フランス CNIL;個人データの越境移転影響評価 (TIA) の最終版 (2025.01.31)
こんにちは、丸山満彦です。
CNILが個人データの越境移転影響評価 (TIA) の最終版を公表していますね...
● CNIL
・2025.01.31 Transfer Impact Assessment (TIA): the CNIL publishes the final version of its guide
| Transfer Impact Assessment (TIA): the CNIL publishes the final version of its guide | 移転影響評価(TIA):CNILがガイドの最終版を公表 |
| In order to assist organisations transferring personal data outside of the European Economic Area (EEA), the CNIL publishes the final version of its guide on Transfer Impact Assessments. It follows a public consultation. | 欧州経済地域(EEA)域外への個人データの移転を行う組織を支援するため、CNILは移転影響評価に関するガイドの最終版を公表した。これは、パブリックコンサルテーションに続くものである。 |
| Guaranteeing the same level of protection as the GDPR for data transfer | データ移転に際してGDPRと同水準の保護を保証 |
| Regardless of their status and size, a very large number of controllers and processors are concerned by the issue of data transfers outside the European Economic Area (EEA). The interpenetration of networks has multiplied the situations in which personal data are being processed in whole or in part in third countries that are not subject to EU law, in particular the GDPR, and may thus give rise to data transfers. | その地位や規模に関わらず、非常に多くの管理者および処理者が欧州経済地域(EEA)域外へのデータ転送の問題に関心を寄せている。ネットワークの相互浸透により、個人データの全部または一部がEU法、特にGDPRの対象外である第三国で処理される状況が増加しており、それによりデータ転送が生じる可能性がある。 |
| The principle established by the GDPR is that, in the event of a transfer, data must continue to enjoy protection substantially equivalent to that afforded by the GDPR. Chapter V of the GDPR contains specific provisions regarding data transfers. | GDPRが定める原則は、移転が行われる場合、データは引き続きGDPRが定めるものと実質的に同等の保護を享受しなければならないというものである。GDPRの第5章には、データ移転に関する具体的な規定が記載されている。 |
| The “Schrems II” judgment of the Court of Justice of the European Union (CJEU) highlighted the responsibility of data exporters outside the European Economic Area (EEA) and importers in the country of destination. They must ensure that the processing is carried out, and continues to be carried out, in compliance with the level of protection set by EEA law. According to the CJEU, exporters also have the responsibility to suspend the transfer and/or terminate the contract if the importer is not, or is no longer, able to comply with its commitments on the protection of personal data. | 欧州連合司法裁判所(CJEU)の「シュレンスII」判決では、欧州経済領域(EEA)外のデータ輸出事業者と、移転先の国の輸入事業者の責任が強調された。EEA法で定められた保護レベルに準拠した処理が実施され、継続されることを保証しなければならない。欧州司法裁判所(CJEU)によると、輸出事業者は、輸入事業者が個人データの保護に関する義務を遵守できない場合、または遵守できなくなった場合には、移転を停止し、および/または契約を解除する責任も負う。 |
| The Transfer Impact Assessment | 移転影響評価 |
| Thus, exporters relying on the transfer tools listed in Article 46.2 and 46.3 GDPR for their transfers have an obligation to assess the level of protection in third countries of destination and the need for additional safeguards. | したがって、GDPR第46条2項および3項に列挙された移転ツールに依存して移転を行う移転者は、移転先の第三国における保護レベルと追加の安全対策の必要性を評価する義務がある。 |
| Such an assessment is commonly referred to as a ‘Transfer Impact Assessment’ (TIA). | このようなアセスメントは一般的に「移転影響評価(TIA)」と呼ばれる。 |
| Following the recommendations of the European Data Protection Board (EDPB) on additional measures complementing transfer instruments, the CNIL has developed a guide to help data exporters carry out their TIAs. | 欧州データ保護委員会(EDPB)による移転手段を補完する追加措置に関する勧告に従い、CNILはデータ移転者がTIAを実施する際に役立つガイドを作成した。 |
| In which cases should a TIA be carried out? | どのような場合にTIAを実施すべきか? |
| A TIA must be carried out by the exporter subject to the GDPR, whether controller or processor, with the assistance of the importer, before transferring the data to a country outside the EEA where that transfer is based on a tool in Article 46 of the GDPR (e.g., Standard Contractual Clauses, Binding Corporate Rules). | TIAは、GDPRの対象となる輸出事業者が、管理者または処理者のいずれであるかを問わず、輸入事業者の支援を受けながら、EEA域外の国にデータを転送する前に実施しなければならない。その転送は、GDPR第46条のツール(標準契約条項、拘束的企業準則など)に基づくものである。 |
| There are two exceptions to this requirement for the exporter: | 移転者に対するこの要件には、次の2つの例外がある。 |
| ・If the country of destination is covered by an adequacy decision of the European Commission | ・目的地の国が欧州委員会の十分性認定を受けている場合 |
| ・If the transfer is made on the basis of one of the derogations listed in Article 49 GDPR. | ・GDPR第49条に列挙されたいずれかの例外規定に基づいて転送が行われる場合 |
| What is the purpose of a TIA? | TIAの目的は何か? |
| The objective of a TIA is to assess whether the importer will be able to comply with its obligations under the chosen tool taking into account the legislation and practices of the third country of destination – in particular as regards the potential access to personal data by authorities of the third country – and to document that assessment. | TIAの目的は、輸入事業者が選択したツールの下で、第三国の法律や慣行(特に、第三国の当局による個人データへの潜在的なアクセス可能性に関して)を考慮した上で、その義務を遵守できるかどうかを評価し、そのアセスメントを文書化することである。 |
| Where necessary, the TIA should also assess whether supplementary measures would address the identified data protection gaps and ensure the level required by the EU legislation. | 必要に応じて、TIAでは、特定されたデータ保護のギャップに対処し、EUの法律で要求されるレベルを確保するための追加措置についても評価すべきである。 |
| What are the objectives and scope of the TIA Guide? | TIAガイドの目的と範囲は何か? |
| This guide is a methodology that identifies the steps prior to carrying out a TIA. It provides guidance on how the analysis can be carried out following the steps set out in the EDPB recommendations and refers to the relevant documentation. It does not constitute an assessment of the law and practices in third countries. | このガイドは、TIA実施前のステップを識別するための方法論である。EDPBの勧告に定められたステップに従って分析を実施する方法についての指針を提供し、関連文書を参照している。第三国の法律および慣行の評価を構成するものではない。 |
| The use of this guide is not mandatory, other elements may also be taken into account and other methodologies applied. | このガイドの使用は必須ではなく、他の要素も考慮し、他の方法論を適用することも可能である。 |
| As regards the steps prior to carrying out a TIA, this guide is organised around the following questions: | TIA実施前の段階については、本ガイドは以下の質問を中心に構成されている。 |
| 1. Is there a transfer of personal data? | 1. 個人データの移転はあるか? |
| 2. Is it necessary to carry out a TIA? | 2. TIAを実施する必要があるか? |
| 3. Who is responsible for the TIA? | 3. TIAの責任者は誰か? |
| 4. What is the scope of the TIA, in particular considering onward transfers? | 4. TIAの範囲は何か、特に二次移転を考慮して? |
| 5. Is the transfer compliant with the principles of the GDPR? | 5. 移転はGDPRの原則に準拠しているか? |
| As regards the implementation of the TIA, this guide is organised according to the six different steps to be followed in order to carry out a TIA: | TIAの実施に関しては、本ガイドはTIAを実施するために踏むべき6つのステップに従って構成されている。 |
| 1. Know your transfer | 1. 移転の把握 |
| 2. Identify the transfer tool used | 2. 使用される移転ツールの識別 |
| 3. Evaluate the legislation and practices of the country of destination of the data and the effectiveness of the transfer tool | 3. データ移転先の国の法律および慣行、および移転ツールの有効性の評価 |
| 4. Identify and adopt supplementary measures | 4. 補足措置の識別および採用 |
| 5. Implement the supplementary measures and the necessary procedural steps | 5. 補足措置および必要な手続き上のステップの実施 |
| 6. Reassess the level of protection at appropriate intervals and monitor potential developments that could affect it | 6. 適切な間隔で保護レベルを再評価し、保護に影響を与える可能性のある潜在的な進展を監視する |
| Consult the guide | ガイドを参照 |
| What are the main changes in the final version of the Guide compared to the version submitted for public consultation? | パブリックコンサルテーションに提出されたバージョンと比較して、ガイドの最終版の主な変更点は何か? |
| From December 2023 to February 2024, the CNIL submitted its guide for public consultation. The consultation received 34 contributions mainly from professionals in the sector (data protection officers, lawyers, consultants, heads of professional networks). They represent players of all sizes (French and international groups, small and medium-sized enterprises, professional networks/business federations, etc.) and from various sectors (banking/finance, insurance, transport, industry, digital/IT, cosmetics/health, local and regional authorities, etc.). | 2023年12月から2024年2月にかけて、CNILはパブリックコンサルテーション用のガイドを提出した。主に当該分野の専門家(データ保護責任者、弁護士、コンサルタント、職業ネットワークの代表者)から34件の意見が寄せられた。 意見を寄せたのは、あらゆる規模の事業者(フランスおよび国際グループ、中小企業、職業ネットワーク/事業連合など)およびさまざまな分野(銀行/金融、保険、運輸、工業、デジタル/IT、化粧品/ヘルスケア、地方自治体など)の代表者である。 |
| Those contributions enabled the CNIL to develop, in both form and substance, the final version of the guide and provide a number of clarifications on its content, and to consolidate, or adjust, certain reflections and analyses, in order to take into account, in particular, the latest opinions of the European Data Protection Board (EDPB). | これらの貢献により、CNILは、最終版のガイドを形式と内容の両面で発展させ、その内容について多くの明確化を行うことができた。また、特に欧州データ保護委員会(EDPB)の最新の意見を考慮に入れるため、いくつかの考察や分析を強化または調整することができた。 |
| A summary of the contributions with the CNIL's answers to the most complex remarks is published with the final version of the Guide. | CNILの回答とともに、最も複雑な意見に対する貢献の要約がガイドの最終版とともに公開されている。 |
| Consult the summary of contributions | 意見の概要を参照 |
| Documents | 文書 |
| Guide TIA - Summary of contributions | ガイド TIA - 意見の概要 |
| Practical guide - Transfer impact assessment | 実用ガイド - 移転影響評価 |
実用ガイド - 移転影響評価
・[PDF] Practical guide - Transfer impact assessment
ガイド TIA - 意見の概要
・[PDF] Guide TIA - Summary of contributions
Comments