People Intouchでは、米国において企業の機密データを処理する組織に対して、このようなデータが米国当局(司法省、国家安全保障局、国土安全保障省など)の監視対象となることを常に警告してきました。今月、欧州司法裁判所(CJEU)により下されたSchrems II裁判の判決では、この点に関する私たちの懸念が証明される結果となり、不正行為に関する企業の機密データがどこで処理されるべきかについて慎重に考慮することの重要性が浮き彫りになりました。
欧州司法裁判所は7月16日、Schrems II裁判の判決において、EU・米国間プライバシー・シールドの枠組みを無効とする判決を下しました。プライバシー・シールドは、5千社以上の企業がプライバシー原則に準じて欧州から米国へ個人データを転送する上での法的根拠となっていました。また、判決が米国へのデータ転送とデータの適切な保護に伴う問題を強調しているため、この無効化は、法令に準拠した処理をプライバシー・シールドに依存していない企業に大きな影響を及ぼします。
EU一般データ保護規則(GDPR)は、欧州連合内における個人データの保護を欧州全域に保証するものです。そして、個人データを欧州圏外に転送する場合も、同等の(高い)水準の保護を保証する必要があります。欧州委員会では、欧州圏外への国際的なデータ転送に対応するために、特定の国々に対して十分性認定を行っています。十分性認定は、適切な決定は、法の支配の尊重、司法へのアクセス、国際的な人権基準などの基準を含む実施法と審査手続から構成されています。
特定国に対する十分性認定により、その国への国際的なデータ転送が保護されることになります。十分性認定に加えて、標準契約条項(欧州委員会により採択されていますが、これも現在検討中です)を締結するか、拘束力のある企業規則を定めるなど、一般データ保護規則に準じた手段を採ることによってデータ転送を実施することができます。
プライバシー・シールドは、米国への個人データの転送に関して同等水準の保護を提供するために欧州委員会が定めた最初の協定ではありません。20年前に既に、承認されたセーフハーバーの枠組みが存在しました。しかし、このセーフハーバー協定は欧州連合における基本的権利と同等の保護がなかったために、2015年のSchrems Iの裁判において欧州司法裁判所によって無効とされました。米国は、個人データ保護のためのセーフハーバーの原則よりも、国家安全保障と公益、および法の執行を重視しました。
欧州委員会は、2016年にセーフハーバーを改善した後継的な枠組みであるEU・米国間プライバシー・シールドを正式に承認しました。プライバシー・シールドでは、企業が登録するための認証プログラムを提供しています。認証プログラムを申請する企業は、資格を取得し、プライバシー・シールドの原則を守ることが義務付けられています。これらの原則には、再転送に関する説明責任、データの完全性、アクセス、および責任などが含まれています。しかしながら、欧州司法裁判所は7月16日にプライバシー・シールドも十分な保護を提供できないと判断しました。具体的には、転送された個人データを米国の監視プログラムから守るための十分な保護をプライバシー・シールドは保証していないとしています。さらに、プライバシー・シールドでは、欧州のデータ主体に対して、米国における十分な強制力のある権利および有力な法的救済策を与えていないとしています。
今回の欧州司法裁判所の判決は、企業の機密データを米国に転送することに伴う問題を再び浮き彫りにしました。プライバシー・シールドは、国際的データ転送に対して有効な法的根拠とならないことから、プライバシー・シールドに依存する組織は、欧州の厳しいデータ保護基準に準拠する上で新たな対応が求められます。欧州外へのデータ転送を継続するためには、事案毎に分析を行ってデータを保護する必要があります。
欧州司法裁判所により下されたSchrems II裁判の判決の詳細については、こちらをご覧ください。