【論説】シュレムスII予備判決、英国への影響


株式会社インターネットイニシアティブ
プリンシパル・コンサルタント 鎌田博貴
 

欧州司法裁判所は、7月16日、いわゆるシュレムスII予備判決において、米国の諜報機関による個人データ取得がEU基本権憲章が求める比例性・必要性の原則を欠き、関係個人がこれに対抗できる権利が認められておらず、実効ある法定救済制度が提供されていないことを理由としてEU-U.S. Privacy Shieldを無効と宣言する一方、個人データ域外移転に伴う保護措置として広く用いられている標準契約条項(SCC)については、なお有効であると宣言した。また、SCCの当事者は、ケース・バイ・ケースで、移転先国の法令およびその運用がSCC遵守に支障をきたさないかどうかを事前に検証し、かつ、継続的に確認する義務があり、SCCの遵守が不可能な事態が生じた場合、当事者は個人データ移転を中止すべきこと、当事者がデータ移転を中止しない場合、EU加盟国監督当局は中止を命じるべきことなどを示した。

この予備判決は、以下のとおり、BREXIT完了後の英国への個人データ移転にも重大な影響を及ぼすと思われる。

BREXIT完了後の英国への個人データ移転に与える影響

まず、現在交渉中の英国に対する十分性認定のハードルが上がった。今回の予備判決では、米国の公的機関による情報収集活動は比例性・厳格な必要性によるコントロールが不十分で、また、EU域内の個人がこれを争う実効ある法的救済制度を提供していないことが問題とされ、米国の法制度およびその運用がEUと同水準のプライバシーおよび個人データ保護を欠いていることがPrivacy Shield無効の理由とされた。英国でも2016年捜査権限法(Investigatory Powers Act 2016)により、諜報機関および法執行機関に対してEU加盟国の水準に比べて広範な監視権限が付与されており、すでにCJEU法務官意見は同法に基づくバルク・コレクションを違法とする判断を示している。EUが英国に対する十分性認定を考慮する場合、今回の予備判決を受けて、同法の運用をこれまで以上に問題とすることは確実だろう。また、EUは、十分性認定に当たって、対象国からさらに第三国に個人データを移転する場合(onward transfer)のデータ保護についても厳しく見ており、BREXIT完了によりCJEUの判例法に拘束されなくなる英国が、米国への個人データ移転について、米国とどのような取極めをするかは、EUにとって重要な判断材料になるだろう。英国にとっては米国もEUも重要なパートナーであり、難しい対応を迫られることになる。以上のことから、EUの英国に対する十分性認定が、今年末のBREXIT移行期間終了までに完了する見通しは厳しくなり、EUから英国に個人データを移転する企業は十分性認定以外の保護措置、例えばSCCを準備する必要がある。たとえ、英国が十分性認定を得たとしても、今回のCJEU予備判決と同じ理由(公的機関の権限コントロールの不十分さ)で、プライバシー活動家が英国に対する十分性認定を争い、十分性認定に依拠する当事者は不安定な立場に置かれる可能性がある。

次に、SCCを保護措置とするEUから英国へのデータ移転についても、移転当事者に対して、従来よりもより重いデュー・デリジェンス責任が課せられることになる。今回の予備判決で、SCCの当事者は、移転先国の法制度およびその運用が、SCC遵守と相容れないものではないかどうかについて事前に検証するとともに、移転開始後も継続的にそのことを確認し続ける責任を負うことが明らかになった。英国については、とくに2016年捜査権限法を根拠とする公的機関からの個人データに対するアクセス命令がSCC遵守に支障をきたすことがないかどうかについて、当事者は同法の運用を継続的に注視する必要がある。

諜報機関による安全保障・公安目的の無差別なバルク情報収集は、通信事業者、メッセージアプリケーション、ソーシャルネットワークなど、広義の通信役務を提供する事業者が対象となるケースがほとんどで、B2CにせよB2Bにせよ、通信以外の事業会社が令状なしで捜索を受けるケースは極めて稀だと思われる。とはいえ、顧客から対応への説明を求められる場合もあるだろう。個人データをEU域外に移転する場合、経路暗号化、域外における保持データの暗号化、データアクセスの暗号化などの措置を取ることは、企業としてとりうる有効な対応策と考えられる。

EU加盟国データ保護当局の代表により構成され、加盟各国におけるGDPR適用について調整する権限をもつEDPB(欧州データ保護会議)は、予備判決についての声明の中で、善後策の検討を開始していると表明しているので、SCCの運用、補完的な安全措置、当事者のデュー・デリジェンス責任を果たすために具体的に何をすべきかなどについて、早晩ガイダンスがあるはずである。

なお、本稿のメインテーマである英国とは別に、米国、英国とともにFive Eyesを構成し、諜報活動SIGINTを相互運用する協定を結ぶカナダ、オーストラリアおよびニュージーランド、さらに中国、ロシアその他、公的機関による個人データへのアクセスにあたって、適正手続、比例性・厳格な必要性のコントロール、実効ある法的救済など、EU基本権憲章と同等のプライバシーおよび個人データ保護を保障していない国についても、SCCを安全措置とする個人データ移転を行う場合、とくにデュー・デリジェンス責任に注意すべきである。

※「SIGINT」( 2020年7月13日 (月) 09:31 UTCの版)『ウィキペディア日本語版』
https://ja.wikipedia.org/w/index.php?title=%E3%82%B7%E3%82%AE%E3%83%B3%E3%83%88&oldid=78448606

【CJEU法務官意見】
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-01/cp200004en.pdf

【EDPB(欧州データ保護会議)の予備判決についての声明】
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_20200717_cjeujudgmentc-311_18_en.pdf

 

関連情報

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

サンプルの閲覧はこちら
購入のお申込みはこちら

 

関連記事