|
企業が知っておくべきこと 一目でわかる 欧州司法裁判所判決
企業が今すべきこと
|
2020年7月16日、欧州連合司法裁判所(CJEU)はシュレムスII事件において待望の判決を下した。同判決は標準契約条項(SCCs)を有効と認めつつも、やや意外なことにEU-米国プライバシーシールド枠組み(Privacy Shield)を無効とした。 その結果、EU法上、欧州経済領域(EEA)から米国へのプライバシーシールドに基づく個人データの移転は即時効力で違法となった。プライバシーシールドに依存してきた企業は、直ちにプロセスを見直し、EEAからの個人データ移転方法として、個人データを保護するための追加的保護措置を提供する補足的事業条項を伴うSCCの利用を含む、他の方法を採用しなければならない。
シュレムスII判決は、欧州司法裁判所(CJEU)が米国とEU間で構築されたデータ移転メカニズムを無効とした二度目の事例である。約5 ,000社がプライバシーシールドに参加し、欧州経済領域(EEA)から米国への個人データ移転を可能にしていた。 この判決は、欧州委員会による「十分性認定」のみを根拠として、EEA域外のデータ主体の権利・自由を保護する広範なプライバシー法の導入なしに、EEAから米国やその他の国々に所在する組織へ個人データを共有する組織の能力に疑問を投げかけている。 米国情報機関による国家安全保障・公益・法執行目的を主張した個人データの収集・処理は、移転をさらに複雑化させる。欧州司法裁判所によるプライバシーシールド無効化判決は、2019年10月の年次審査で同制度が適切な保護水準を提供すると確認した欧州委員会の報告書を踏まえると予想外であった。 報告書は改善のための追加措置を指摘していたものの、裁判所がプライバシーシールドを全面的に無効化するとは観測筋は予想していなかった。結局のところ、シュレムスII判決はEEA域外の国々に、国内のプライバシー及びセキュリティ基準を採用するよう圧力をかける可能性がある。
背景
マックス・シュレムスは2015年10月、アイルランドデータ保護委員会に対し、Facebook社が欧州経済領域(EEA)から米国へデータを合法的に移転するために使用した標準契約条項(SCCs)が十分な保護水準を提供していないと主張する苦情(シュレムスII)を申し立てた。 本件は、欧州司法裁判所(CJEU)が最初のシュレムス事件(シュレムスI)において米国・EUセーフハーバー枠組みを無効とする判決を下した直後、Facebookが個人データを米国へ移転するためにSCCに依存した際に提起された。
シュレムスIIにおける主張はシュレムスIと同様であった。特にシュレムスは、米国・EUセーフハーバー枠組みがEUデータ主体の個人データを十分に保護しておらず、SCCが米国への移転において十分な保護水準を提供していないため無効であると主張した。 より具体的には、シュレムスは、米国のプライバシー法が、EUデータ主体の個人データへのアクセスおよび処理を、厳密に必要な場合にのみ限定するものではなく、米国政府の権限を制限していないと主張した。また、米国・EUセーフハーバー枠組みは、情報が米国に移転されたことによりプライバシー権が侵害された可能性のあるEUデータ主体に対する救済手段を提供していないとも主張した。
シュレムスII訴訟の提訴を受け、アイルランドデータ保護庁はフェイスブックをアイルランド高等裁判所に提訴した。同高等裁判所は欧州司法裁判所(CJEU)に対し11の予備的判断を求め、その大半はデータ移転手段としての標準契約条項(SCCs)の有効性を問うものだったが、プライバシーシールドの有効性にも言及していた。
法務官による予備的拘束力のない意見
2019年12月、欧州司法裁判所(CJEU)の法務官(AG)はシュレムスII事件において拘束力のない意見書を提出し、SCCの有効性を維持するようCJEUに勧告した。法務官は、SCCの対象となる個人データを受け取る国の法律や慣行は、SCC自体が十分な保護水準を提供しているかどうかの判断には関連しないと指摘した。 またAGは、SCCが受入国の政府当局に対して拘束力を有しないという事実のみをもって、SCCが当該国における個人データ処理に対して十分な保護措置を提供していないと断じることはできないと示唆した。むしろAGは、データ輸入者が現地の法律や慣行によりSCCに基づく保護措置を遵守できない場合、データ移転を停止することを求める規定を通じて、SCCが適切な保護措置を提供していると指摘した。 さらにAGは、EUの一般データ保護規則(GDPR)において監督当局が受入国への移転を一時的または恒久的に停止できるため、追加的な保護が提供されている点を指摘した。加えて、EUの基本的なプライバシー価値を認識しつつも、世界の他の地域との継続的な交流を可能とする現実的なアプローチの必要性を認識した。
司法長官は意見書において、シュレムスII事件ではプライバシーシールドの有効性が争点ではなかったと指摘した。しかしながら、同長官はプライバシーシールドの継続的な有効性について懸念を表明した。 特に、米国情報機関による個人データ処理に関する懸念に対処するためプライバシーシールドの下で任命されたオンブズマンが、司法の独立性の要件を満たしていないことを懸念した。さらに、米国情報機関によってアクセスされ利用される可能性のある個人データの主体が、当該個人データの利用に異議を申し立て、訂正を求め、または削除を請求するための効果的な手段をオンブズマンが提供していないと指摘した。
欧州司法裁判所による最終判決
シュレムスII訴訟においてプライバシーシールドの有効性が直接争点ではなかったため、司法長官はこれに関する勧告を差し控えたものの、欧州司法裁判所(CJEU)はその有効性について判断を下すことを決定した。 欧州司法裁判所は、米国外国情報監視法(FISA)第702条および大統領令12333号に基づく監視プログラムに問題があると指摘し、これらのプログラムがEU域内のデータ主体に対し、基本権憲章で保証されるものと本質的に同等の保護水準を提供していないと判断した。 欧州司法裁判所は、第702条及び大統領令12333号が、監視プログラムに厳密に必要な範囲に限定して米国情報機関による個人データの利用を制限しておらず、またEU法上の制限と本質的に同等の方法でEUのデータ主体に効果的な救済手段を提供していないと判断した。 プライバシーシールドを無効化するにあたり、欧州司法裁判所は「欧州委員会がプライバシーシールド決定において評価した、EUから米国へ移転された個人データへの米国公的機関によるアクセス及び利用に関する米国国内法上の保護制限は、EU法の下で要求されるものと本質的に同等の要件を満たす形で規定されていない」と述べた。
欧州司法裁判所(CJEU)は、SCC(標準契約条項)の使用をEU域外への個人データ移転の合法的な方法として支持した一方で、EU域内の組織に対し、移転前に実際に個人データを受け取る国で十分な保護水準が提供されているかどうかを評価する積極的な役割を果たす必要があることを改めて指摘した。 欧州司法裁判所は、個人データ輸出者がSCCに定められた保護措置に加え、個人データに十分な保護水準が提供されるよう追加的な保護措置を実施する必要がある場合があると説明した。ただし、欧州司法裁判所は、EEAから米国への個人データ輸出を可能とする十分な保護水準が提供されていることを確保するために、どのような追加的な保護措置が必要か、あるいはどのようなさらなる措置が求められるかについて、詳細な説明や重要な指針を提供しなかった。
欧州司法裁判所(CJEU)は、司法長官(AG)の拘束力のない意見と一致して、標準契約条項(SCCs)が個人データ輸入者に、SCCsの遵守が不可能な場合に個人データ輸出者に通知することを要求していることを示した。このような通知を受けた場合、データ輸出者は、個人データに対する適切な保護水準を確保するために実施可能な他の保護措置が存在しない場合、個人データの移転を一時的または恒久的に停止し、かつ/または適用される契約を終了しなければならない。
欧州司法裁判所(CJEU)はまた、監督当局に対し、特定の国への輸出において標準契約条項(SCCs)が遵守されていない、または遵守できないと判断し、かつ移転される個人データを保護する他の手段が存在しない場合、個人データの移転を評価し、必要に応じて停止または禁止する義務があることを改めて指摘した。 これは、EUから米国への個人情報の移転を許可するために必要となる追加措置の適切性、あるいはその利用可能性さえもについて、監督当局によって異なる結論が導かれる可能性があることを示唆している。
なお、この裁判所の決定はスイス・米国プライバシーシールドには影響を及ぼさなかった。ただし、無効化から安全であるという意味ではない。スイス連邦データ保護・情報コミッショナーは、現在この決定を検討中であることを示している。
企業への影響
プライバシーシールドの遵守を目指していた多くの米国企業は、米国とEUのセーフハーバー枠組みが無効化されたことで見捨てられたため、代替手段として標準契約条項(SCC)を導入していた。しかし、他の多くの企業はそうしなかった。現時点でこれは、一部の企業にとっては実質的に従来通りの業務継続を意味する。ただし、多くの企業は個人データを米国へ継続的に移転するための他の合法的な手段を検討する必要があるだろう。
この判決はあらゆる規模の企業に影響を与えています。しかし、中小企業は特に深刻な打撃を受けています。なぜなら、個人データを合法的に米国へ移転する複数の手段を模索しなかった、あるいは確保できなかった企業もあるからです。プライバシーシールドに全面的に依存していた企業は、今や新たな合法的な移転手段を急いで導入せざるを得ません。 米国とEUのセーフハーバー枠組みが無効化された事例からも明らかなように、この判決は世界中のビジネスに大混乱をもたらす可能性があり、数十億ドル規模の大西洋横断デジタル経済を混乱させる恐れがある。この決定が下されたタイミングは、多くの企業がすでにCOVID-19の影響に苦しんでいる時期と重なっている。
EU域外への個人データ移転において従来プライバシーシールドに依存していた組織は、直ちに他の合法的な移転方法へ切り替えるべきである。これには、既存の拘束的企業規則(BCR)が存在する場合はそれに依拠する方法、または移転が契約履行に必要である場合などGDPRに列挙された例外規定のいずれかを利用する方法が含まれる。 ただし、これらの方法に依存できない可能性がある組織にとって最も迅速な選択肢は、適切な保護水準を確保するための追加的保護措置を盛り込んだ補足的な「ビジネス上の問題」条項を含む適用可能な標準契約条項(SCCs)を直ちに締結することである。 欧州司法裁判所(CJEU)は、どのような追加的保護措置が適切とみなされるかについて詳述していないが、データ輸入者がプライバシー義務(SCCsに含まれるものを含む)への遵守を確認するための監査を少なくとも年1回受けること、およびデータ輸出者が当該監査を実施することを要求する可能性が高い。 追加的な保護措置には、データ輸入者が米国政府への個人データ提供を命じる裁判所命令を受けた場合、可能な範囲でデータ輸出者に通知する義務も含まれ得る。これによりデータ輸出者は、該当するデータ主体の権利を保護するため、当該裁判所命令に異議を申し立てたりその範囲を最小化したりすることが可能となる。
欧州司法裁判所(CJEU)は非EU諸国へのデータ移転における標準契約条項(SCCs)の有効性を確認したものの、企業にとっては判決内容とその影響を評価することが極めて重要となる。ただし、SCCsへの依存はプライバシーシールドに代わる単純な解決策と見なすべきではない。この判決を受け、SCCsへの注目が高まっている。企業はSCCsを適切に締結し遵守しているかについて、より厳しい監視下に置かれることになる。
短期的な考慮事項
EU加盟国各国のデータ保護当局(DPA)は、「標準データ保護条項(SCC)が遵守できず、かつ移転されるデータの保護が他の手段によって確保できない場合、第三国への個人データ移転を停止または禁止しなければならない」と規定されているため、加盟国ごとにSCCの有効性が危ぶまれる可能性がある。 裁判所は、各加盟国のDPAが自国の法制度下におけるデータ移転に対するSCCの適切性・有効性について独自の判断を下す独立した権限を有することから、SCCの有効性を支持した。 しかし、裁判所が米国の法令遵守能力の欠如を理由にプライバシーシールドを無効化した場合、一部のデータ保護当局が同様の結論に達し、SCCを無効化して米国へのデータ移転を停止または禁止する可能性は十分に考えられる。 このような事態が発生した場合、欧州が米国と同様にデータ保護に対するパッチワーク的またはセクター別のアプローチを取り始め、データ保護義務のフォーラムショッピング(管轄選択)が生じる可能性がある。
プライバシーシールドが無効化された後も、当該輸入の一環としてプライバシーシールドに依存したデータ輸入者は、プライバシーシールドの条項および追加的な約束に基づき、その義務を遵守する責任を負い続ける。遵守の怠りまたは遵守状況の虚偽表示があった場合、企業は連邦取引委員会または州司法長官事務所による、不公正または欺瞞的な行為もしくは慣行に関する調査の対象となる可能性がある。
最後に、適切な場合には、企業は欧州経済領域(EEA)に拠点を置くデータセンターオプションの設置を検討できる。特に「電子通信サービス提供者」に該当する企業や米国監視法の対象となる企業は、米国企業によるアクセスから隔離された環境が求められる。こうした企業は、欧州当局による執行措置や調査の初期対象となる可能性が高い。
結論
直ちに、プライバシーシールドに基づく欧州経済領域(EEA)から米国への個人データの移転は、EU法の下で合法ではなくなります。企業は直ちに、EEAからの個人データ移転方法の切り替えを行うべきです。これには、個人データを保護するための追加的な安全措置を提供するように設計された補足的な事業条項を含む標準契約条項(SCCs)の使用が含まれます。 ただし、どのような追加的保護措置が許容されるか、また監督当局によってその内容がどのように異なるかについては、依然として不明確な点が残る。最低限、米国で個人データを処理するデータ輸入者は、年次監査の実施と、監視プログラムの一環として要求される米国政府当局者への個人データ開示に対する異議申立または開示制限の能力を直ちに導入すべきである。 データ輸出者はまた、SCCへの準拠が保証できない場合、またはデータ輸入者が個人データに対して十分な保護水準を提供できない場合に通知を行うというデータ輸入者への積極的義務、ならびにデータ輸出者が追加費用・コスト・責任を負担することなく契約を即時解除する権利を契約に盛り込むべきである。 組織は、個人データを適切に保護するための追加的な保護措置が存在しないとの判断に基づき、米国への個人データ移転を禁止するガイダンスを含む、適用される監督当局からのさらなるガイダンスを引き続き注視すべきである。
本リーガルニュースアラートのトピックおよび関連する洞察に関する継続的な情報は、Foley.comの「プライバシー、サイバーセキュリティ&テクノロジー法に関する見解」ブログをご覧ください。更新情報をメールで直接受け取るには、こちらをクリックしてブログを購読してください。
———————————————
12015年10月の最初の判決では、裁判所が米国とEUのセーフハーバー枠組みを無効とした。当時、7,000社以上の企業が、欧州経済領域(EEA)から米国へ個人データを合法的に移転するために、この枠組みに依存していた。
