CJEU判決、EU-U.S. Privacy Shieldは無効、SCCは有効


欧州司法裁判所(CJEU)は、16日、オーストリアのプライバシー活動家、マックス・シュレムス氏が米国における個人データ保護が不十分であることを理由にFacebookによるアイルランドから米国への個人データ移転を禁止するよう訴えていた裁判に関連する予備判決で、GDPR第46条に基づく標準契約条項(以下「SCC」)を有効とする一方、同第45条に基づくEU-U.S. Privacy Shield(以下「Privacy Shield」)は無効と宣言した。
 
これにより、米国に域外移転する個人データの保護措置としてPrivacy Shieldに依拠していた企業は、新たな保護措置を直ちに講じる必要がある。企業は当面、同予備判決で有効とされたSCCに依拠することになる。
 
判決理由の概要は以下の通り。
 
GDPRが個人データのEU域外移転を許す基準として要求する安全措置、データ主体の権利、実効性ある法的救済について判断する場合、移転当事者間の契約による保護内容だけではなく、移転先国の公的機関による当該個人データへのアクセス権限についても考慮しなければならない。移転先国において、EU法が求める水準の個人データ保護が保証されない場合には、データ輸出者または移転元国データ保護当局は、移転を中止させ、または禁止する義務がある。
 
SCCは特定の移転先国を想定したものではなく、また、契約であるがゆえに、その当事者ではない移転先国の公的機関を拘束することができないが、これをもってSCCが無効とは言えない。SCCが有効であるかどうかは、SCCがEU法のデータ保護水準を保証し、かつ、SCCの条項が遵守されない場合または遵守できない場合には、移転が中止され、または禁止されるような実効あるメカニズムがSCCに組み込まれているかどうかによって決まる。この基準に照らせば、SCCは、データ輸入者がSCCを遵守できない場合にはこれをデータ輸出者に知らせなければならず、この場合、データ輸出者は移転を中止しなければならないと定めるので、SCCには上記の実効あるメカニズムが組み込まれている。したがってSCCに関する欧州委員会の決定は有効である。
 

一方、Privacy Shieldは、米国の法制度自体がEUと同等の個人データ保護を保証することを認定するものであるところ、附属書2において、事業者によるデータ保護原則遵守は、国の安全保障、公益または法執行を理由とする要求を満たすために必要な範囲で制限し得るとされている。具体的には、外国情報監視法(注)および大統領令12333号に基づく監視プログラムによる個人データへのアクセスに関して、諜報機関の権限が厳格に必要な範囲に制限されておらず、比例性原則により運用が制限されるEUの制度に比べて個人データ保護の水準が低い。監視権限行使に当たって遵守すべき事項は法定されているが、データ主体が裁判において諜報機関に対して行使できる権利を保証していない。Privacy Shieldで取り極めたオンブズマン制度は独立性およびその決定の米国諜報機関に対する拘束力が確保されておらず、法的救済のしくみが十分ではない。これらの理由により、Privacy Shieldに関する欧州委員会の決定は無効である。

 
注:米国の外国情報監視法(Foreign Intelligence Surveillance Act)は、米国外に所在する米国市民ではない個人に関して電子通信サービス事業者(Facebookも含まれる)が保持する情報を取得する権限を国家安全保障局(NSA)に与えている。
 
CJEUの報道発表資料:
 
CJEU予備判決全文:

関連情報

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

サンプルの閲覧はこちら
購入のお申込みはこちら

 

関連記事