EUが第三国へのデータ移転に関する最終ガイダンスを発表

欧州データ保護会議(EDPB)は現地時間6月22日、最終勧告を発表した。これは、2020年夏にCJEU(欧州司法裁判所)が下した画期的な判決(別名「Schrems II」判決)を踏まえて、EUデータ保護法を遵守しつつ第三国に個人データを移転するためのガイダンスを策定するものだ。
この最終勧告は、実際のところ48ページもあり、かなり長いのだが、その要旨は、第三国に(合法的に)データを移転することが不可能になる場合があるということだ。例えば、欧州委員会によって最近改正されたStandard Contractual Clauses(標準的契約条項)という、適法にデータ移転を行うための手段など、第三国へのデータ移転を行う場合に(理屈の上では)活用できる法的な仕組みが引き続き存在するのにも関わらず、である。
しかし、個々の移転事例の実行可能性を判断することはデータ管理者に任されており、ある特定のケースのデータフローが法的に許容されるかどうかを個別に決定する。例えば、ある企業が、外国政府の監視体制と、それが特定のオペレーションに及ぼす影響について複雑な評価を行う場合は、そのようなケース・バイ・ケースの判断が必要になるかもしれない。
EU加盟国外からEUユーザーのデータを定期的に収集し(米国などの)第三国でそれを処理している企業が、データの適法性に関する取り決めをEUと締結していない場合、最も楽観的なシナリオでも莫大な費用が必要になり、コンプライアンスを満たす面で課題に直面することになる。
移転されるデータの安全性を確かめるための実行可能な「特別措置」を適用できない場合は、データフローを停止することが義務付けられている。この義務を履行しないと、データフローの停止をデータ保護当局から命令される危険がある(さらに追加で制裁が科される可能性もある)。
そのような企業にとって代替手段となるのが、EUユーザーのデータをEU内でローカルに保管し処理する方法であるが、すべての会社がそれを実行できるわけではないのは明らかだ。
法律事務所は、この結果に非常に満足しているであろう。企業がデータフローの枠組みを作り、Schrems II判決後のやり方に適応しようと取り組むため、法律関連のアドバイスへの需要が高まるからだ。
一部のEU加盟国(ドイツなど)のデータ保護当局は、移転の差し止め命令が確実に遵守されるよう、活発にコンプライアンスチェックを実行している。
その一方で、欧州データ保護監督機関は、AWS(アマゾンウェブサービス)やMicrosoft(マイクロソフト)などのテクノロジー大企業がハイレベルな枠組みを持ち、合格レベルに達しているかを確認するため、EU機関自体の米国クラウドサービス大企業の使用について入念に調査することに注力している。
関連記事:EU諸機関によるAWSとマイクロソフトの各クラウドサービス利用について同プライバシー責任者が調査を開始
CJEU(欧州司法裁判所)は2020年の夏、EU米国間の「 Privacy Shield(プライバシー・シールド)」制度を廃止した。適法性に関するこの重要な制度が制定されてから、ほんの数年後のことだ。それの前身となる「Safe Harbor(セーフ・ハーバー)」制度も、およそ15年持ちこたえたものの、同様の根本的な法的課題があり、同じ結末を迎えた。そして、プライバシー・シールド制度の廃止以降、EU委員会は、今度は応急措置となる代わりの合意を結ばないと何度も警告してきた。米国の監視法が大幅に改正されることを求めているのに他ならない。
米国とEUの議員はEU-USデータフロー協定の代替案について交渉中のままであるが、以前の2つの制度では解決できなかった法律的な課題に耐え得る実行可能な案をまとめるには、数カ月どころか、数年を要するであろう。
つまり当面は、EU米国間のデータフローは、法的不確定性に直面することになるということだ。
一方、英国は、ブレグジット後の計画がデータ保護の分野での規制を逸脱していると声高に指摘する一部の意見をよそに、データの適法性に関する一定の取り決めへの合意を欧州委員会から引き出した。
もし英国が、EUの法制度から受け継いだ主要な考え方を捨てる方針で突き進めば、数年以内に、高い確率で適法ステータスを失うことになる。つまり、英国も、EUとの間のデータフローに入るのを妨げる壁にぶち当たることになる(今のところは問題をなんとか回避しているようだ)。
適法性に関する取り決めをEUと締結していない他の第三国(中国やインドなど)へのデータフローも、現在見られる法的不確定性に直面することになる。
EU加盟国と非加盟国との間のデータフローに関する課題の背景には、発端となった申し立てがある。7年以上前に、NSA(米国国家安全保障理事会)の内部告発者であるEdward Snowden(エドワード・スノーデン)氏が政府の大規模監視プログラムについて暴露したことを受けて、Max Schrems(マックス・シュレムス)氏が、自身の名前を冠した文書を作成し、EU米国間データフローの安全性に疑問を投げかけたのだ。
シュレムス氏の申し立ては、特にFacebookのビジネスに的を絞ったものであったが、アイルランドのデータ保護委員会(DPC)がその執行力を用いて、Facebookによる欧州と米国間のデータフローを禁止する事態に至った。
規制が定まらずに揺れ動き、ついには、欧州最高裁判所での訴訟問題へと発展した。そして、最終的には、EU米国間のプライバシー・シールド制度の廃止につながったのである。CJEU(欧州司法裁判所)の判決では、情報が危険にさらされる場所にデータが流れていることが疑われる場合は、加盟国のデータ規制当局が介入して措置を講じるべきであることが、法律面での疑問の余地を残すことなく明示された。
Schrems IIの判決に続いて、DPCは(ついに)2020年秋、EU米国間のデータワークフローを停止するよう、Facebookに仮差し止め命令を通知した。Facebookは、すぐにアイルランド裁判所の命令に異議を申し立て、その動きを止めるよう求めたが、その試みは失敗に終わった。Facebookが、欧州と米国間のデータフローを実行できる時間はあとわずかしか残されていない。
関連記事:フェイスブックのEU米国間データ転送問題の決着が近い
Facebookは米国のFISA(外国情報監視法)第702項に従う義務があるため、同社が、EUデータ移転を補完するための「特別措置」を適用できるオプションは、控えめに言っても限られているように見える。
例えば、Facebookは、同社が確実にアクセスできない方法(ゼロアクセス暗号法)でデータを暗号化することはできない。それではFacebookの巨大な広告事業は機能できないからだ。また、シュレムス氏が以前に指摘したように、Facebookがデータ移転の問題を解決するには、そのサービスを連携させて、EUユーザーの情報をEU内に保管する必要がある。
Facebookのような企業がコンプライアンスを守るのに要する費用は非常に莫大で、その複雑性も相当なものだと言って間違いない。
しかし、CJEU(欧州司法裁判所)の判決の結果、何千もの企業はコンプライアンス費用と複雑性に直面することになる。欧州および米国のスタートアップ連合は、2021年6月初めのEU-USサミットに先駆けて議員あてに送った最近の公開書簡の中で、プライバシー・シールド制度の無効化をはじめとする、デジタル分野での最近の展開について言及し「このままでは、スタートアップのエコシステムが、競争の激しいグローバル市場で不利な立場に置かれたままになる危険がある」として、規制基準の整備における連携を図るよう政策立案者に要請した。
この懸念について、スタートアップ権利擁護団体Allied For StartupsでEU政策監督官を務めるBenedikt Blomeyer(ベネディクト・ブロマイヤー)氏は、TechCrunchに次のように語った。「スタートアップは起業初日からグローバルです。例えば、米国のスタートアップは、欧州のコンシューマーに提供できるものをたくさん持っています。市場がますます相互につながり合っていく中で、なぜデータ保護関連の法律が増え続け、デジタル経済においての貿易障壁が高まっているのでしょうか」。
しかし、EU米国間の規制の食い違い解消を求める意見を擁護しているスタートアップは、現時点で、例えば米国の監視法改正のような具体的な措置を目指して政府に働きかけているのか、とブロマイヤー氏に尋ねたところ、その点に関するコメントは今は控えたいとのことだった。
EDPB(欧州データ保護会議)による最終勧告の採択に関して、議長のAndrea Jelinek(アンドレア・ジェリネク)氏は次のようにコメントしている。「Schrems II判決が及ぼした影響は計り知れません。国際的なデータフローはすでに、それぞれのレベルで徹底調査を行う規制当局の厳しい監視の下に置かれています。EDPB最終勧告の目標は、個人データを合法的に第三国に移転するようデータ輸出者を導くことであり、それと同時に、欧州経済圏内で保証されているのと実質的に同じような一定レベルの保護が、移転されたデータに与えられるよう保証することです」。
同氏はさらに次のように語った。「利害関係者が表明した懸念を晴らし、特に第三国における公共機関の慣行を調査することの重要性を明確にすることによって、データ輸出者が、第三国へのデータ移転について評価する方法を簡単に学べるようにしたいと考えており、効果的な補完的措置を特定して、必要に応じて実行に移したいと考えています。EDPBは、今後発令するガイダンスにおいても、Schrems II判決の影響と、利害関係者から寄せられたコメントを引き続き考慮していきます」。
EDPB(欧州データ保護会議)は2020年、Schrems II判決への準拠に関する最初のガイダンスを発表した。
当初の勧告と今回の最終勧告の間に見られる主な調整点には「第三国の法律および慣行が、GDPR第46条で定められた移転手段の有効性を実際に侵害するかどうか、データ輸出者の法的評価において第三国の公共機関の慣行を調査することの重要性が強調されていること」「データ輸出者は、その評価において、具体的な補足情報など他の要素とともにデータ輸入者の実務状況を考慮に入れる可能性があること」「データの行き先となる第三国の法律が、データ移転へのアクセスをデータ輸入者の介入なしに関係当局に許可している場合にも移転手段の有効性が侵害される可能性があることに関する明示的な説明」などが含まれている。
法律事務所Linklaters(リンクレーターズ)は、声明の中でEDPB(欧州データ保護会議)の勧告について、このガイダンスがビジネスに与える今後の影響について危惧しながら、これは「厳しいガイダンスだ」とコメントした。
この国際的な法律事務所で弁護士を務めるPeter Church(ピーター・チャーチ)氏は、次のように説明する。「これらの移転に対する実用的なアプローチがあるとの証拠はあまり見られず、EDPBはデータがEU内にとどまるという結論であれば、それでまったく十分ではないかとも思います。例えば、企業は(ふさわしいデータ保護法がない状態で)第三国に個人データを移転する前に、法律だけでなく、法的処置と国家安全保障局が実質どのように運営されているかを考慮する必要があります。これらの活動は、通常は機密として扱われ、不透明であるため、このタイプの分析は数万ユーロを要し、時間もかかります。この分析が、比較的無害な移転に対しても必要になるようです」。
同氏はさらに「中小企業がこれらの要件をどの程度遵守すべきなのかという点が明確に示されていない」と付け加え「私たちは現在、国際化社会で取引を行っており、EDPBは、(王であっても海岸に押し寄せる潮を引き止めることはできないことを示したという逸話を残す)クヌート1世のように、それが持つ力の実際的な限界を考慮に入れるべきです。このガイダンスが、世界中でデータの波の満ち引きを止めることはありません。しかし、多くのビジネスは、この新しい要件に従うため相当苦しむことになるのです」と語った。
関連記事
・【コラム】親愛なるEUへ、テックスタートアップ政策の優柔不断をやめてコミットする時がやってきた
・LinkedInがヘイトスピーチの削除に関するEUの行動規範に正式署名
・「音声認識AIの競争に対する懸念が高まっている」とEUが発表
カテゴリー:パブリック / ダイバーシティ
タグ:EU、ヨーロッパ、個人情報
画像クレジット:Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Dragonfly)
[紹介元] TechCrunch Japan EUが第三国へのデータ移転に関する最終ガイダンスを発表