Schrems II: 今後の道筋

「Schrems II」事件における EU 司法裁判所 (CJEU) の判決を受け、これが国外へのデータ移転にどのような影響を与えることになるか、また今後もその有効性が保たれるかどうかをいぶかる声も聞こえます。結論を言えば、現状は維持されることになります。ただし、いくつかの条件付きです。

Image placeholder

EU と米国間のプライバシー シールドを無効とする「Schrems II」事件の判決が EU 司法裁判所 (CJEU) によって下されてから数週間が経過した今、その判決の意味と今後の道筋について考察を加える価値があるように思われます。判決の直後、これが国外へのデータ移転にどのような影響を与えることになるか、また今後もその有効性が保たれるかどうかをいぶかる声も聞こえました。結論を言えば、現状は維持されることになりましたが、いくつか条件が付きます。それに加え、EU と米国間の貿易の規模と重要性 (トータルで 7,000 億ドル超) を考えれば、両者が協力して持続的な解決策を導くことは、適切なデータ移転を可能にして社会と経済の利益を守るために極めて重要です。  

現時点でも有効である 3 点を以下にあげます。

  • 米国へのデータ移転は依然として許可される。プライバシー シールドは、米国法の下での個人データの保護に関する懸念と EU 市民が苦情を申し立てる可能性があるという理由で無効とされました。ただし、米国への個人情報の移転は依然として可能です。プライバシー シールドは十分性に関する決定であり、米国への個人情報の移転は、プライバシー シールドの認定を受けた会社への移転である場合に限り有効です。それに対し、標準契約条項 (SCC) は特定の会社間での移転を可能にし、拘束的企業準則 (BCR) は企業集団に対する移転を可能にします。 

  • 個別的なアプローチが適用される。SCC と BCR は特定の会社間または企業集団内での特定タイプの個人データの移転に関連しているため、その使用は個別に検討される必要があります。米国政府がデータを取得しようとする際には、一般的に消費者向けサービスを対象とします。人財データなどその他のタイプのデータは政府の関心の対象外であるため、政府がそのようなデータを要求する可能性は極めて低いと言えます。実際のところ、多くの会社が何年にもわたって EU からデータを移転していますが、政府からデータの提出を要求されたことはありません。同様に、移転するデータに対する各社の保護措置 (強力なエンドツーエンドの暗号化の使用など) や、政府によるデータの提出要求に対してどのように対応するかというアプローチを評価することにより、各社の提供する保護措置がどのようなものであるかを判断できます。

  • 規制当局はデータ移転の状況がすべて同じであるとは限らないことを認識している。欧州データ保護会議 (EDPB) が示した最近の指針には、異なるタイプのデータ移転には異なるリスクが伴うという認識が反映されています。EDPB による「Schrems II」についての FAQ に示されているとおり、企業は「移転の状況や実施可能な補完的措置を考慮」する必要があり、「移転を巡る状況をケース バイ ケースで分析」したうえで、十分な水準の保護がなされているかどうかを判断する必要があります。移転されるデータのタイプ、講じられている技術的保護手段、データの受信者に対する行政機関からのデータ提出要求の履歴 (またはその欠如)、およびそのような要求への対応方法に関する受信者のコミットメントなど、すべてがその分析に関わってきます。

大西洋の両岸の政策立案者が誠意を持って協力し、両者にとって有益な枠組みを打ち出すことが極めて重要です。

今後の展開

肝心な問題は、この先どこへ向かうかです。EU と米国はプライバシー シールドの後継となる枠組みを協働で策定することを表明しました。Workday はこの取り組みを強力にサポートします。大西洋の両岸の政策立案者が誠意を持って協力し、両者にとって有益な枠組みを打ち出すことが極めて重要です。どちらか一方にしわ寄せが行くようなやり方や貿易執行などの方法を取れば、両者が立場を堅持して遅れを招くことにしかなりません。

CJEU の懸念を踏まえると、今後どのような合意がなされるかを今の時点で述べるのは困難です。最終的には、EU と米国間の交渉が成功裏に終わることによって何らかの新たな合意に至ることができます。その取り組みの一環として、CJEU の判決と米国の慣行との間のギャップを埋めていくためのさまざまな措置が取られる可能性があります。たとえば、不要なデータ アクセスに関する苦情申し立て先としてプライバシー シールドに定められているオンブズパーソンに対し、米国の行政機関全体に設置されている独立機関と同様の、より大きな独立性を与えるといったことが考えられます。個人の権利の保護に関するオンブズパーソンの所見が同様の拘束力を持つようになるかもしれません。既存のデータ使用に関する行政上の保護措置が成文化されることも考えられます。また、データ移転時の暗号化の使用についての要件が強化される可能性もあります。政府の関心の対象外であるような種類の個人データを、異なる方法で扱うことが有用であるかもしれません。最終的には、以上のものやその他の方策および保護措置を組み合わせることで、EU から米国へのデータ移転のための持続的な仕組みの策定に至る道筋が示されることになるでしょう。 

McKinsey 社によると、国境をまたぐデータ フローは 2014 年の全世界の GDP で 2 兆 8,000 億ドルに相当し、それ以降もその重要性は増すばかりです。さらに、欧州委員会が示すところでは、米国の EU に対する投資はアジアへの投資の 3 倍であり、また EU の米国に対する投資はインドと中国への投資を合わせた額の 8 倍に上ります。ますますデジタル化が進む世界においては、国境をまたぐ継続的なデータ フローが緊密な経済関係に欠かせません。そのためにも、安定した長期的な解決策が極めて重要です。

さらに読む