欧州司法裁判所法務官がSCCの有効性を認める法務官意見を提出


欧州司法裁判所法務官がSCC(標準契約条項)の有効性を認める法務官意見を提出

12月9日、欧州司法裁判所法務官(Advocate General)は、欧州域外への個人データ移転を適法化する枠組みとしてEU一般データ保護規則(GDPR)第46条に規定されているSCC(Standard Contractual Clause:標準契約条項)と、それを定めた欧州委員会決定Decision 2010/87/EUの有効性を認める法務官意見を提出した。

オーストリアの弁護士マックス・シュレムス氏は、自らの個人データが米欧間の個人データ移転枠組み「セーフハーバー」によって欧州(ヨーロッパ)からアメリカに移転されるとともにアメリカ情報機関がそれを処理し、その結果プライバシーが毀損されたとして、セーフハーバーの無効を訴える訴訟を提起した(シュレムス1裁判)。2015年10月6日日、欧州司法裁判所はセーフハーバーが無効であるとする判決を下したことから、米欧間ではそれに代わる新たな枠組み「プライバシーシールド」の整備が進められるとともに、欧州委員会決定Decision 2010/87/EUにより、SCCの要件を定めた。

シュレムス1裁判後も、シュレムス氏はFacebook IrelandがアメリカFacebook社との間で、欧州委員会決定Decision 2010/87/EUに基づく同意書を締結し、自らの個人データを移転しているとアイルランド監督機関に苦情を申し立てた。同氏は併せて、欧州委員会決定Decision 2010/87/EUとSCCは、欧州域外に移転される個人データについて十分な保護措置を保証しておらず無効であると主張した。これらの主張を受け、アイルランド高等裁判所は欧州委員会決定Decision 2010/87/EUとSCCの有効性について、欧州司法裁判所にその判断を先決負託(Preliminary Ruling)した。

はじめに、法務官意見は、外国の行政機関が国家安全保障目的で域外移転された個人データを処理している最中であっても、域外移転が商業行為の一部である場合、域外移転にEU法が適用されると判断した。

次に、十分性認定とSCCの有効性について、GDPRは個人データの域外移転に際し、高度な安全性が継続的に確保されることを求めており、十分性認定は移転先の国内法により安全性が確保され、一方SCCでは、移転元の管理者が契約により安全性を確保する義務を負うとした。そのため、SCCは移転先とその保護水準にかかわらず、個人データの域外移転に一般的な安全メカニズムを提供すると判断した。

第三に、SCCは移転先の行政機関を直接的に拘束するものではなく、SCCに反する義務を移転先に課す場合であっても、それを妨げるものではないとした。また、そのような場合であっても、SCCの有効性は否定されないと判断した。SCCと移転先の行政機関が課す義務の内容が相反する場合、移転元の管理者または監督機関が移転を停止または禁止することにより、個人データの安全は確保されるとしている。

この法務官意見に対し、アイルランド監督期間DPCは歓迎の意を表明している。また、国際的なプライバシー保護に携わる専門家からも、SCCの有効性を認めた同意見に賛意が示されている。米欧間の個人データ移転では、多くのアメリカ企業がプライバシーシールドとSCCの両方を整備しており、SCCの有効性が否定された場合、シュレムス1裁判時と同様に、プライバシーシールドの有効性をめぐる議論が高まることが懸念されていた。欧州司法裁判所は法務官意見に沿った判決を下すことが多いことから、近い将来SCCの有効性を認める判決が下される見通しである。

日本も2019年1月、ヨーロッパの十分性認定を取得したが、十分性認定による個人データの域外移転では、十分性を満たす移転条件であることを管理者が説明する責任があり、監督当局から不備が指摘されるリスクが常在する。移転先との間でのSCC締結により、個人データの域外移転における法的リスクの低減に留意すべきである。

欧州司法裁判所プレスリリース
https://www.euractiv.com/wp-content/uploads/sites/2/2019/12/CP190165EN.pdf

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト