Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る

標準契約条項(SCCs)を理解する:完全ガイド

ホーム 用語集 標準契約条項(SCC)を理解する:完全ガイド

標準契約条項(SCCs)は、国際データ転送における重要なツールです。本記事では、SCCsの定義、目的、起源、そして今日のデータ駆動型社会における重要性について詳しく解説します。

標準契約条項(SCCs)を理解する:完全ガイド

標準契約条項とは何ですか?

SCCsは、モデル条項またはモデル契約とも呼ばれ、データ輸出者とデータ輸入者間の契約上の合意です。これらの条項は、欧州経済領域(EEA)からEEA外の国々への個人識別情報(PII)の転送を促進し、PIIがEUデータ保護基準に従って保護されることを保証します。

英国では、SCCsは主に2018年データ保護法によって管理されており、EU一般データ保護規則(GDPR)の要件を英国法に組み込んでいます。SCCsは、転送されたPIIが英国およびEEA内で提供されるのと同じレベルの保護を受けることを保証するように設計されています。

SCCsは、個人の基本的な権利と自由を保護するために、個人データが国境を越えて転送される際の法的枠組みを提供します。データ転送契約にSCCsを含めることで、組織は関連するデータ保護規制に準拠してPIIを保護することへのコミットメントを示すことができます。

SCCsの歴史的背景

SCCsの起源は、EEA外への個人データの転送に対する「適切な保護」の概念を導入した1995年EUデータ保護指令にまで遡ります。データ転送に対する標準化されたアプローチの必要性が高まる中、欧州委員会は実用的な解決策としてSCCsを開発しました。

時間の経過とともに、SCCsは新たな課題に対応し、EU GDPRの要件に合わせて進化してきました。2018年に施行されたGDPRは、国際データ転送の法的メカニズムとしてのSCCsの重要性を確固たるものにしました。英国がEUを離脱し、独自の2018年データ保護法を制定した際、SCCsを含むGDPRのほとんどの規定を引き継ぎました。

国際データ転送におけるSCCsの重要性

グローバル化とクラウドコンピューティングの出現により、国境を越えたデータフローが大幅に増加しました。SCCsは、データ輸入者の管轄に関係なく、適切なデータ保護措置が講じられていることを保証するためのセーフガードとして機能します。SCCsは、これらの転送に従事する組織にとって信頼性のある準拠した枠組みを提供します。SCCsに準拠しない場合、組織は法的および評判上のリスクにさらされ、潜在的な罰金、法的措置、組織のブランドや評判へのダメージを受ける可能性があります。

組織は、適切な技術的および組織的措置を実施し、定期的な評価と監査を行い、法的な進展やデータ保護法の変更に関する情報を常に把握することで、SCCsへの準拠を優先するべきです。

データ転送にSCCsが必要な場合はいつですか?

標準契約条項は、個人データがEEAまたは英国から十分なデータ保護レベルを持たない国に転送される場合に必要です。

欧州一般データ保護規則および英国データ保護法2018の下では、適切な保護レベルを確保していない国に個人データを転送することは禁止されています。

SCCsは、そのような転送のための承認されたセーフガードの一つとして機能します。これらは、データ輸出者(データを転送する側)とデータ輸入者(データを受け取る側)の両方にデータ保護義務を課す契約上の枠組みを提供し、個人データの保護を確保します。

SCCsは通常、以下の3つのシナリオで必要とされます:

  1. 第三国への転送:EEAまたは英国から、欧州委員会または英国政府からの適合性決定を持たない国への個人データの転送
  2. 国際データ転送:目的地の国が適合性決定を持っているかどうかに関係なく、英国またはEEAからの個人データの転送
  3. 非EEA/非英国のサービスプロバイダーへの転送:EEAまたは英国のデータ管理者が、EEAまたは英国外に位置するデータ処理者またはサービスプロバイダーを雇用して、個人データを処理する場合

これらのいずれかのシナリオにおいて、組織は転送された個人データに適切なセーフガードを提供する手段として、契約にSCCsを含める必要があります。SCCsは、データ輸入者がEEAまたは英国内で要求されるのと同じデータ保護基準を遵守することを契約上義務付けます。

SCCsはデータ転送のための唯一のメカニズムではないことに注意が必要です。組織は、データ主体の明示的な同意、契約の履行のための転送の必要性、または拘束的企業準則(BCRs)や承認された行動規範などの他の承認されたメカニズムなど、他の法的根拠を検討することができます。メカニズムの選択は、データ転送の具体的な状況と適用されるデータ保護法に依存します。

SCCsはデータ管理者と処理者の両方に適用されますか?

はい、標準契約条項はデータ管理者とデータ処理者の両方に適用されます。SCCsは、データ転送に関与する両当事者にデータ保護義務を課す契約上の枠組みを提供します。

SCCsは、主に2つのタイプのデータ転送に使用されます:

  1. 管理者間の転送:このシナリオでは、EEAまたは英国のデータ管理者が、EEAまたは英国外の別のデータ管理者に個人データを転送する際にSCCsが使用されます。例えば、英国に拠点を置く企業が非EEA国に所在する企業と個人データを共有する場合、両社は契約にSCCsを含めることで、転送されたデータの保護を確保できます。
  2. 管理者から処理者への転送:EEAまたは英国のデータ管理者が、EEAまたは英国外に位置するデータ処理者を雇用して、個人データを処理する場合にもSCCsが使用されます。この場合、データ管理者はデータ処理者との契約にSCCsを含め、処理者がデータ保護義務を遵守し、GDPRまたは英国データ保護法2018の要件に従って個人データを保護することを確保します。

SCCsは、データ転送に関与するデータ輸出者(管理者)とデータ輸入者(管理者または処理者)の両方に対する具体的な義務、権利、および責任を定めています。これらの条項は、転送された個人データが適用されるデータ保護法に従って保護されることを保証するように設計されています。

組織は、データ転送に関与する具体的な役割と関係に応じて、関連するSCCsを慎重にレビューし、契約に組み込むことが重要です。これにより、データ保護と法的義務の遵守に関する明確で執行可能な枠組みが確立され、転送に関与するすべての当事者が保護されます。

標準契約条項の利点

SCCsは、国際データ転送に関与する組織に多くの利点を提供します。これらの契約条項は、欧州委員会によって承認されており、データ保護規制への法的準拠を確保するだけでなく、以下のようなさまざまな利点を提供します:

  1. 法的準拠:SCCsは、十分なデータ保護レベルを持たない国への個人データの転送のための法的に認められたメカニズムを提供します。これらは欧州委員会によって承認されており、組織がEUのGDPRに準拠するのを助ける標準化されたアプローチを提供します。
  2. 国際データ転送:SCCsは、データ輸出者(EU/EEAに拠点を置く組織)とデータ輸入者(非EU/EEA国の組織)間の契約上の義務を確立することで、国際データ転送を可能にします。契約にSCCsを組み込むことで、組織はデータ保護のための適切なセーフガードを確保しながら、国境を越えた個人データの転送を行うことができます。
  3. データ主体の権利:SCCsには、転送される個人データのデータ主体の権利を保護する条項が含まれています。これらの条項により、個人は、他の管轄に転送された場合でも、自分の個人データへのアクセス、修正、または削除の権利を行使することができます。
  4. 柔軟性:SCCsは、特定のデータ転送の取り決めに合わせて契約条項を調整する柔軟性を提供します。コア条項は固定されていますが、組織は特定の要件や契約上の取り決めに対応するために補足条項を追加することができます。ただし、SCCsの基本原則に反しない限りです。
  5. リスク軽減:SCCsは、国際データ転送に関連するリスクを軽減するのに役立ちます。SCCsに同意することで、データ輸入者はEU法で要求されるのと同等のデータ保護レベルを提供することを約束します。これにより、データ輸出者に安心感を提供し、転送される個人の権利とプライバシーを保護するのに役立ちます。
  6. ビジネス継続性:SCCsは、国境を越えたデータフローに依存する組織にとって実用的な解決策を提供します。データ転送に対する障壁や制限に直面する代わりに、組織はデータ保護規制に準拠しながら国際的なビジネス活動を継続することができます。
  7. 信頼と評判:データ転送契約にSCCsを組み込むことで、組織の評判を向上させ、顧客、パートナー、規制当局との信頼を築くことができます。確立されたセーフガードを通じて個人データを保護することへのコミットメントを示すことで、顧客の信頼を維持し、ビジネス関係にプラスの影響を与えることができます。
  8. 業界標準との整合性:SCCsは、国際的なデータ保護原則とベストプラクティスに整合しています。SCCsを使用することで、組織はグローバルなプライバシー基準を満たすことへのコミットメントを示し、プライバシー意識が高まる環境での信頼性を向上させます。

標準契約条項の制限

SCCsは国際データ転送を促進するための貴重なツールですが、その制限についても認識しておくことが重要です。欧州委員会によって広く使用され、承認されているにもかかわらず、SCCsは特定の課題や制約に直面しています。以下にその例を示します:

  1. 限定的な適合性:SCCsは国際データ転送のための法的メカニズムを提供しますが、受取国での適切な保護レベルを保証するものではありません。関与する当事者間の契約上の義務に依存しており、義務が効果的に実施され、執行されることを確保する上での課題があるかもしれません。
  2. 不十分な保護:SCCsは、国際データ転送に関連するすべての特定のリスクに対処するわけではありません。異なる管轄の法的枠組みや慣行の違いに完全に対応できない可能性があり、個人データが政府の監視や不正アクセスなどのリスクにさらされる可能性があります。
  3. 規制の不確実性:SCCsの有効性と効果は、法的な課題や規制の変更に左右される可能性があります。最近の裁判所の判決や進行中の議論は、国際データ転送のメカニズムとしてのSCCsの適合性と将来の実行可能性に関する疑問を提起しています。
  4. コンプライアンス負担:SCCsの実施には、特に複雑なデータ転送の取り決めを持つ組織や複数の管轄で運営されている組織にとって、かなりの努力とリソースが必要です。これには、契約の交渉とレビュー、継続的なコンプライアンスの確保、データ転送に関連する潜在的なリスクの管理が含まれます。
  5. 代替メカニズム:SCCsは国際データ転送のための唯一のメカニズムではありません。組織は、拘束的企業準則(BCRs)や承認された行動規範など、特定の状況により適した他のアプローチを検討することができます。

SCCsは国際データ転送を促進するための貴重なツールを提供しますが、組織はその制限を考慮し、国境を越えた転送における個人データの保護を確保するために、追加のセーフガードとコンプライアンス措置の適合性を評価する必要があります。

標準契約条項の法的枠組み

SCCsの役割を完全に理解するためには、データ保護法および規制に関する法的枠組みを基本的かつ包括的に把握することが不可欠です。

データ保護法および規制の概要

データ保護法は管轄によって異なりますが、一般的には個人のプライバシー権を保護し、個人データの処理を規制することを目的としています。例えば、EUでは、GDPRがデータ保護法の基盤として機能し、個人データの処理と転送に関する一連のルールを確立しています。

さらに、米国のカリフォルニア州消費者プライバシー法(CCPA)やシンガポールの個人データ保護法(PDPA)など、いくつかの国が独自のデータ保護法を実施しています。これらの法律は、GDPRと類似の原則を取り入れ、データ保護を強化し、国境を越えたデータ転送に対処しています。

データ保護コンプライアンスを確保する上でのSCCsの役割

SCCsは、EEA外への個人データの転送時にデータ保護コンプライアンスを確保する上で重要な役割を果たします。データ転送契約にSCCsを組み込むことで、組織は個人データの保護と関連する規制の遵守に対するコミットメントを示します。

SCCsは、データ輸出者とデータ輸入者の権利と義務を確立する標準化された契約枠組みを提供します。これらは、異なる法的枠組みを持つ国でデータが処理される場合でも、個人の権利と自由を保護するための具体的なデータ保護原則、セーフガード、および救済策を概説しています。

SCCsへの準拠は、データ転送に関連する多くの法的および評判上のリスクを軽減するために重要です。

他の法的メカニズムとのSCCsの比較

SCCsは国際データ転送に広く使用されていますが、利用可能な唯一の法的メカニズムではありません。データ転送に関する情報に基づいた意思決定を行うためには、SCCsが他のメカニズムとどのように比較されるかを理解することが重要です。

拘束的企業準則(BCRs)は、SCCsの代替手段であり、主に多国籍組織内で使用されます。BCRsは、個人データのグループ内転送を可能にし、異なる子会社や関連会社間でデータ保護コンプライアンスを確保する枠組みを提供します。

適合性決定や例外などの他のメカニズムも、データ保護法の下で認識されています。適合性決定は、非EEA国が十分なデータ保護レベルを提供していると判断するために欧州委員会によって発行されます。一方、例外は、個人の明示的な同意や契約の履行のための転送の必要性など、特定の状況でデータ転送を許可します。

SCCsは拘束的企業準則(BCRs)とどのように異なるのか?

標準契約条項と拘束的企業準則は、十分なデータ保護レベルを確保しながら国際データ転送を促進するために使用されるメカニズムですが、いくつかの重要な側面で異なります。以下は、主要な違いを強調する比較表です:

側面 標準契約条項(SCCs) 拘束的企業準則(BCRs)
範囲と適用性 主に別々のエンティティ間の転送に使用される 主に多国籍組織または企業グループ内で使用される
規制承認 欧州委員会または関連するデータ保護当局によって事前承認されている 関連するデータ保護当局による正式な承認プロセスが必要
カバレッジとコントロール データ輸出者とデータ輸入者間の関係を管理する 企業グループ全体または組織をカバーする
柔軟性と適応性 カスタマイズが限られた標準化された条項 特定のビジネスニーズと運用に合わせたルール
承認レベル 事前承認されており、実施の手間を軽減 規制当局を含むより広範な承認プロセス

標準契約条項の要素を理解する

国際データ転送に従事する企業にとって、SCCsの主要な要素と構成要素を理解することは、準拠したデータ保護慣行を確立し、ステークホルダーとの信頼を維持するために重要です。

標準契約条項の範囲と適用性

SCCsは、さまざまなデータ転送シナリオに柔軟に適応できるように設計されています。これらは、データ管理者間の転送やデータ管理者からデータ処理者への転送に使用できます。SCCsは、単一の転送と指定された期間にわたる複数の転送の両方をカバーします。

SCCsの適用性は、適合性決定のない国に個人データを転送するGDPRの対象となる組織にまで及びます。特定のシナリオに関係なく、SCCsは、個人データの転送およびその後の処理中の保護を確保するための枠組みを提供します。

標準契約条項に関与する当事者

SCCsには、少なくとも2つの当事者が関与します:個人データを転送するデータ輸出者と、個人データを受け取り処理するデータ輸入者です。場合によっては、SCCsには、サブプロセッサーや転送先のデータ受取者などの追加の当事者が含まれることもあります。

データ輸出者とデータ輸入者は、SCCsに定められた義務を遵守し、転送プロセス全体で個人データを保護するための適切な技術的および組織的措置を実施する責任を負います。

SCCsにおける当事者の義務と責任

SCCsは、データ転送に関与する当事者の義務と責任を定義します。これらの義務には、適切なセキュリティ対策の提供、データ主体の権利の尊重、および義務の履行における相互の支援が含まれます。

データ輸出者は通常、データ輸入者のデータ保護基準を評価し、適切なセーフガードが講じられていることを確認する責任を負います。データ輸入者は、データ輸出者の指示に従ってのみ個人データを処理し、データ主体からの要求や問い合わせに対応するために必要な支援を提供することに同意します。

データ保護の原則とセーフガード

SCCsは、個人データの合法的かつ安全な処理を確保するための基本的なデータ保護原則を組み込んでいます。これらの原則には、データ処理の必要性と比例性、データの正確性と整合性、データ保持期間の制限が含まれます。

さらに、SCCsは、偶発的または違法な破壊、損失、改ざん、または不正な開示から個人データを保護するための適切な技術的および組織的措置の実施を要求します。

救済措置と執行メカニズム

SCCsは、個人データを保護するための執行可能な権利と救済措置を個人に提供します。データ主体は、データ輸出者、データ輸入者、または両方の当事者に対して直接権利を行使することができます。

SCCsの違反や侵害が発生した場合、データ輸出者またはデータ輸入者は、発生した損害に対する救済と補償を求めるために適切な法的措置を講じることができます。データ保護当局も、SCCsの執行とデータ保護法の遵守を確保する役割を果たします。

標準契約条項の実施

SCCsの実施には、データ転送契約への効果的な組み込みを確保するためのいくつかのステップが含まれます。SCCsを契約に組み込むことで、企業はEEAまたは英国からこれらの地域外の国への個人データの転送を管理する法的なセーフガードと義務を確立できます。

データ転送契約にSCCsを含めるためのステップ

データ転送契約にSCCsを含めるためには、組織は構造化されたアプローチを取る必要があります。これには、関与する当事者の特定、データ保護影響評価の実施、適切なSCCsの作成または採用、および契約への組み込みが含まれます。

さらに、組織はデータ輸入者によって実施されるデータ保護措置の適合性を評価し、必要に応じて追加のセーフガードを実施する必要があります。SCCsの条項を慎重にレビューし、データ転送の具体的な要件に合わせて交渉することが重要です。

特定の管轄におけるSCCsの適合性の評価

非EEA国に個人データを転送する際、組織はSCCsだけでその特定の管轄で十分な保護が提供されるかどうかを評価する必要があります。この評価には、目的地の国の法的および規制の枠組みを考慮し、コンプライアンスを確保するために必要な追加の措置を検討することが含まれます。

場合によっては、保護レベルの欠陥を補うために補足的な措置が必要になることがあります。これらの措置には、暗号化、仮名化、または追加の契約条項の採用が含まれることがあります。

SCCsの実施における課題と考慮事項

SCCsの実施は、組織にとってさまざまな課題と考慮事項をもたらす可能性があります。重要な課題の一つは、SCCsがデータ転送の具体的な要件と義務、業界、個人データの性質、関与する国々に適合していることを確保することです。

さらに、組織はデータ保護法および規制の変更、ならびにSCCsの有効性または適用性に影響を与える可能性のある法的な進展について情報を常に把握しておく必要があります。定期的なトレーニングと意識向上プログラムも、従業員がSCCsを扱う際の義務と責任を理解するために重要です。

SCCsの実例

SCCsの実際の例やケーススタディを検討することで、さまざまなデータ転送シナリオにおけるその適用と効果について貴重な知見を得ることができます。

ケーススタディ1:EUと米国間のデータ転送

EUと米国間の個人データの転送は、長い間法的な精査の対象となってきました。SCCsは、EUのデータ保護法の要件を満たすための人気のあるメカニズムとして歴史的に使用されてきました。

しかし、欧州連合司法裁判所によるシュレムスII判決などの最近の進展は、EUと米国間のデータ転送におけるSCCsの使用に課題をもたらしています。組織は現在、米国の法的枠組みと監視慣行を慎重に評価し、追加のセーフガードが必要かどうかを判断する必要があります。

ケーススタディ2:EU内のデータ転送

EU内のPII転送は、EUの統一されたデータ保護枠組みの存在により、一般的に複雑さが少ないと考えられています。しかし、SCCsは、EU内のPII転送におけるコンプライアンスと説明責任を確保する上で役割を果たすことができます。

EU内でPIIを転送する組織は、適用されるデータ保護法の具体的な要件と義務を慎重に検討し、必要に応じてSCCsを実施して追加の保護層を提供する必要があります。

ケーススタディ3:第三国へのデータ転送

EEA外の第三国への個人データの転送には、データ保護措置の適合性の徹底的な評価が必要です。SCCsは、そのような転送において貴重なツールとなり、データ保護コンプライアンスを確保する契約上の枠組みを提供します。

目的地の国での保護レベルが不十分と見なされる場合、組織は、SCCsに加えて、補足的な措置や代替の転送メカニズムを実施して、個人データの適切な保護レベルを確保することを検討する必要があります。

SCCsの最近の進展、課題、および将来

SCCsは、近年、多くの課題と進展に直面しています。シュレムスII判決などの法的な進展は、特に国際データ転送の文脈で、データ保護セーフガードの強化の必要性を浮き彫りにしています。

データ保護のグローバルな状況は絶えず進化しており、組織は関連する法律および規制に準拠するために、新たな課題と進展について情報を常に把握しておく必要があります。

潜在的なSCCsの改訂または置き換え

データ保護の分野における課題と進展に対応するために、規制当局はSCCsの有効性と適合性を常に評価しています。新たな課題に対処し、進化するデータ保護基準に合わせるために、将来的にSCCsの改訂または置き換えが行われる可能性があります。

組織は、SCCsの提案された改訂または置き換えについて最新情報を把握し、データ転送の実践が準拠し、ベストプラクティスに整合していることを確認する必要があります。

新興技術がSCCsに与える影響

人工知能、ブロックチェーン、モノのインターネット(IoT)などの新興技術は、データ保護の状況を再構築しています。これらの技術が進化するにつれて、SCCsはそれらがもたらす特定の課題に対処するために適応する必要があるかもしれません。

組織は、新興技術がデータ転送の実践に与える影響を考慮し、SCCsがこれらの技術に関連するリスクに十分に対処しているかどうかを評価する必要があります。

KiteworksプライベートコンテンツネットワークとSCCs

Kiteworksのプライベートコンテンツネットワークは、標準契約条項に関連する要件を含むデータプライバシーとコンプライアンス要件に対応する包括的なソリューションを企業に提供します。メール、ファイル共有、マネージドファイル転送、ウェブフォーム、およびアプリケーションプログラミングインターフェース(API)などのさまざまな通信チャネルを単一のプラットフォームに統合することで、Kiteworksは機密データの集中管理と自動管理を可能にし、統合されたリスク管理アプローチを促進します。

世界中のあらゆる業界の企業が、ユーザーおよびデータ分類レベルでガバナンスポリシーを施行するためにKiteworksを使用し、GDPR、英国データ保護法、カリフォルニア州消費者プライバシー法(CCPA)、個人情報保護および電子文書法(PIPEDA)などのデータプライバシー規制に準拠して個人データを取り扱うことを確保しています。

Kiteworksは、信頼できるパートナーと共有するPIIをさまざまな方法で保護します。強化された仮想アプライアンスは、ネットワークファイアウォールとウェブアプリケーションファイアウォール(WAF)を組み込み、不正アクセスから保護します。また、プラットフォームはゼロトラストの最小特権アクセスアプローチを採用し、攻撃面を縮小し、ユーザーに必要なデータのみへのアクセスを許可します。最後に、PIIやその他の機密情報を含むすべてのファイルは暗号化され、追跡され、記録され、法医学分析、法的保持、電子証拠開示、および規制コンプライアンスのための包括的な監査ログを提供します。

今日、カスタムデモをスケジュールして、Kiteworksプライベートコンテンツネットワークについて詳しく学びましょう。

 

リスク&コンプライアンス用語集に戻る

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Share
Tweet
Share
Explore Kiteworks