流出できます (簡単な順に)。
1. 適切性の決定
欧州委員会は、以下の国が適切な保護を提供していると判断しました。
| 国/地域 | 適切性の決定日 | ステータス |
|---|---|---|
| アンドラ | 2010年 | アクティブ |
| アルゼンチン | 2003年 | アクティブ |
| カナダ (PIPEDA) | 2001年 | アクティブ (商業部門のみ) |
| フェロー諸島 | 2010年 | アクティブ |
| ガーンジー島 | 2003年 | アクティブ |
| イスラエル | 2011年 | アクティブ |
| マン島 | 2004年 | アクティブ |
| 日本 | 2019年 | アクティブ |
| ジャージ | 2008年 | アクティブ |
| ニュージーランド | 2012年 | アクティブ |
| 大韓民国 | 2022年 | アクティブ |
| スイス | 2000年 | アクティブ |
| イギリス | 2021年 | 有効 (2025 年 6 月まで、更新予定) |
| ウルグアイ | 2012年 | アクティブ |
| 米国 | 2023 (DPF) | アクティブ (DPF 参加者のみ) |
データが適切な国に送信される場合: 追加の転送メカニズムは必要ありません。 EEA 内送金と同様に処理します。
リストにない場合: 以下のメカニズムのいずれかが必要です。
2. 標準契約条項 (SCC)
最も一般的に使用される転送メカニズム。 SCC は、データ輸入者を GDPR と同等の保護に結び付ける、事前承認された契約テンプレートです。
4 つのモジュール (関連するモジュールを使用):
| モジュール | 当事者 | シナリオ |
|---|---|---|
| モジュール 1 | コントローラーからコントローラーへ | 外国のパートナーとの顧客データの共有 |
| モジュール 2 | コントローラーからプロセッサーへ | 外国のクラウド プロバイダーまたは SaaS ベンダーの使用 |
| モジュール 3 | プロセッサー間 | プロセッサは外部サブプロセッサを使用しています。 |
| モジュール 4 | プロセッサーからコントローラーへ | 外部コントローラーが EU ベースのプロセッサーに指示 |
実装手順:
- EEA外のすべてのデータ転送を特定する
- 各転送に適切な SCC モジュールを選択します
- 附属書を完成させます (データカテゴリ、セキュリティ対策、副処理者)
- 各受け入れ国に対して移転影響評価 (TIA) を実施する
- データインポーターを使用して SCC に署名します。
- TIA で特定された補足措置を実施する
3. 拘束力のある企業規則 (BCR)
グループ企業間でデータを転送する多国籍企業向け。 BCR は主任監督当局によって承認され、グローバルなグループ内移転のフレームワークを提供します。
長所: 承認されると、すべてのグループ エンティティとすべての転送シナリオがカバーされます。 短所: 12 ~ 24 か月の承認プロセス、多大な費用 (10 万ドル以上)、グループ企業のみの場合
4. EU-US データプライバシーフレームワーク (DPF)
米国企業は DPF に基づいて自己認証を行うことができ、適切性のような移行メカニズムを提供します。
- 会社は米国商務省に登録されます。
- 会社は DPF 準拠のプライバシー ポリシーを公開します
- 当社は DPF 原則 (通知、選択、転送、セキュリティ、データの完全性、アクセス、賠償請求) を遵守します。
- 毎年の再認定が必要
制限事項: DPF 認定企業への転送のみが対象となります。このメカニズムに依存する前に、DPF リスト を確認してください。
移転影響評価 (TIA)
必要な場合
シュレムス II 以降、適切でない国へのすべての SCC ベースの送金には TIA が必要となります。 TIA は、受け入れ国の法律が SCC の保護を損なうかどうかを評価します。
TIA フレームワーク
| 評価要素 | 主な質問 |
|---|---|
| データの特性 | どのようなデータですか?どれくらい敏感ですか?音量? |
| 受領国の法律 | 政府監視法?強制アクセス? |
| 法的保護 | 独立した司法?データ保護当局? |
| 実務経験 | 輸入業者は政府からのアクセス要求を受け取りましたか? |
| 補完措置 | 技術的な対策で法的リスクを無効にできるでしょうか? |
TIA 結果決定ツリー
Does the receiving country have an adequacy decision?
Yes --> No TIA needed
No --> Conduct TIA
|
Does the receiving country have laws enabling
disproportionate government access to personal data?
No --> SCCs sufficient
Yes --> Can supplementary measures effectively prevent access?
Yes --> Implement measures + proceed with SCCs
No --> Transfer cannot proceed
補足措置
| 測定 | 有効性 | 使用例 |
|---|---|---|
| 暗号化 (顧客が保持するキー) | 高 | 保存中および転送中のデータ |
| 仮名化 | 高 | 分析、レポート |
| 分割処理 | 中 | 機密フィールドは EEA のみで処理されます |
| 契約上の制限 | 低~中 | 輸入業者からの追加の約束 |
| 監査の権利 | 低い | 予防ではなく検証 |
データローカリゼーション要件
データローカリゼーション法のある国
| 国 | 要件 | 範囲 | ペナルティ |
|---|---|---|---|
| 中国 (PIPL + CSL) | 重要なデータと重要なデータは中国に保管する必要があります。アウトバウンド転送のセキュリティ評価 | 幅広い | 最大 5% の収益 |
| ロシア (連邦法 242-FZ) | ロシア国民データの最初の処理と保存はロシアで行う必要があります。ロシア国民データ | サービスのブロック | |
| インド (DPDP 法) | 重要な個人データはインドで処理する必要があります (規則保留中) | 定義する | 最大 250 億ルピー |
| サウジアラビア (PDPL) | 機密データはローカル処理が必要な場合があります。転送制限 | 個人データ | 最大 500 万ランド |
| ベトナム (PDPD) | 重要なデータは国内で保管する必要があります。国境を越えた送金のためのTIA | ベトナム国民データ | 行政罰 |
| インドネシア (PDP 法) | 政府部門のデータはローカル処理が必要な場合があります | 政府データ | 行政制裁 |
| トルコ (KVKK) | 譲渡には同意または特定の法的根拠 + 取締役会の承認が必要です | 個人データ | 1.8M をお試しください |
クラウド アーキテクチャへの影響
データのローカライゼーションは、クラウド インフラストラクチャの決定に影響します。
| シナリオ | アーキテクチャへの影響 |
|---|---|
| 中国ローカリゼーション | 中国の個別のクラウド リージョン (AWS 中国、Alibaba Cloud) |
| ロシアのローカリゼーション | ローカルサーバーまたはローカルクラウドプロバイダー |
| EU のみの処理 | EU クラウド リージョンを選択します。 EU 以外の地域へのデータの複製がないようにする |
| 制限付きのマルチリージョン | 地域データベースを備えたハブアンドスポーク アーキテクチャ |
一般的なシナリオの実際的な実装
シナリオ 1: EU 企業が米国の SaaS を使用する
転送メカニズム: まず、ベンダーが DPF 認定を受けているかどうかを確認してください。 「はい」の場合、DPF が根拠となります。そうでない場合は、SCC (モジュール 2: コントローラーからプロセッサー) を実装します。
シナリオ 2: 人事が一元管理されているグローバル企業
転送メカニズム: グループ内転送の BCR、または各エンティティ ペア間の SCC。高リスク国への移動には TIA を導入します。
シナリオ 3: 米国のインフラストラクチャから EU の顧客にサービスを提供する e コマース
転送メカニズム: EU 事業体 (または EU 代表者) と米国インフラストラクチャ間の SCC。 EU 内で保持されているキーを使用して顧客データを暗号化します。
シナリオ 4: 複数国での運用のための Odoo ERP
転送メカニズム: EU 内でホストされている場合、転送は次のときに発生します: (1) EU 以外の国の従業員がシステムにアクセスする (リモート アクセスは転送です)、(2) データが EU 以外のバックアップ場所に複製される、(3) EU 以外の国のサポート スタッフが顧客/従業員のデータにアクセスする。各アクセス ポイントに SCC を実装し、Odoo アクセス グループを使用して地理的にデータの可視性を制限します。
コンプライアンスチェックリスト
- すべての国境を越えたデータ転送をマッピングします (どのデータを、どこで、誰に、なぜ)
- 各受け入れ国の適切性状況を確認する
- 適切でない国に対して適切な移転メカニズム (SCC、DPF、BCR) を導入する
- SCC ベースの移転の移転影響評価を完了する
- TIA がリスクを特定した場合に補足措置を実施する
- 国際送金を開示するためにプライバシー ポリシーを更新
- ベンダー DPA に転送条項を含める
- 転送メカニズムを毎年、または受領国の法律が変更されたときに見直す
- すべての異動の評価と決定を文書化して維持する
よくある質問
EU-米国間のデータ プライバシー フレームワークは安全に信頼できますか?
DPF は現在有効であり、認定された米国企業への移転に法的根拠を提供します。しかし、セーフハーバーやプライバシーシールドを無効にしたのと同様の法的異議申し立て(La Quadrature du Net)に直面している。賢明な組織は DPF を使用しますが、バックアップ転送メカニズムとして SCC も使用します。 DPF が無効になっている場合は、データ フローを中断せずに SCC にフォールバックできます。
有効なメカニズムなしでデータを転送するとどうなりますか?
不正な送金は直接の GDPR 違反であり、最大 2,000 万ユーロまたは世界の年間売上高の 4% の罰金が科せられます。監督当局は罰金のほかに、事業運営に支障をきたす可能性があるデータ転送の停止を命令することもできる。メタ社は、2023年にEU-米国間送金の不正行為により12億ユーロの罰金を科せられたが、これはGDPRの罰金としては史上最大となる。
SCC はすべての種類のデータ転送をカバーしますか?
SCC は、4 つのモジュールを通じてほとんどの商用データ転送シナリオをカバーします。ただし、SCC は公権力の行使に関与する公的機関による譲渡には適していません。このような場合には、国際協定または第 49 条に基づく特定の免除が適用される場合があります。
国境を越えた要件は Odoo の展開にどのような影響を及ぼしますか?
Odoo インスタンスが EU 内でホストされており、EU 外の従業員またはパートナーによってアクセスされる場合、各リモート アクセス ポイントがデータ転送となります。 Odoo アクセス グループを実装して、EU 以外のユーザーが必要なデータのみを表示できるようにします。暗号化されたリモート アクセスには VPN 接続を使用します。 EU 外で Odoo をホスティングする場合は、ホスティング プロバイダーで SCC を実装し、データベースの暗号化を確保します。 ECOSIRE の Odoo インフラストラクチャ サービス には、コンプライアンスを意識した展開構成が含まれています。
次に何が起こるか
国境を越えた転送のコンプライアンスは、データ ガバナンスのパズルの 1 ピースです。これを、データ ガバナンスの基礎、国際ベンダーとの DPA 用の ベンダー契約管理、従業員データ転送用の 従業員データ プライバシー と組み合わせます。
国境を越えたコンプライアンス コンサルティングおよび国際的なデータ フロー マッピングについては、ECOSIRE にお問い合わせください。
ECOSIRE が発行 -- 企業が自信を持ってコンプライアンスを保って国境を越えてデータを移動できるように支援します。
執筆者
ECOSIRE Research and Development Team
ECOSIREでエンタープライズグレードのデジタル製品を開発。Odoo統合、eコマース自動化、AI搭載ビジネスソリューションに関するインサイトを共有しています。
関連記事
Cookie 同意実装ガイド: 法的に準拠した同意管理
GDPR、eプライバシー、CCPA、および世界的な規制に準拠した Cookie 同意を実装します。同意バナー、Cookie の分類、CMP の統合について説明します。
越境電子商取引物流: 配送、通関、フルフィルメント戦略
越境EC物流ガイド。国際配送、通関、関税計算、フルフィルメントネットワーク、返品、コンプライアンスをカバーします。
地域別のサイバーセキュリティ規制要件: グローバル ビジネス向けのコンプライアンス マップ
米国、EU、英国、APAC、中東にわたるサイバーセキュリティ規制をナビゲートします。 NIS2、DORA、SEC ルール、重要なインフラストラクチャ要件、コンプライアンスのタイムラインをカバーします。
Compliance & Regulationのその他の記事
監査準備チェックリスト: ERP によって監査が 60% 高速化される方法
ERP システムを使用して監査準備チェックリストを完了します。適切な文書化、管理、自動化された証拠収集により、監査時間を 60% 削減します。
Cookie 同意実装ガイド: 法的に準拠した同意管理
GDPR、eプライバシー、CCPA、および世界的な規制に準拠した Cookie 同意を実装します。同意バナー、Cookie の分類、CMP の統合について説明します。
地域別のサイバーセキュリティ規制要件: グローバル ビジネス向けのコンプライアンス マップ
米国、EU、英国、APAC、中東にわたるサイバーセキュリティ規制をナビゲートします。 NIS2、DORA、SEC ルール、重要なインフラストラクチャ要件、コンプライアンスのタイムラインをカバーします。
データ ガバナンスとコンプライアンス: テクノロジー企業のための完全ガイド
コンプライアンス フレームワーク、データ分類、保持ポリシー、プライバシー規制、テクノロジー企業向けの実装ロードマップを網羅した完全なデータ ガバナンス ガイド。
データ保持ポリシーと自動化: 必要なものを保持し、必要なものを削除
法的要件、保持スケジュール、自動適用、GDPR、SOX、HIPAA のコンプライアンス検証を備えたデータ保持ポリシーを構築します。
従業員データのプライバシー管理: 人事ニーズとプライバシー権のバランスをとる
GDPR 要件、人事データ処理根拠、監視ポリシー、国境を越えた転送、保持のベスト プラクティスを使用して従業員データのプライバシーを管理します。