【SCCとは】GDPRのSCCを徹底解説！新旧SCCを比較！！　

欧州委員会は、新しい「SCC」にともない、「GDPR」のデータ保護の要件に満たないEU域外の国に個人情報の移転に義務を課しました。
これは、EU域内の企業に限らず、EU域内で事業を行う日本企業のビジネスにも深く関わってきます。そして、この条件に当てはまる企業は、新SCCの導入を行わなくてはなりません。
本記事では、GDPRやSCCへの対応が必要な企業に向けて、それらの意味や特徴など、分かりやすく徹底解説をしていきます。

1.GDPRのSCCとは？

新SCCを理解するにあたり、まず前提となる「GDPR」と「SCC」の意味・特徴を解説していきます。

1-1.GDPR

まず、GDPRとは、日本語訳で「一般データ保護規則」と訳されます。
具体的にGDPRは、EU（イタリア・オランダ・ドイツ・フランス等の欧州連合）に居住する人々の個人情報の収集と、その処理に関するガイドラインを定めた法令の枠組みのことです。

GDPRは、主に以下のような企業が対象となります。

• EU域内に拠点を持ち、EU向けにビジネスを行う企業
• EUから個人データの処理について委託を受けている企業

また、GDPRではオプトインと呼ばれる、 個人情報の提供について肯定的な承認をする考えが採用されているため、個人データの収集にはデータ利用の承諾を得る必要があります。

1-2.SCC

SCCとは、日本語訳で「標準契約条項」と訳されます。

SCCは、GDPR上でEU域内から、EU域外への個人情報の移転を可能（適法化）にするために、欧州委員会が決定した個人情報移転の「保護措置」です。この制度を可能としたのが新SCCです。

新SCCのコアは以下の2つです。
1．EU域外の国にGDPRの影響が及びにくい問題を、「移転元の管理者」が「移転先の管理者」に、契約形式をとり、適切なデータ保護措置の義務を課すこと
2．消費者が契約の第三受益者として、裁判で個人情報の保護措置を求めた際に、消費者が損害賠償請求を受けられるようにすること

新SCCは、従来の旧SCCに代わるものとして作成されました。そして、従来の旧SCCを利用していた企業（※日本企業も含む）は、新SCCへの対応が必要となります。

2.新SCCの特徴

20年7月より旧SCCに代わり新SCCが作成され、21年6月には欧州委員会が新SCCを採択しました。

新SCCは、複数あった「SCC」を１つに統合することで、移転元・先のいずれにおいても、複数社の対応が可能になりました。

旧SCCでは、消費者が第三受益者として、対象の移転先には、セキュリティの確保などに限り、権利の行使が課されていました。

それに対して、新SCCでは移転先の裁判所の管轄に従う必要があります。そのため、移転先もGDPR上の管理者と同等の義務が課されます。

3.SCCの具体例

個人データを欧州域外の国へ持ち出すことが認められる一例に、EUの執行機関である欧州委員会が採択したSCCの措置があります。

欧州委員会が採択した3つのSCCモデル条項があります。

【タイプ1】域内管理者・第三国管理者間のモデル条項
【タイプ2】域内管理者・第三国管理者間のモデル条項
【タイプ3】域内管理者・第三国処理者間のモデル条項

SCCの基本的な考え方は、➀移転元の管理者と処理者が、必要なデータ保護措置を移転先・管理者・処理者に対して、契約の義務として負わせるとともに、➁契約の第三受益者としてデータ主体に、監督機関への不服の申し立て・裁判による保護措置の強制を求めて、損害賠償など救済措置を受けられる法的地位を与えることです。

4.旧SCC・新SCCの廃止日と開始日

過去に遂行された「新旧SCC」の廃止日と開始日を以下にまとめました。

21年6月4日：欧州委員会により、新SCCが採択
21年6月27日：この日より新SCCの利用が可能に。
21年9月27日：この日より旧SCCの締結が不可に。新SCCのみ締結可能に。
22年12月27日：締結済み旧SCCが同日付で失効に。

よって、22年12月27日以降からは、新SCCへの切り替えが必要となります。

5.新SCCに対応するための流れ

新SCCへの対応として、「データ輸出業者」「データ輸入業者」は、以下の作業に取り掛かる必要があります。

【プロジェクトチームの立ち上げ】
新SCCへの対応をスムーズに行うためには、適切な人材を確保して、新SCCに特化したプロジェクトチームを立ち上げることが大切です。適切な人材とは、データプライバシーに詳しい人をはじめ、人事、法務、IT、サービススペシャリストなどあらゆる分野からの人材のことを指します。

【データマッピング】
データマッピングとは、自社が保有するデータベース間でのフィールドを一致させるプロセスのことです。この作業は、新SCCの対策で一番重要であり、データの種類・経路・移転先の特定が必要となります。

【データ移転のメカニズム決定】
データマッピングを行う際に、適用される”移転のメカニズム”を特定して記載します。目的は、現行のSCCが利用される場面と根拠もなく個人情報が移転されている場合を特定することです。

【移転方法の検討】
新SCCには、データ方法の評価が含まれます。そのためデータ輸入者と、データの移転方法について評価の実施をします。

【新SCCの締結】
新SCCの締結の際、必ず補足事項に記載された情報が正確である事を確認する必要があります。

6.まとめ

この記事では、GDPR・SCCの意味や特徴など、それらの対策に向けて解説をしてきました。

「GDPR」は、EUに居住する人々の個人情報の収集と、その処理に関するガイドラインを定めた法令の枠組みであり、「SCC」は、EU域内からEU域外への個人データの移転をGDPR上で、適法化するために決定した保護措置の一つであると説明してきました。

そして、22年12月27日以降からは、旧SCCに変わり、新SCCへ切り替える必要があります。
その対応の前提となる「GDPR」 対策では、 EU 域内の企業だけでなく、欧州市民向けに商品とサービスを提供している世界中の企業にも適用されます。

株式会社UPF（ユーピーエフ）は、業界に関係なく、お客様の GDPR コンプライアンス対策を構築するサポートプログラムをご用意しております。
GDPRに対する対策法に、お悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。