森大樹 Oki Mori
パートナー
東京
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
2022年3月25日、欧州委員会と米国政府は、EEA圏(以下単に「EU」といいます)から米国に適法に個人データを移転するための新たな大西洋横断データ・プライバシー・フレームワーク(a new Trans-Atlantic Data Privacy Framework、以下「本フレームワーク」といいます)について基本合意(以下「本基本合意」といいます)に達したことを発表しました※1。2020年7月に欧州司法裁判所がプライバシーシールドを無効と判断してから、EUから米国に個人データを適法に移転する方法については、事業者において講じるべき「補完的措置」に関する対応を含め、実務上混乱が見られていました。しかし、今回の基本合意により、そのような混乱の解消について見通しが立ったと期待されています。EUと米国に子会社・関連会社を有する日本企業にとっても、本フレームワークが発効することによって、実務に少なくない影響を及ぼす可能性があると考えられます。
また、本件は、日本でも関心が高まっているガバメントアクセスに関する問題という観点からも、注目に値するものです。
本フレームワークは、プライバシーシールドに置き換わるものです。プライバシーシールドが無効とされた経緯及びその後の動向は以下のとおりです。
2020年7月16日、欧州司法裁判所は、米国のインテリジェンス活動(いわゆるガバメントアクセスを伴う)に関する制度がEUのプライバシー保護水準を満たしていないこと等を理由として、プライバシーシールド(Privacy Shield、個人データをEUから米国に適法に移転するための法的枠組み)を無効と判断しました※2。これにより、従前からプライバシーシールドに依拠してEUから米国に個人データを移転していた企業(米国政府によれば、当時5,300社超)は、プライバシーシールドに代わる標準契約条項(Standard Contract Clauses、以下「SCC」といいます)その他の代替的な手段の検討を余儀なくされました。一方で、欧州司法裁判所は、SCCについては有効であるとしつつも、米国など欧州委員会から十分性認定を受けていない国への個人データの移転であって、SCCの内容だけでは、移転先国においてEUで要求されるものと同等の個人データ保護水準を確保できない場合は、事業者において補完的措置(supplemental/additional measures)を講じる必要があると判断しました。これにより、事業者は、SCCに依拠することが可能であるものの、EUから米国への個人データ移転の多く(特に、米国の外国諜報監視法(FISA)セクション702の対象となる米国のベンダーを利用している企業)が、「補完的措置」を講じない限り、SCCに依拠して適法に個人データを移転することができないこととなりました。しかしながら、「補完的措置」として何が必要か具体的な内容までは明らかにされなかったため、事業者としては対応に苦慮するという状況が生じました。
2021年6月4日、欧州委員会は、SCCの改訂版を公表しました※3。改訂版では、Schrems II判決における判断を踏まえて、データ移転の具体的な状況等、移転先国の法令と実務、補完的措置の内容を評価した上で、当局の要求に備えて文書で記録しておくという、いわゆる越境移転影響評価(Transfer Impact Assessment(TIA))に関する条項が含まれています(改訂版SCC14条(SCCの全てのモジュールに共通して適用される条項))。
2021年6月18日、欧州データ保護委員会(以下「EDPB」といいます)は、「EUと同等の個人データの保護水準を確保するためのデータ移転ツールを補完する措置に関する勧告(Recommendations)」を採択し、同月21日に公表しました※4。ここでは、Schrems II判決における判断を踏まえて、データの国外移転に際して管理者及び処理者が講じるべき補完的措置を検討するためのステップが示されているほか、別紙(Annex)において、「補完的措置」の具体例として、技術的措置(暗号化ツールの利用を含む)、追加的な契約上の措置、組織的措置等が例示されています。
2022年2月10日、フランスのデータ保護当局(CNIL)は、Google Analyticsによるデータ分析ツールを利用していたウェブサイト運営者に対し、同ツールを利用した米国への個人データの移転がGDPRに違反すると判断しました※5。GoogleはSCCに依拠する際の補完的措置として、技術的措置(データの暗号化を含む)等を講じていましたが、CNILは、欧州司法裁判所が示した「補完的措置」としては不十分であると判断しました。その理由として、データ輸入者としての Google LLC は、米国インテリジェンス機関に対し、データを解読するために必要な暗号キーを含む、個人データへのアクセスを許可するか、又はそれを提供する義務を負っていることがあげられています。すなわち、暗号化によっても、米国のインテリジェンス機関によるデータへのアクセスを回避できたわけではないことが、不十分と判断される一因になったと考えられています。このCNILの判断に先立ち、オーストリアのデータ保護当局も、同様の判断を示しています※6。
上記のとおり、Schrems II判決におけるプライバシーシールドの無効判断以降、「補完的措置」の具体的内容については、SCCの改訂版、EDPBによるRecommendationsに依拠することが想定されていましたが、企業にとって、「どこまでの措置を講じれば適法にデータ移転ができるのか」については依然として不透明であり、上記各国データ保護当局の判断も相まって、実務上の混乱が生じていました。
本基本合意では、米国が以下の3点についてコミットすることが示されました。これらは、欧州司法裁判所がプライバシーシールドの枠組みを無効と判断した際に示された懸念を解消するべく合意されたものです。他方、本基本合意で示されている内容は大枠にとどまっているため、詳細な内容については、今後策定される正式なテキストを確認する必要があります。
米国のインテリジェンス活動に適用されるプライバシーと市民的自由の保障を強化すること。例えば、関連する情報の収集は、正当な国家安全保障の目的を達成するために必要な場合にのみ行うことができ、個人のプライバシー及び市民的自由の保護に比例しない影響を及ぼさないこと。
独立の拘束力のある新たな救済メカニズムを確立すること。例えば、EUの個人は、新しい多層的な救済機関に救済を求めることができ、当該救済機関は、米国政府外から選ばれた個人で構成され、かつ、申立てを裁定し、必要に応じて是正措置を指示する全ての権限を持つ独立のデータ保護審査裁判所(Data Protection Review Court)であることを含むこと。
インテリジェンス活動に対する既存の厳格かつ重層的な監督を強化すること。例えば、米国のインテリジェンス機関は、個人のプライバシー及び市民的自由の新たな基準に対する効果的な監督を確保するための手続きを採用すること。
なお、上記①~③の米国のコミットメントは、立法措置ではなく、大統領令を通じて実施される予定であり、これを欧州委員会が将来の十分性判断における評価の基礎とすることとされています。
欧州委員会及び米国政府は、本基本合意を踏まえ、今後、本フレームワークに関する法的文書を作成する見込みであり、今後の動向を注視する必要があります(なお、法的文書の公表までには、数か月を要する可能性があります。)。その後、当該文書をもとに欧州委員会が本フレームワークについて十分性認定を与えることになるものと思われます。
上記で解説したとおり、現状、EUから米国への個人データのSCCに依拠した越境移転は、SCCの締結等に加えて、「補完的措置」を講じる必要があることとされています。ここでいう適法な「補完的措置」の内容については、EDPBのRecommendationsや改訂版SCCの条項を踏まえても、実務的にどこまで対応すれば良いかについては悩ましいところがあり、さらに、EU域内の各国のデータ保護当局から、補完的措置が十分でないと判断されて処分されるリスクが引き続き残されています。
基本合意により、個人データをEUから米国に移転している企業にとっては、GDPRに適合する形で米国に個人データを移転するための見通しが立ったと言えます。特に、本フレームワークに依拠してEUから米国への個人データを適法に移転することができるようになれば、理論上は、事業者において補完的措置等を講じることなくEUから米国への個人データを適法に移転することができることとなる可能性があり、特に、SCCの締結及び補完的措置の実施に関するコスト負担が大きいとされていた中小企業にとって望ましいといえます。
他方で、欧州委員会による十分性認定によって、本フレームワークの有効性が完全に保証されるものではなく、今後、欧州司法裁判所が無効と判断する可能性が完全に否定されたわけではありません。現に、SchremsII判決の原告が、本フレームワークについて、将来の欧州司法裁判所による有効性判断に疑義を投げかけるステートメントを公表している点も踏まえると※7、今後の動向を注視する必要があります。
なお、日本企業への影響については、少なくともEUから日本へのデータ移転については、十分性認定に依拠できることから、プライバシーシールドが無効とされたことによって影響を受けた企業はそれほど多くないと思われます。他方、日本企業であってもEU及び米国に進出しており、EU・米国間での情報共有に取り組んでいるグローバル企業等は、一定の影響を受ける可能性があります。
日本でも、今年4月1日施行の改正個人情報保護法において、外国にある第三者への個人データの移転についての本人同意に先立つ情報提供や、基準適合体制の整備に基づく移転の場合の必要な措置としての移転先の外国における個人情報保護制度の確認、さらには安全管理措置の一環としての外的環境の把握が追加されたことなどにより、ガバメントアクセスの問題に関心が高まっている状況があります。ガバメントアクセスに関する確立した国際ルールが存在しない現状、OECDにおいて国際的なガバメントアクセスの原則策定のための議論が進んでいるところです※8。本基本合意によって、今後の国際的な議論が加速されることが期待されます。
※1
https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/fact-sheet-united-states-and-european-commission-announce-trans-atlantic-data-privacy-framework/
https://ec.europa.eu/commission/presscorner/detail/es/ip_22_2087
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
鈴木明美、松宮優貴(共著)
(2024年11月)
殿村桂司、水越政輝、武原宇宙、河野ひとみ(共著)
(2024年11月)
長谷川良和