英国の情報保護委員が多国籍企業(GE)の従業員情報のEEA以外の国への移送につき新EUルールを初適用

 　

　Last Updated: March 31,2021

　英国の個人情報保護委員(Information Commissioner)は、2005年12月15日付けで1998年個人情報保護法（Data Protection Act 1998）のスケジュール（注1）4条9項に基づきGEグループ(General Electric)に対し「Binding Corporate Rules Authorisation」を交付した。今回のGEの承認は、EUが検討を進めてきた「Binding Corporate Rules」の適用第1号である。（注2）多国籍企業が少ないわが国企業といえども、個人情報保護法は何とか施行したものの、行政から独立権限を持った保護監督機関がないわが国において国際的な意味で無関心ではいられないと思えるがいかがか。

　英国は欧州委員会の「適正水準」の保護提供第三国と言う厳格な運用政策に従い、EU加盟国の中でも国民の個人情報のEEA(欧州経済領域：EU加盟25カ国及びアイルランド、リヒテンシュタイン、ノルウェイを含む)以外の国への移送について厳格なルールを遵守している。その基本ルールとは、「1995年EU個人情報保護指令(Directive 95/46/EC )」を指すが、EUの企業は主にEEA以外の国への個人情報の移送や保管に当たり、EU加盟国と同等の規則や法執行手続きを有することが条件になっている。

　この解釈の厳格性を緩和すべく、EUとEU加盟国は次の3つの方策を策定した。(1)セーフ・ハーバー、(2)モデル契約条項、(3)「Binding Corporate Rules」である。

　(1)は、米国への移送については米国政府が企業の適正な取扱い（当然、セーフハーバー協定を締結する）を保証する方式であり、具体的な保証企業名や商務省への申込み手続きは商務省サイトで見られる。

　しかし、従来、承認されるのはセーフハーバー協定が受入国に存在している場合のみで、それ以外に例外的に情報の移送が認められるのは当該本人が同意している場合、または「契約」といった代替的な安全装置がある場合であった。

　多国籍企業の場合、最後の条件（契約）を満たすことは困難であり、このため2003年6月にEUの独立個人情報保護諮問機関である「EU情報保護指令第29条専門委員会(Art.29 Data Protection Working Party)」は、前記の既存の手順に加えて「拘束力を持った企業グループ内での「個人情報の移送適正化規則（Binding Corporate Rules）」を提案(注2-2)し、これを受けて同委員会は「モデル・チェックリスト(Model Checklist)(WP108)」（注3）を採択している。(同規則の詳細については英国保護委員の専門サイトが詳しく解説している)

　”Binding Corporate Rules”によると、多国籍企業グループはEU加盟国の個人情報監督機関から承認を得ることで企業の適正な取扱いを保証するというものであるが、同委員会は企業グループが監督機関に説明すべき内容・手続き（Co-Operation Procedure）(注4)をも定めている。 (注5)

なお、多国籍企業によっての”Binding Corporate Rules”適用の具体的なバーの高さについての解説もある。
****************************************************************************************************
(注1）スケジュール（schedule）とは，英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け，それをさらに細かく規定したものである。付属規定と訳されている例がある。

（注2）保護委員による正式承認通知のURL: http://complianceandprivacy.com/News-GE-BCR-1.asp

(注2-2)第29条専門委員会やその後のEUのGDPRに即した”Binding Corporate Rules(BCR)の”解説を欧州委員会が行っている。2021.3.31 追加

（注3）”Model Cheklist”のURL http://www.ico.gov.uk/for_organisations/data_protection/overseas/binding_corporate_rules.aspx
　英国ICOはその後、EU離脱後の”Standard Contracutual Clauses(SCCs)や”Binding Corporate Rules”の取扱いに関する解説やcheck listを作成、公表している。

（注4）”Co-Operation Procedure”のURL http://www.ico.gov.uk/upload/documents/library/data_protection/detailed_specialist_guides/binding_corporate_rules_cooperation_procedure.pdf
なお、他国籍企業の取扱いについてローファーム”K&L Gates LLPが解説している。

(注5) 第29条専門調査委員会は、2008年6月22日に次の3つの”BCRs”のガイダンスを新たに策定して公表した。
①Working Document setting up a table with the elements and principles to befound in Binding Corporate Rules(WP153)
②Working Document Setting up a framework for the structure of Binding
Corporate Rules(WP154)
③Working Document on Frequently Asked Questions (FAQs) related toBinding Corporate Rules(WP155 rev.04)

（注6）英国における国民の個人情報のEEA以外の国への移送問題全般について、以下の保護委員のサイトに詳しい。

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-law-enforcement-processing/international-transfers/
https://ico.org.uk/for-organisations/data-protection-and-the-eu/data-protection-and-the-eu-in-detail/the-uk-gdpr/international-data-transfers/
**********************************************************

（今回のブログは2006年1月6日登録分の改訂版である)

Copyright © 2006-2010 芦田勝(Masaru Ashida )．All Rights Reserved．No reduction or republication without permission．