EU、個人データ輸出規制の契約条項標準を修正

　欧州連合（EU）の執行機関である欧州委員会は5日、EU内の企業が個人データをEU以外の国の企業（処理業者）に移転する場合の標準的な契約条項雛形を修正する決定を採択したと発表した。

　EU企業からEU外の個人データ処理業者への移転について、いわゆる「controller to processor」条項と呼ばれる、EU企業が盛り込むべき契約条項を欧州委員会は提示しており（欧州委員会決定2002/16/EC）、これによって適切な個人データの保護が確実になるものとされている。

　欧州指令95/46/ECでは、EU内の個人データの処理に関する法的枠組みが決定され、EU/EEA以外の国への移転の際についても規定された。その中で、第三国への移転の際は、その第三国が妥当なレベルのデータ保護を確保することを条件とすることを原則とし、例外的に特定の条件下で移転が認められている。もし、第三国が妥当なレベルのデータ保護を確保する手段を講じていない場合は、適切な契約条項に基づく適切な予防対策を当該企業が示せば、加盟国はデータ移転を許可するような内容となっていた。その際の契約条項が、すでに雛形として提供されていた。

　今回の修正は、個人データの二次加工をも視野に入れたものという。すなわち、個人データの国際的な処理を可能にするために、単に直接の移転のみならず、さらなる移転やアウトソーシングを考慮したような内容となっている。また、この修正契約条項によれば、EU企業は、EU外の処理業者にEUデータ保護規約を完全遵守するよう要求し、目的国における適切なセキュリティ手段がとられるよう要求できるようになっているという。個人データの持ち主もまた、EU企業またはEU外の処理業者に対して、契約条項に違反したときに、適切な処置の履行等の措置を請求できるという。