この判決がもたらす影響は?
この判決において、EUから米国へのデータ移転に際し、プライバシーシールドを根拠とする移転は違法ということになった。今後はSCCを適法化措置とした移転を行うことになるが、当事者は米国の法制度や運用を評価し、SCCが遵守できない場合はケースバイケースで補完的措置を取る必要が出てくる。この補完的措置についてCJEUは具体的な内容を示さなかったが、欧州データ保護委員会(EDPB)は近々、ガイドラインを示すことを明らかにしている。
Facebookをはじめとした米国企業は今後、個別にSCCを根拠としたデータ移転契約を結ぶ必要が出てくる。しかし米国の諜報活動の基準が大きく変わることでもなければ、データ移転を禁止するケースが増えてくるだろう。実際、ドイツ・ベルリン州のデータ保護当局(BBDI)や(シュレムスII裁判の当事者でもある)アイルランドなどは、データ移転禁止の判断を下す可能性が高い(あるいはすでにそう判断している)。
米国以外では、本年末にEUから正式に離脱が完了する英国についても大きな問題がある。EUから英国へのデータ移転にはGDPRに基づいた十分性の認定やSCC、BCR(拘束的企業準則)といった適法化措置が必要になる。ただし英国には「2016年捜査権限法」が、対象を特定しないバルクデータ取得を認めており、これをEU側が問題視する可能性が高い。また、英国から米国へのデータ移転に際し、英国が米国側を十分性認定する場合、EUは問題視すると見られる。
-
BREXITによる移行期間が完了する英国はEUとの間での軋轢が大きくなる可能性が高い
また、先日日本の参加について河野防衛大臣から前向きな発言のあった「ファイブ・アイズ」(米、英、加、豪、新の5カ国によるUKUSA協定に基づく機密情報共有の枠組み)諸国についても、特に米英の諜報機関による個人情報アクセスが問題視されるだろう。
さらにその他の国々については、そもそも先進的な人権保護の仕組みを提供するのが一部の先進国しかないということもあり、特に政府機関への情報提供を義務付けるような国へのデータ移転については訴訟が連発する恐れがある。
日本への影響は?
今回の訴訟はFacebookに関するものだが、当然ほかのSNSサービスなどにも適用されるのは間違いない。今後、TwitterやInstagramなどにも同様の訴訟がEU中で発生する可能性は高い。
問題は日本への影響だ。GDPRに関して、EUは日本に対し、日本の捜査が令状主義であること、必要性・比例性によるコントロール、司法救済が保障されているとの認識が持たれている。従って現状ではすぐに大きな問題になる可能性は低い。しかし前述したようにファイブ・アイズへの参加が行われるとすれば、米国への情報提供が問題視される可能性はある(ただし日本には諜報に関する強制活動を認める法律がないため、問題にならない可能性も高い)。
また、この問題は、同じ企業グループ内でのデータ移行にも影響してくることに留意したい。例えば世界的にサービスを提供している企業がEU内にある子会社から個人情報を含んだデータを日本国内、あるいは別の国へ移転しようとしたときに問題化してくる。これを回避するために、鎌田氏は、まず直ちにSCCを締結し、データを移転する先の法令や政府機関によるデータアクセスがSCCに抵触しないか調査する必要を指摘した。また明示的な同意や、契約に必要な場合といったGDRPの例外規定の適用を検討するのも重要だ。
-
日本企業に求められる、当面の対応事項の数々。GDRP対応に追われた企業にとっては再び対応作業が増えることになる
また、データをEEA域内(EU+アイスランド、ルクセンブルグ、ノルウェー)内、または日本などEUからGDRPの十分性を認定されている国か、憲法等で政府機関による個人情報へのアクセスを適切に制限している国にあり、米国企業の支配下にないクラウドサービスに移す。また強力な暗号化によって経路やサーバーを保護する(無意味との指摘もある)といった対策が考えられるとのことだ。
もっとも、EUと米国の関係は非常に深く、鎌田氏は経済や軍事面での重要なパートナーとして、何らかの政治的妥協が行われる可能性が高いことを指摘した。日本も価値観を共にする国家として、同様の措置が取られるだろう。
一方、ロシアや中国といったEUと価値観を共有できない国や、EU基本権憲章が求める水準の個人情報保護を行えない国には、データを移転できなくなる可能性が高い。こうした国々に支社や子会社がある場合はデータ移転を行わないなどの措置が必要になるだろう。
また、鎌田氏は実はEU内を見ても、ハンガリーのように憲章と相容れない異端の動きがあること、またGDRPについても、安全保障や犯罪捜査、治安維持目的での個人データ処理を例外扱いしているため、EU加盟国にすら適用しない保護水準を外国に求めるという本質的な矛盾があると指摘した。
繰り返しになるが、企業はもはや米国のプライバシーシールドを根拠にできないため、早々にSCCを締結すること、リスク体制をよく見極めることが重要ということになる。クラウド時代でデータの移動が国境を超えるという意識が薄くなりがちだが、こうしたリスクがあることを踏まえて、適切な措置を取れるようにしておきたい。
