欧州 EDPB GDPR第48条(EU法によって認められない移転又は開示)についてのガイドライン バージョン2.0 (2025.06.04)
こんにちは、丸山満彦です。
GDPR第48条(EU 法によって認められない移転又は開示)についてのガイドラインが採択されましたね...
AI とデータ保護に関する 専門家支援プール(SPE)研修資料も公開されているようです...
また、GDPR に基づく記録保持義務の簡素化に関する提案草案について、欧州委員会が EDPB と EDPS に共同意見の提出を要請したことについて議論したようですね...
● EDPB
・2025.06.05 EDPB、第三国当局へのデータ転送に関するガイドラインの最終版、および AI とデータ保護に関する SPE 研修資料を公開
| EDPB publishes final version of guidelines on data transfers to third country authorities and SPE training material on AI and data protection | EDPB、第三国当局へのデータ転送に関するガイドラインの最終版、および AI とデータ保護に関する SPE 研修資料を公開 |
| Brussels, 05 June - During its latest plenary, the European Data Protection Board (EDPB) adopted the final version of its guidelines on Art.48 GDPR about data transfers to third country authorities, after public consultation. In addition, the Board presented two new Support Pool of Experts (SPE) projects providing training material on artificial intelligence and data protection. Finally, the Board discussed the European Commission’s request for a joint EDPB-EDPS opinion on the draft proposal on the simplification of record-keeping obligation under the GDPR. | 6 月 5 日、ブリュッセル - 欧州データ保護会議 (EDPB) は、最新の総会において、公開協議を経て、第三国当局へのデータ転送に関する GDPR 第 48 条に関するガイドラインの最終版を採択した。さらに、人工知能とデータ保護に関する研修資料を提供する 2 つの新しい専門家支援プール(SPE)プロジェクトも発表した。最後に、EDPB は、GDPR に基づく記録保持義務の簡素化に関する提案草案について、欧州委員会が EDPB と EDPS に共同意見の提出を要請したことについて議論した。 |
| Data transfers to third country authorities | 第三国当局へのデータ転送 |
| Following public consultation, the EDPB has adopted the final version of the guidelines on data transfers to third country authorities. In its guidelines, the EDPB zooms in on Art. 48 GDPR and clarifies how organisations can best assess under which conditions they can lawfully respond to requests for a transfer of personal data from third country authorities (i.e. authorities from non-European countries). | 公開協議を経て、EDPB は、第三国当局へのデータ転送に関するガイドラインの最終版を採択した。このガイドラインでは、GDPR 第 48 条に焦点を当て、組織が、第三国当局(すなわち、欧州以外の国の当局)からの個人データの転送要求に合法的に対応できる条件をどのように評価するのが最善かを明確にしている。 |
| The EDPB explains that judgements or decisions from third country authorities cannot automatically be recognised or enforced in Europe. As a general rule, an international agreement may provide for both a legal basis and a ground for transfer. In case there is no international agreement, or if the agreement does not provide for an appropriate legal basis or safeguards, other legal bases or other grounds for transfer could be considered, in exceptional circumstances and on a case by case basis. | EDPB は、第三国の当局による判断や決定は、欧州では自動的に承認または執行されるものではないと説明している。原則として、国際協定は、転送の法的根拠と理由の両方を規定することができる。国際協定がない場合、または協定が適切な法的根拠や保護措置を規定していない場合、例外的な状況において、ケースバイケースで、他の法的根拠または転送の理由を検討することができる。 |
| The modifications introduced in the updated guidelines do not change their orientation, but they aim to provide further clarifications on different aspects that were brought up in the consultation. For example, the updated guidelines address the situation where the recipient of a request is a processor. In addition, they provide additional details regarding the situation where a mother company in a third country receives a request from that third country authority and then requests the personal data from its subsidiary in Europe. | 更新されたガイドラインで導入された変更は、その方向性を変更するものではありませんが、協議で指摘されたさまざまな側面について、さらに明確化を図ることを目的としています。例えば、更新されたガイドラインでは、要求の取得者が処理者である場合について取り上げています。さらに、第三国の親会社が、その第三国の当局から要求を受け、欧州の子会社に個人データの提供を要求する場合について、詳細を追加しています。 |
| Upskilling and reskilling on AI and data protection | AI およびデータ保護に関するスキルアップと再教育 |
| During its June’s plenary, the EDPB also presented two new Support Pool of Experts (SPE) projects*: Law & Compliance in AI Security and Data Protection and Fundamentals of Secure AI Systems with Personal Data. The two projects, which have been launched at the request of the Hellenic Data Protection Authority (HDPA), provide training material on AI and data protection. | 6 月の総会で、EDPB は 2 つの新しい専門家サポートプール (SPE) プロジェクト*、すなわち「AI セキュリティおよびデータ保護に関する法律とコンプライアンス」と「個人データを含むセキュアな AI システムの基礎」も発表した。ギリシャデータ保護機関 (HDPA) の要請を受けて開始されたこの 2 つのプロジェクトは、AI およびデータ保護に関する研修資料を提供する。 |
| The report “Law & Compliance in AI Security & Data Protection” is addressed to professionals with a legal focus like data protection officers (DPO) or privacy professionals. | 報告書「AI セキュリティとデータ保護における法律とコンプライアンス」は、データ保護責任者(DPO)やプライバシーの専門家など、法律に重点を置く専門家を対象としている。 |
| The second report, “Fundamentals of Secure AI Systems with Personal Data”, is oriented toward professionals with a technical focus like cybersecurity professionals, developers or deployers of high-risk AI systems. | 2 つ目の報告書「個人データを含むセキュアな AI システムの基礎」は、サイバーセキュリティの専門家、開発者、高リスク AI システムの展開者など、技術に重点を置く専門家を対象としている。 |
| The main aim of these projects is to address the critical shortage of skills on AI and data protection, which is seen as a key obstacle to the use of privacy-friendly AI. The training material will help equip professionals with essential competences in AI and data protection to create a more favourable environment for the enforcement of data protection legislation. | これらのプロジェクトの主な目的は、プライバシーに配慮した AI の利用の重大な障害となっている AI およびデータ保護に関するスキルの深刻な不足に対処することだ。この研修資料は、専門家が AI およびデータ保護に関する基本的な能力を身につけ、データ保護法の施行のためのより好ましい環境を構築するのに役立つ。 |
| The Board decided to publish both documents as PDF files. Taking into account the very fast evolution of AI, the EDPB also decided to launch a new innovative initiative as a one-year pilot project consisting of a modifiable community version of the reports. The EDPB will start working with the authors of both reports to import them in its Git repository** to allow, in a near future, any external contributor, with an account on this platform and under the condition of the Creative Commons Attribution-ShareAlike license, to propose changes or add comments to the documents. | 委員会は、両文書をPDFファイルとして公開することを決定した。AIの急速な進化を踏まえ、EDPBは、報告書の変更可能なコミュニティ版を含む1年間のパイロットプロジェクトとして、新たな革新的なイニシアチブを立ち上げることも決定した。EDPB は、両報告書の作成者と協力し、これらの報告書を Git リポジトリ** に導入する作業を開始する。これにより、近い将来、このプラットフォームにアカウントを持ち、クリエイティブ・コモンズ・アトリビューション・シェアアライク・ライセンスに同意した外部貢献者は、文書に変更を提案したり、コメントを追加したりすることができるようになる。 |
| Simplification of record-keeping obligation under the GDPR *** | GDPR に基づく記録保持義務の簡素化 *** |
| Finally, the Board discussed the European Commission's request for a joint opinion by the EDPB and the European Data Protection Supervisor (EDPS) on its proposal to simplify the record-keeping obligations of small and medium-sized enterprises (SMEs), small mid-caps (SMCs) and organisations with fewer than 750 employees, amounting to a targeted amendment of Art. 30(5) GDPR. The EDPB and EDPS will issue their joint opinion on this matter within eight weeks. | 最後に、委員会は、中小企業(SME)、小規模中堅企業(SMC)、および従業員 750 人未満の組織に対する記録保持義務を簡素化するための欧州委員会による提案について、EDPB および欧州データ保護監察機関(EDPS)による共同意見の提出を求める欧州委員会の要請について議論した。この提案は、GDPR 第 30 条(5)の改正を目的としたものである。EDPB および EDPS は、この件に関する共同意見書を 8 週間以内に発表する予定だ。 |
| Note to editors: | 編集後記 |
| * The Support Pool of Experts (SPE) is an initiative included in the EDPB strategy 2024-2027 to help Data Protection Authorities (DPAs) increase their capacity to enforce by developing common tools and giving them access to a wide pool of experts. | * 専門家支援プール(SPE)は、データ保護機関(DPA)が共通ツールを開発し、幅広い専門家プールへのアクセスを提供することで、執行能力の強化を支援するための EDPB 戦略 2024-2027 に含まれる取り組みだ。 |
| As part of the SPE programme, the EDPB may commission experts to provide reports and tools on specific topics. The views expressed in the deliverables are those of their authors and they do not necessarily reflect the official position of the EDPB. | SPE プログラムの一環として、EDPB は、特定のトピックに関する報告書やツールの提供を専門家に委託することができる。成果物に記載された見解は、その著者の見解であり、EDPB の公式見解を必ずしも反映するものではない。 |
| ** The reports will be available in the following months on the repository page. | ** 報告書は、今後数ヶ月以内にリポジトリページで公開される予定だ。 |
| ****On 8 May 2025, the EDPB and the EDPS adopted a letter, addressed to the European Commission, to share preliminary views on the Commission’s proposal on the simplification of record-keeping obligation under the GDPR. | ***2025年5月8日、EDPBとEDPSは、欧州委員会宛ての書簡を採択し、GDPRに基づく記録保持義務の簡素化に関する欧州委員会の提案に関する予備的な見解を共有した。 |
・[PDF]
エグゼクティブサマリー...
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| Article 48 GDPR provides that: “Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer pursuant to this Chapter”. | GDPR第48条は次のように規定している:「個人データの移転または開示を管理者または処理者に要求する裁判所または法廷の判決および第三国の行政当局の決定は、本章に基づくその他の移転理由を害することなく、要求元の第三国とEUまたは加盟国との間で有効な相互法的支援条約などの国際協定に基づく場合にのみ、いかなる方法においても承認または執行可能である。 |
| The purpose of these guidelines is to clarify the rationale and objective of this article, including its interaction with the other provisions of Chapter V of the GDPR, and to provide practical recommendations for controllers and processors in the EU that may receive requests from third country authorities to disclose or transfer personal data. | 本ガイドラインの目的は、GDPR第5章の他の規定との相互関係を含め、本条項の根拠と目的を明確にし、第三国当局から個人データの開示または移転の要請を受ける可能性のあるEU内の管理者および処理者に対し、実践的な勧告を提供することである。 |
| The main objective of the provision is to clarify that judgments or decisions from third country authorities cannot automatically and directly be recognised or enforced in an EU Member State, thus underlining the legal sovereignty vis-a-vis third country law. As a general rule, recognition and enforceability of foreign judgements and decisions is ensured by applicable international agreements. | この規定の主な目的は、第三国当局の判決や決定がEU加盟国において自動的かつ直接的に承認または執行されることはないことを明確にすることであり、これにより第三国法に対する法的主権が強調される。原則として、外国の判決や決定の承認と執行可能性は、適用される国際協定によって確保される。 |
| Regardless of whether an applicable international agreement exists, if a controller or processor in the EU receives and answers a request from a third country authority for personal data, such data flow is a transfer under the GDPR and must comply with Article 6 and the provisions of Chapter V. | 適用される国際協定が存在するか否かにかかわらず、EU内の管理者または処理者が第三国の当局から個人データの要請を受け、それに回答する場合、そのようなデータの流れはGDPRに基づく移転であり、第6条および第5章の規定を遵守しなければならない。 |
| An international agreement may provide for both a legal basis (under Article 6(1)(c) or 6(1)(e)) and a ground for transfer (under Article 46(2)(a)). | 国際協定は、法的根拠(第6条1項(c)又は第6条1項(e)に基づく)と移転の根拠(第46条2項(a)に基づく)の両方を規定することができる。 |
| In the absence of an international agreement, or if the agreement does not provide for a legal basis under Article 6(1)(c) or 6(1)(e), other legal bases could be considered. Similarly, if there is no international agreement or the agreement does not provide for appropriate safeguards under Article 46(2)(a), other grounds for transfer could apply, including the derogations in Article 49. | 国際協定がない場合、又は協定が第6条(1)(c)若しくは第6条(1)(e)に基づく法的根拠を規定していない場合には、他の法的根拠を検討することができる。同様に、国際協定がない場合、または協定が第46条(2)(a)に基づく適切なセーフガードを規定していない場合、第49条の適用除外を含め、他の移転理由が適用される可能性がある。 |
目次...
| 1. INTRODUCTION | 1. はじめに |
| 2. WHAT IS THE SCOPE OF THESE GUIDELINES? | 2. このガイドラインの適用範囲はどこまでか? |
| 3. WHAT IS THE OBJECTIVE OF ARTICLE 48? | 3. 第48条の目的は何か? |
| 4. IN WHICH SITUATIONS IS ARTICLE 48 APPLICABLE? | 4. 第48条はどのような場合に適用されるのか? |
| 5. UNDER WHICH CONDITIONS CAN CONTROLLERS AND PROCESSORS RESPOND TO REQUESTS FROM THIRD COUNTRY AUTHORITIES? | 5. 管理者と処理者は、どのような条件下で第三国当局からの要請に応じることができるのか? |
| 5.1. Compliance with Article 6 GDPR | 5.1. GDPR第6条への対応 |
| 5.2. Compliance with Chapter V GDPR | 5.2. GDPR第5章への対応 |
| Annex – Practical steps | 附属書 - 実践的なステップ |
● 個人情報保護委員会
・[PDF] 一般データ保護規則(GDPR)の条文
移転の一般原則...第44条
| Article 44 General principle for transfers | 第44 条 移転に関する一般原則 |
| Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined. | 現に取扱われている又は第三国又は国際機関への移転の後に取扱いを意図した個人データ移転は、その第三国又は国際機関か別の第三国又は国際機関への個人データの転送に関するものを含め、本規則の他の条項に従い、本章に定める要件が管理者及び処理者によって遵守される場合においてのみ、行われる。本章の全ての条項は、本規則によって保証される自然人保護のレベルが低下しないことを確保するために適用される。 |
第48条
| Article 48 Transfers or disclosures not authorised by Union law | 第48 条 EU 法によって認められない移転又は開示 |
| Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer pursuant to this Chapter. | 管理者又は処理者に対して個人データの移転又は開示を命ずる第三国の裁判所若しくは法廷の判決及び公的機関の決定は、本章による移転のための別の法的根拠を妨げることなく、いかなる態様によるにせよ、司法共助条約のような要請元である第三国と EU 又は加盟国との間で有効な国際合意に基づく場合においてのみ、認められるか又は執行力を有することができる。 |
ちなみに、日欧間、日英間については、同等性の認定をうけていますので、日欧の間のデータ移転については、EU国内での移転と同様におこなえることになっていますよね...
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.12.07 欧州 EDPB 第三国当局へのデータ移転に関するGDPR第48条に関するガイドラインを発表し、新しい欧州データ保護シールを承認
Recent Comments