グローバルビジネスを展開する企業にとって、海外の個人情報保護規制対応は頭の痛い問題です。   最新動向を把握し、現地当局による執行リスクやデータ主体からの訴訟リスクを評価して、リスクの高い法域の対応から優先的に進めるというリスク・ベースド・アプローチにより、自社にとって特に重要な法域の対応をしっかりと行うことが大事です。   しかし、すべての法域の個別法令ごとに一つひとつ対応していこうとすると、あまりのTO DOの多さに途方に暮れてしまうということがあります。そこで本稿では、細かな各国制度 の解説をするのではなく、直近の注意すべき動向と、それに対する効率的な実務対応について解説したいと思います。   欧州では、GDPRの移転規制対応について、2021年6月に新SCC(標準契約条項) が公表されました。これにより、現時点でも既に、データ移転契約を新規に締結する場合には新SCCを使う必要があります。   旧SCCに基づいて過去に締結済みの契約は、2022年12月27日まで有効です。そのため、現時点ではまだ旧SCCを維持している企業もあるかと思いますが、この期限に向けた見直しが必須となることに注意が必要です。   また、GDPRの移転規制対応にあたっては、単に新SCCを締結するだけでは足りず、Schrems Ⅱ判決を踏まえた、いわゆるデータ移転影響評価(Transfer Impact Assessment)も必要となりますので注意すべきです 。なお、GDPRおよび他の法域のデータ移転規制への実務対応については、3で後述します。   その他、欧州では、GDPRの特則であるeプライバシー指令に基づく各国法により、いわゆる厳格必須クッキーを除くクッキー等の利用にあたって、原則として同意が必須となっています。また、近時はクッキー等の規制に関する当局による執行が増えており、これは2022年も続くと考えられます。そのため、クッキーポリシーの整備とクッキー同意ツールの実装によって、クッキー等の種類ごとに個別のオプトイン同意を取得するという実務対応が、重要なTO DOの1つといえます。   米国では、現時点においては連邦の包括的な個人情報保護規制はなく、特に注意が必要な州の包括的な個人情報保護規制として、CCPA(カリフォルニア州消費者プライバシー法)があります。   2020年11月3日には、CCPAについて規制を強化する(一部は緩和する)改正がなされ、CPRA(カリフォルニア州プライバシー権法)が成立しています。CPRAは2023年1月1日に施行される予定で、同年7月1日には、専任の当局であるカリフォルニア州プライバシー保護局(California Privacy Protection Agency)および州の司法長官による執行開始が予定されています。   CPRAは、CCPAとは異なり、従業員情報やBtoBの顧客情報について適用が猶予されないため、CCPAよりも多くの日本企業において対応が必須となる見通しです。また、CPRAは2022年1月1日以降に収集される個人情報に適用されることになるので注意が必要です。   CPRA・CCPAとGDPRの比較については、下表のとおりです。   CCPA・CPRA上の義務概要 GDPRとの比較の視点から   項目   CCPA   CPRA   GDPR   目的外利用の禁止   データ最小化・   保存期間制限   記録の保持   情報通知/   プライバシーポリシー   データ収集   についての規制   センシティブ個人情報   に関する規制   第三者への「販売」・「共有」   海外データ移転規制   委託先等との関係   クッキーや広告ID等   によるクロスコンテクスト行動広告   「共有」のオプトアウト必須(クロスコンテクスト行動広告は、サービス提供者・契約者の利用不可)   安全管理措置   高リスクの処理   についての評価   データ侵害時の   当局報告・本人通知   アクセス権   (知る要求)   削除権   訂正請求権   自動化された   意思決定技術について   権利行使を   理由とした差別   個人情報の取得、   販売、保持(削除)   に関する経済的   インセンティブ   オプトイン同意の定義   専任の当局   DPO・代理人   カリフォルニア州に引き続き、各州において包括的な個人情報保護に関する州法が整備される動きも広がっています(たとえば、ヴァージニア州のConsumer Data Protection Actは2023年1月1日に、コロラド州のColorado Privacy Actは2023年7月1日に施行されます)。   また、現時点では成立の具体的な目処は経っていないものの、連邦レベルでの包括的な個人情報保護規制についても法案は存在しており、成立の機運は高まっていますので、その動向にも注意が必要です。   中国では、元々存在していたサイバーセキュリティ法に加えて、新たに、2021年に個人情報保護法およびデータセキュリティ法が成立して施行されており、既に一定の対応を講じている企業も多いかと思います。既に、下位規範の案も一部公表されていますが、2022年にはさらに下位規範も公表・施行されることが想定され、それに応じた対応が必要となることが見込まれます。   なお、中国個人情報保護法と日本法・GDPRについて簡単に比較したものが下表のとおりであり、中国個人情報保護法はGDPRにかなり近い厳格な規制となっていることがわかります。   中国個人情報保護法と日本法・GDPRの比較   項目   中国個人情報保護法   日本法   GDPR   目的外利用の禁止   データ最小化・   保存期間制限   記録の保持   情報通知/   プライバシーポリシー等   データ収集   についての規制   センシティブ個人情報   に関する規制   第三者提供   越境移転規制   データローカライゼーション   子どもの個人情報   委託先(処理者)   の監督義務   安全管理措置   データ保護影響評価   データ侵害時の   当局報告・本人通知   独立性のある   DPO選任義務   拠点がない場合の   代理人選任義務   アクセス権   消去(削除)権   訂正請求権   処理の制限権・異議権   データポータビリティ権   (完全に)自動化された意思決定に関する権利   同意の撤回権の明文   タイでは、2019年にGDPR類似の個人情報保護規制が成立しています。これまで施行延期が繰り返されてきましたが、2022年6月1日に全面的施行予定となっています。   ほかには、インド・インドネシア・ベトナム等でも、包括的な個人情報保護規制の案が既に公表されています。これらについては、2022年中に成立・施行等されるかは未定ですが、動向の注視が必要です。   グローバルデータ保護規制対応のTO DOとしては、概ね下表のようなものがあげられます。すべての法域のすべての法令について完全な遵守をすることは難しいのが現実といえますので、実務上は、1で前述したリスク・ベースド・アプローチにおける考慮要素等を考慮して、個別対応する法域とTO DOの優先順位付けをすることが考えられます。   企業において近時増えている対応としては、リスク・ベースド・アプローチによると優先度が低いと考えられるために、法域ごとの個別対応をひとまずはしないこととした法域においても、まったくノーマークとするというわけではなく、グローバルスタンダードでの対応は行っておくことで、基本的には重大な問題はないような状態を作るというような対応です。   具体的には、たとえば主要なものとして、グループのグローバルプライバシーポリシーの整備・グローバル社内規程の整備・グループ間のグローバルデータ移転契約等の整備があげられます。   グループのグローバルプライバシーポリシーについては、個別法域ごとにプライバシーポリシーを整備していくと数が膨大となり管理が難しくなります。そのため、多くの法域で必要とされるような要素を盛り込んだグローバルスタンダードとしてのポリシーをまず作成し、それで対応しきれない各法域特有の要素について、各法域ごとの別紙をつけることで対応する方法が考えられます。この方式は、事業展開や法整備の状況を踏まえて別紙を追加・修正していくことが可能ですので、維持していくことも比較的容易だといえます。   従前は、日本用・GDPR用・CCPA用といった形で、プライバシーポリシーを個別に整備していく方式が多かったといえます。しかし最近では、今後対応すべき法域が増えることを想定し、グローバルポリシーとして共通のものを本体に定めたうえで、GDPR用の特則・CCPA用の特則を別紙で定め、優先度が高い他の法域についても同様に別紙を作成するという方式が採用されることが増えています。   共通化する項目の例としては以下のようなものがあげられます。   特則の例としては以下のようなものがあげられます。   なお、1つの共通ポリシーに複数の別紙をつける方法ではなく、ポリシーの共通ひな形を作ったうえで、修正履歴付きで各国法対応のものを作成する方法もあります。この方法も、各国ごとにまったくバラバラに用意するよりはグループ全体で平仄をとりやすくなります。   また、実務上は、顧客向けのものと従業員向けのものは分けて作成する例が多いといえ、さらに別で、採用関連や株主向けを、顧客向けと分けて用意する例もあります。   プライバシーポリシーは、データ主体(=外部)向けのものですが、データ保護に関する社内規程についても整備が必要です。   こちらについても、プライバシーポリシーと同様、多くの個人情報保護規制で要求されるルールに応じたグローバル共通ルールを作ったうえで、特則として各国法対応の別紙を作成する方法や、特則として手当てが必要な部分について共通ルールに修正を加える形で、修正履歴付きで各国ごとの社内規程を管理しておく方法が考えられます。これにより、グループ全体を通じた社内規程の管理が容易になります。   グループ間でグローバルに人事データや顧客データを移転するニーズが高まっていますが、その場合も各国の移転規制に対応することが必要となります。法域により規制はさまざまですが、多くの法域では、データ輸出者とデータ輸入者の間で、データ輸出者の国と同等レベルの保護を行うことを契約上約定し、それを遵守することにより個人データの移転が可能となります。   そこで、個人データの移転を相互に行うグループ間で、グループ間グローバルデータ移転契約を締結することが考えられます。移転のための契約については、たとえば、GDPRのSCCのようにフォーマットが指定されている法域もあります(タイ・ブラジル・中国等もこれに当たりますが、いずれの法域も現時点ではフォーマットは公表されていません)。しかし、日本を含めて、フォーマット自体の指定は特段ない国も多いといえます。   そこで考えられる方式としては、OECD8原則や日本の個人情報保護法等を参考にしたグローバルスタンダードをデータ輸入者が遵守するという基本契約を結び、特則として、フォーマットが指定されている法域のフォーマット(例:GDPR上のSCC)を、基本契約に優先するものとして別添するというものがあります。これにより、日本の外国にある第三者への移転規制の基準適合体制も整備できるうえ、各国の移転規制にも対応できることになります。   また、運用を容易にする工夫として、一般的に、後にグループに加入した企業にも効力を及ぼすことができるようにするための手当てを行ったり、変更の度に各グループ企業の間で逐一契約を結び直さずに、本社の方で事後的な修正ができるような委任を受けておくことが考えられます。   なお、このような移転契約によってすべての法域の移転規制に対応できるわけではなく、下表のように追加の対応が必要となる国があります。   データ移転にあたり契約以外の対応が必要となる国の例   中国   当局所定の契約のみならず本人同意も必要   さらに一定の場合には、「本人同意+契約」では足りず当局による安全評価も必要   韓国   契約のみならず本人同意も必要   ロシア   日本等の十分な保護水準の国への移転については、従業員データを除き規制対応は不要だが、   それ以外については本人同意が必要   インドネシア   本人同意と政府への報告が必要   グローバルビジネスを展開する企業がグローバルデータ保護規制対応に取り組むうえでは、上記のような手法を用いてできるだけ効率的な対応ができるような工夫をしておくことが有益と考えられます。本稿が、実務対応を検討するうえで役立てれば幸いです。