Transfer Impact Assessment (TIA) : データの越境移転影響評価について

2023年10月31日 2024年7月25日

Yamamoto

はじめに
TIA（越境移転影響評価）の目的
越境移転影響評価の対象
TIAを支援するOneTrustのソリューション
さいごに
参考：日本の個人情報保護法の越境移転に関する規制

はじめに

国や地域間の個人データの移転は、今年日本で開催されたG7デジタル・技術大臣会合やG7広島サミットにおいても重要なテーマとして取り上げられ、各法域で異なるプライバシー法規制の状況下においてデータ移転の適法性やどのように移転元と同等の個人情報保護レベルを保証するかは、各国のプライバシー担当者にとっても悩ましい問題です

EUでは、越境移転に際してEU GDPRで求められる要件を遵守し、適切な「移転メカニズム」を選定するとともに、移転された国や地域で同等の個人情報保護レベルが保証されているとを確認することが求められます。

以下は代表的な移転メカニズムです。

十分性認定に基づく移転：欧州委員会により、十分な保護をしていると認定された国への移転
適切な保護措置による移転：十分性認定がなされていない国への移転
- 拘束的企業準則（BCR）
- 標準データ保護条項（SCC）
- 行動規範およびデータ保護認証メカニズム、データ保護シール及びデータ保護マーク

上記のどのメカニズムを採用するにしても、データの越境移転の大前提として、移転も個人データの処理にあたるため、GDPR上の適法性の根拠（データ主体の同意や管理者の正当利益など）が必要となります。

上記のうち、十分性認定を受けていない「第三国」へのデータ移転については、TIA（Transfer Impact Assessment：越境移転評価）が必要とされています。

ちなみに、越境移転においてよく登場する「第三国」とは、EU加盟国およびEEA：欧州経済領域（アイスランド、リヒテンシュタイン、ノルウェー）以外の国を指します。

なぜ、十分性認定を受けている国は、TIAを必要としないのでしょうか？その理由は十分性認定が「第三国における個人データの保護レベルが十分である」と欧州委員会が認定していることを意味するからです。

ただし、十分性認定は、欧州委員会が十分なレベルの保護がなされていないと判断した場合、取り消される可能性もあり、不確実な面があります。そのため、組織は、取り消された場合を想定し、その場合に取りうる適法な移転メカニズムについても検討しておく必要があります。

今回のブログでは「TIA」について紹介します。

TIA（越境移転影響評価）の目的

Schrems II（Case C-311/18 - Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems ）の判決において、CJEU（欧州司法裁判所）は、データ輸出者に対し、データ輸入先の第三国が、GDPRおよびEU基本権憲章（Charter of the Fundamental Rights of the European Union）で保証されているように、移転された個人データに本質的に同等の保護を提供しているかどうかを評価するよう求めています。

TIAでは、様々な利害関係者や広範なデータマネジメントシステムに与える影響、移転先のデータ保護法に基づいて個人データがどう保護されるかを評価し、移転することによってもたらされる潜在的なリスクを特定します。

TIAを通してデータ移転先の各管轄区域の具体的な要件を深く理解し(特に第三国の公的機関の慣行)、第三国または国際機関へ移転されるデータのプライバシーとセキュリティを保護するための適切な対策を実施する必要があります。

越境移転影響評価の対象

越境移転が以下のいずれかの場合、TIAをデータ処理活動ごとに実施する必要があります。

十分性認定がなされていない第三国への移転
第三国へのデータ移転が SCC に基づく場合

参考：EU域外への越境移転に関するガイドライン

下記の移転のガイドラインは、TIAを実施する上でも参考となります。

また、次に紹介するOneTrustのGDPR用TIAテンプレートの質問内容に反映されています。

Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Version 2.0 （OneTrustでは「EDPB Supplementary Measures Recommendations Guidance」と表記）
Recommendations 02/2020 on the European Essential Guarantees for surveillance measures （OneTrustでは「EEG」と表記）

TIAを支援するOneTrustのソリューション

TIAを実施する上で、Excelなどを使用し、評価し管理することもできますが、管理が煩雑になったり、監督当局に提出したり、訴訟等で求められる際に、TIAが適切な方法で実施されたことを証明する際に不十分である懸念があります。

OneTrustでは、TIAの一連のプロセスをデジタル化し、業務を効率化するとともに、当該評価が、いつ誰によってどのような評価がなされ、レビューされたか、また、その結果としてどういったリスクが特定され、それらに対してどのような対応がなされたかといった情報について記録し、保管することが可能です。

OneTrustの「プライバシー影響評価自動化」機能では、2023年11月1日現在、以下の２種類の越境移転評価用のテンプレートが提供されています。

GDPR - Transfer Impact Assessment - 1.2
China Cross-Border Data Transfer Assessment - 2.0

このうち、「China Cross-Border Data Transfer Assessment - 2.0」テンプレートについては、中国から中国国外への移転を対象としており、中国サイバーセキュリティ法（CSL）、中国個人情報保護法（PIPL）といった法律の他、中国データセキュリティ法（Data Security Law of the People's Republic of China (Draft 2020年7月8日)）、Guidelines for Cross-Border Data Transfer Security Assessment (Second Draft)、Outbound Data Transfer Security Assessment Measures (Draft 2021年10月29日)などのドラフトをベースに質問が作成されています。

今回は、「GDPR - Transfer Impact Assessment - 1.2」について、どういった質問が含まれているか、その一部について紹介していきます。

OneTrustのテンプレート「GDPR - Transfer Impact Assessment - 1.2」の紹介

このテンプレートは、EDPBが発行している「Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Version 2.0」に基づき作成されています。（テンプレートの冒頭のWelcomeパートに記載）

**OneTrust アセスメントテンプレート「GDPR - Transfer Impact Assessment - 1.2」**

移転先の情報（Data Importer Information）

移転先（データインポーター）となるベンダーやそれらが提供する製品やサービス、データが第三国に保存されるかどうか、またはEU/EEA内に保存されているデータへのリモートアクセスがあるかどうか、十分性認定の有無、もしそれが無い場合、第46条GDPR（つまり、適切な保護措置）で認められている合法的な移転メカニズムのどれを採用しているかなどの質問に回答します。

また、移転先での公的機関からのデータアクセスの可能性の有無についても確認しており、はいと回答した場合、ルールにより自動的にリスクが登録される仕組みになっています。

データ最小化（Data Minimisation）

転送する個人データが適切で、関連性があり処理されている目的に関連して必要なものに限定されていることを確認します。

第三国への移転と再委託先（Onward Data Transfers & Subprocessors）

第三国への移転と処理の再委託先の有無、およびそれらに関する転送先の国やどの移転メカニズムを採用するかについて回答します。

第三国を評価するために用いられる情報（Possible Sources of Information to Assess a Third Country）

ここは質問ではなく、この次のセクションの質問のもととなっている第三国を評価するための情報に関する説明です。（質問形式ではありません。）

EDPB Supplementary Measures Recommendations Guidance
United States 🇺🇸 - Third Country Assessment
Possible Sources of Information to Assess a Third Country

第三国の個人情報保護のレベルに関する質問（Third Country - Data Protection Adequacy Questions）

第三国の個人情報保護のレベルに関する質問（法整備やそこで保証される個人の権利や基本的人権の尊重度合い）について回答します。

European Essential Guarantees (EEG)

ここは質問ではなく、この次のセクションの質問のもととなっている質問の元となっているガイダンスの説明です。（質問形式ではありません。）

EDPB Supplementary Measures Recommendations Guidance
European Essential Guarantees (EEG) Guidance

EEG - Clear, Precise and Accessible Processing Rules

第三国の個人データの処理について、法で認められている個人の権利、法で示されている処理のルールや法的救済措置などの質問に回答します。

EEG - Demonstrate Necessity and Proportionality for Legitimate Objective

個人データの処理の目的に対する必要性と比例性がどのように定義（限定）されているかに関する質問に回答します。

EEG - Independent Oversight Mechanism

公的機関によるプライバシーおよびデータ保護に関する権利への干渉、およびそれらの機関が裁判所など独立した法的な監視メカニズムの対象となるかどうかに関する質問に回答します。

EEG - Effective and Enforceable/Actionable Individual Redress Rights

個人による法的救済措置の有無およびそれらを行使する上で必要となる情報が規定されているかなどの質問に回答します。

EEG - Third Country Legislation Assessment

第三国の法律は、EEGに対する第三国の監視／法執行措置の評価に基づき、EEGの要件を保証しているかどうかについて回答します。

第三国が必須であるEUと同等の保護レベルを有しているかの評価結果（Third Country Essential Equivalency Assessment Results）

第三国が必須であるEUと同等の保護レベルを有しているかについての結果について、ここまでの保護レベルに関する質問の回答内容についても考慮し回答します。

継続的モニタリングのための評価手順（Re-Evaluation Procedures）

保護レベルの初期評価および移転のために行った決定に影響を及ぼす可能性のある第三国の動向を継続的に監視するためのポリシーと手順のドキュメント化の有無、およびデータ輸入者が保証する約束・義務を果たせない場合の一時停止または終了に関する健全なメカニズムの有無について回答します。

評価で特定されたリスクを自動で登録するように設定

OneTrustのTIA用テンプレート「GDPR - Transfer Impact Assessment - 1.2」には、あらかじめアセスメントで選択された回答に応じてリスクが自動的に作成されるように設定されています。これはテンプレートのルール機能を使用して設定されており、設定されたルールについては、ユーザー自身でカスタマイズすることも可能です。

以下の画面は、TIAテンプレートでルールがどのように設定されているかの例です。TIAテンプレートのある質問で、「はい」と回答した場合に、固有のリスク（中程度）が自動的に作成されるよう設定されているのを確認することができます。

さいごに

今回、このブログを書くにあたり、OneTrustのTIAテンプレート「GDPR - Transfer Impact Assessment」に含まれる質問内容を確認したのですが、GDPRになじみのない人にとっては質問内容の意図や質問の意味を理解するのは難しい内容だなと感じました。

OneTrustでテンプレートを使用し、評価のための仕組みやプロセスを実装することは容易ですが、評価プロセスが正しく機能（適切に移転に関わるリスクを特定し、緩和する）するためには、組織体制や運用面においてDPO、社内の法務部門もしくは外部の専門家などのサポートが不可欠となるでしょう。

また、繰り返しになりますが、EUから第三国への移転を評価する場合、移転もデータ処理にあたるため、大前提として、GDPR上の適法性の根拠（データ主体の同意や管理者の正当利益など）が求められる点にご留意ください。

参考：日本の個人情報保護法の越境移転に関する規制

今回のブログを書いていて、日本の個人情報保護法の越境移転に関する規定も気になったので、個人情報保護法の越境移転について少しだけ紹介したいと思います。（詳細な内容を知りたい方は、「個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）」を参照ください。）

日本の個人情報保護法では第28条（外国にある第三者への提供の制限）に越境移転に関する規定があります。

GDPRのように「第三国」ではなく、「外国にある第三者」への提供の制限を対象とし、現地子会社に個人データを提供する場合はこれに該当しますが、一方で現地の事業所、支店などなど同一法人格内での個人データの移動は本対象（つまり第3者とはみなされない）に該当しません。

また、「外国」の定義については、当該第三者が、日本と同等の水準にあると認められる個人情報保護制度を有している国として規則で定める国にある場合、「外国」に該当しないとされています。

外国にある第三者に個人データを提供する場合には、原則として、あらかじめ外国にある第三者への提供を認める旨の同意を得なければならない（28条）とし、27条1項の27条2項のオプトアウト制度の規定は適用対象外です。また、28条2項では、「本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。」とし、同意の取得に際して適切な情報提供義務が課されています。

また個人データを外国にある第三者に提供した場合には、「当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。」としています。

同意の取得に際しての情報提供義務（28条2項）について

28条2項の同意の取得に際しての情報提供義務について、実際に企業では、どのような対応をしているか、最近LINEとヤフーが合併し、新会社となったLINEヤフー株式会社のプライバシーポリシーについて確認してみました。

現在、同社では、合併に伴い2023年11月以降にLINEを利用するユーザーに対して新しい「プライバシーポリシー」への同意を求めていますが、同社のポリシーには外国にある第三者への提供に関して以下の記載があります。

同社のポリシー「5.パーソナルデータの提供」で第三者となるデータの越境移転先の地域または国が提示されているほか、別途「各国の個人情報の保護に関する制度」ページでは、個人情報の保護に関する制度の有無や本人の権利利益に重大な影響を及ぼす制度の有無などの情報が提供されており、28条2項に規定された内容に準拠した情報提供について確認することができます。