PR

 欧州連合(EU)の最高司法機関である欧州司法裁判所(CJEU)は2020年7月16日(現地時間)、米フェイスブックやグーグルなど米国企業がEUの個人データを域外に持ち出して利用することを許容する「プライバシーシールド」を無効とする判断を示した。EUから米国への個人データ移転の枠組みが無効と判断されるのは2度目となる。

欧州連合(EU)のニュースルームWebページ
欧州連合(EU)のニュースルームWebページ
[画像のクリックで拡大表示]

 訴訟の発端はオーストリアのプライバシー保護団体の代表であるMax Schrems氏の申し立てだ。Schrems氏はフェイスブックによるEU域内の個人データに対して、米国家安全保障局(NSA)などの捜査機関が十分な保護措置なく監視できるとアイルランドのデータ保護機関に提起し、EU法の問題として欧州司法裁判所が審理していた。

 EUは一般データ保護規則(GDPR)によって欧州域外への個人データの持ち出しを原則禁止する一方、例外的に米企業にはプライバシーシールドという枠組みで域外へのデータ移転を認めてきた。

 しかしCJEUはプライバシーシールドについて「特定の監視プログラムの実施規定に(公的機関に対する)権限の制限や、潜在的な標的となる米国人以外に対する権利保証がない」として無効とした。企業が標準契約条項(SCC)と呼ばれるひな型の契約に基づいてEU域外にデータを移転することについては、EU法が要求する保護レベルが尊重されているか確認されていれば有効とした。

 欧州司法裁判所は2015年10月にもSchrems氏の申し立てによってプライバシーシールドの前身に当たる枠組みである「セーフハーバー合意」を無効とした。これを受けてEUと米国は2016年8月に新たに米企業に対する法執行や米政府に対する規制、EU市民の権利保護を強化したプライバシーシールドを策定。5300社以上の米企業が参加していた。

 Schrems氏は「(米国による)監視プログラムの改革は米シリコンバレーのビジネス上の利益にとって極めて重要だ。判決はデータ移転の制限の原因となるものではなく米国の監視法の結果である」と判決を歓迎するコメントをWebサイトで公表した。米国に対して外国人を含むすべての人々のプライバシーの権利を認めるよう求めた。

 米商務省のウィルバー・ロス長官はプライバシーシールドの枠組みの運用は当面継続するとしたうえで、「7兆1000億ドル規模の米欧経済関係への影響を抑えられるよう欧州委員会や欧州データ保護会議(EDPB)と緊密な連携を続けている」とする声明をWebサイトに公表した。