Last Updated : July 17, 2020 欧州連合司法裁判所のEU-米国間の「セーフ・ハーバー協定」の無効判決を受けた改訂後
筆者は、英国の個人情報保護機関であるICO(注1)の副コミッショナー兼データ保護部長ダビット・スミス(David Smith)氏のブログを読んだ。米国人権擁護団体であるEPICのレポート等(筆者ブログ(その1)、 (その2完))とも異なる観点すなわちビジネス界が取り組むべき課題等の解説が具体的に加えられており、わが国のビジネスからみての参考になると考え、急遽、仮訳してみた。
なお、当然な点であるが、わが国の読者が簡単に理解できる内容ではない。筆者なりに補足した。
また、セーフ・ハーバー協定の無効判決の影響はEU加盟国や関係国でも複雑に受け止められている。前者の例の代表はドイツであり、また後者の例はスイスやイスラエルである。
この問題は、本ブログで別途取り上げる。
1.2015年10月6日CJEU判決
驚くにあたらないことであるが、欧州連合司法裁判所(CJEU)のEU・米国間のセーフ・ハーバーの枠組みに関する無効判決の影響に対する大いなる関心が存在した。(注1-2)
知らない人はいないといえることではあるが、セーフ・ハーバー枠組みを認める欧州委員会の正式決定は、米国企業に彼らが米国にEU市民の個人データを企業等メンバーに移送するとき、企業がEU域外に移送される個人データにつき十分に保護されているするための法的要件は満たされるという保証を与えた。しかし、その保証は今般、取り除かれた。
同判決の内容は、複雑な領域をかかえる問題である。CJEU判決はセーフ・ハーバーの枠組み自体を攻撃するのではなく、米国企業に保証を与えた欧州委員会の正式決定(注2)に問題指摘を集中させた。その手段は、なおセーフ・ハーバー・スキームの下で移される個人データの保護として有効である – たとえば、米国商務省リスト(注3)の登録メンバーが署名するプライバシー・ポリシーは、なお実在する。しかし、セーフ・ハーバーが英国の「データ保護原則の第8原則」(注3-2) の下で必要とされる十分な保護を提供するために自動的に考慮されることを意味した保証は、もはやそこにはない。
2.CJEU判決の背景
CJEUがその決定をした理由は、移送されるEU市民の個人データにアクセスする米国情報機関(NSA)の能力にあった。同判決は、情報機関が厳しく国家の安全保護のために必要かつ適切さを超えてアクセスしたと考えた。米国外の市民が彼らのデータの不正使用のために米国で法的救済を求めるどんな権利保障の不足はこの問題とつながる。
同法廷は、この問題についての既存の欧州委員会の決定があっても、加盟国のデータ保護当局が彼らの個人データが適宜に保護されていなかったとする個人から苦情を考慮するのを免れないう原則を判示した。
この後者の点は、セーフ・ハーバー協定に限定されない。個人からの苦情に対処するICOのアプローチ内容は一晩では変わらない。しかし、たとえば特定の国の保護体制や標準契約条項の適切性に関して、その適切性について欧州委員会の調査結果が過去に企業に提供した法律確実性の一部がもはや利用できない場合があることは回避不可である。
特定の国の保護制度の適切性や標準契約条項に関する前述した既存の欧州委員会決定は、なお有効で、確かにしばらくの間、企業によって頼られることができよう。しかし、米国またはどこか他の場所であるかどうかにかかわらず移送される個人データが米国の情報機関によってアクセスされやすいとすると、判決の条件はこれらの他のメカニズムの将来にいくらかの疑念を必然的に投げかける。これらセーフ・ハーバー以外の他の保証メカニズムに関しかつ米国以外の目的地への移送に関する影響は、明らかにはるかに明確でなくて、今後数ヶ月の間、とりわけEUの「EU指令第29条専門家会議(以下「第29条会議」という)」において分析される。
3.第29条会議の行方
ICOは、声明(statement)の公表にいたる10月15日開催された第29条会議の特別会議に参加した。強く表されるが、同会議は、声明の要旨での強く述べられているとおり、建設的なものであった。声明は加盟国のデータ保護当局の協力の重要性を認めるが、解決が我々の手中にないことを明確にした。
すなわち、政治的かつ法的で、技術的な解決が必要とされる。そして、彼らは両方の加盟国(英国を含む)に頼られる。そして、EU機関(欧州委員会)が米国当局との議論を開始する。
英国政府は、この問題の重要性に気づいている。そして、先週、私はデータ保護責任をもつネビル‐ロオルフ男爵夫人(Baroness Neville-Rolfe))が主催する産業界の円卓会議に参加した。(この説明は不正確である。筆者が英国の公式サイトで確認したが、ビジネス·イノベーション·職業技能省の政務次官であり、また知的財産権担当ではあるが、情報保護担当ではない。この点は、機会を見てICO事務局に確認したい)
円卓会議の発言の多くの焦点は、『セーフハーバーを使っていた企業はどこに去るか?』、という点であった。ここで、3つのキーポイントでICOのアドバイスを要約する。
①うろたえないでください(Don’t panic)
ICOの最初のメッセージは、まだ有効である。うろたえないでください、そして、少しも理想的でないことがわかるかもしれない他の個人情報の移送保証メカニズムに走らないでほしい。CJEU判決の「標準契約条項」や「個人情報の移送適正化規 則(Binding Corporate Rules)」への影響は、まだ分析中である。もちろん、移送は常に個人の同意に基づいてなされることができるが、これが、結局、CJEUケースがすべてあるものであるセーフ・ハーバーより少しも効果的に個人データを必ずしも保護するというわけではない。事実、個人はたとえそのような保護が不完全であるとしてもセーフ・ハーバーが彼らにいくらかの本物の保護を少なくとも提供するとき、ほとんどあるいはまったく保護がない目的地への彼らの個人データの移送に自身の同意を与えるよう簡単に説得されてしまうかもしれない。
②じっくり検討されたい。
企業がする最初のものは、じっくり検討することです。あなたがEUの外側にどんな個人データを移しているかについて、自分自身に尋ねます、それがどこ行きのあります、そして、あなたをそれが十分に保護されていることを確実とさせさせるだけの準備。いくつかのために、これは簡単な仕事でありません。それから、これらの準備が国際的な移動のICOのガイダンスを考慮している最適なものであるかどうかを見てください。彼らがセーフ・ハーバーを含めるならば、進展が新しいセーフ・ハーバーにみられないならば、あなたはどんな代替メカニズムを使うであろうか?しかし、特に新しくて、改善され、おそらくブランド再生されたセーフ・ハーバーが出てくるという可能性にむけ、変化に殺到しないでください。
③決心してください。
英国の企業が適切性についての委員会決定に頼る必要がないことを心に留めておく価値がある。あなたにとって同程度の法確実性を得ないとはいえ、英国法はあなた自身の適切性評価によることができる。ICOのガイダンス(注4)は、こうして問題につき対処方法をあなたに説明する。あなたが移送している、そして、あなたがそれを譲渡しているデータの性格の上でここで非常に依存する。セーフ・ハーバーは、まだここで一役担うことができる。
4. ICOの取り組み
ICOは、この問題に助けるために、他に何をするか?この質問に答える前に、ICOが何についてしていないかについて説明するほうがより正しいであろう。ICOは、確かに法施行権限を使おうと急いでいない。我々が妨げるために迅速に行動する必要のために、突然起こった個人データに対する新しくて差し迫った脅威はない。
あなたが、たとえどんなデータ移送のメカニズムに頼っていても、もちろん、ICOは影響を受けた個人からの苦情を考慮するが、しかし、それだけの不確実性がまわりにある、そして、解決がまだ可能な間、ICOは発表された法施行基準を守り、慌しい措置は取らない。ICOは何もないところで法的確実性をつくることができない。しかし、ICOはできるだけ我々全員が一回かつ賢明なメッセージを譲渡することを確実とする努力において、EUの対応する機関とともに働き続ける。最後に、ICOにとって、そのメッセージは英国法やICOの権限や一般国民の取り組みと合致し、いつどのように行使力するかという内容でなくてはならない。
やがて、ICOは国際的な個人データ移送のガイダンスを更新するであろう。しかし、ガイダンスほとんどはまだ有効である。ICOは、彼らが不確実性の現在の時期に何をしていなければならないか、またはしていてはならないかについて企業(他の人が提供するクラウドや類似したサービスに依存するSMEを含む)のためにいくらかの実務的なアドバイスを発表する場として、このブログを利用することになろう。
ここ数月の動きが重要である。EU市民の個人のデータがEUから米国へ移されるとき、多くの人々が「セーフ・ハーバー2.0」と呼ぶ枠組みが出来上がり、強力かつ効果的フレームワークを個人を保護するために提供されることを切に願っている。我々はどんな影響にそのような結果を強要しなければならないかについて使用するが、しかし、企業も彼らの一部をなす必要がある。実際は、経済界特に多国籍企業は、ICOのみかあるいは第29条会議以上にこれまでより多くの加盟国、欧州委員会や米国当局の行動に対する影響力を行使するであろう。
*************************************************************
(注1)2010.10.25 星野英二ブログ「英国の情報保護委員が多国籍企業(GE)の従業員情報のEEA以外の国への移送につき新 EUルールを初適用」を参照されたい。
(注1-2) 同裁判の経緯の解説から比較的詳しいものから抜粋する。
現在多くの米国IT企業はEUにおける事業展開にあたり、欧州内に拠点を設置しており、例えば今回の問題の対象となったFacebook IncもアイルランドのダブリンにFacebook Ireland Ltdを設置し、欧州内での事業を展開している。
しかしながら、実際にはFacebookはここで取り扱われているデータはFacebook Ireland Ltd内のサーバーで処理しておらず、米国内のFacebook Incにデータを転送し処理をしていた。現在、EU加盟国の国民の個人データを第3国へデータ移転するにあたっては、EUデータ保護指令(95/46/EC)を遵守する必要があり、具体的には第3国が「十分な保護措置」がなされている国と認められるか(十分性認定)、あるいはデータ保護指令に規定される他の条件を満たす必要がある。
今回の問題は、2013年のスノーデン事件によりNSA等の米国政府機関がFacebook Inc等のIT企業が保有するデータを監視していたことが発覚したことにより、オーストリア市民でFacebookのユーザーでもあるMax Schrems氏が、Facebook が十分な保護措置がなされていない米国に対して自身の個人データが転送されたとして、アイルランドのデータ保護機関に対して申立を行ったという事案である。
なお、Schrems氏は最初にアイルランドのデータ保護機関であるアイルランドのデータ保護コミッショナーに対し申立を行ったが、アイルランドデータ保護コミッショナーはセーフハーバー協定に基づくデータ移転については十分な保護がなされたものであるとして本件を調査することを拒否した。これに対し、アイルランド上級裁判所(High Court of Ireland)は欧州司法裁判所に対して、欧州委員会が決定したセーフハーバー協定の有効性に対する申立に対し、アイルランドのデータ保護機関が欧州委員会決定の内容について調査することができるのかどうかの判断を求めた。以下略す。
(注2)2000/520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (notified under document number C(2000) 2441)
(注3)米国・商務省解説サイト:米国の-EU間のセーフ・ハーバー・リスト(U.S.-EU SAFE HSARBOR LIST)の 理解は、同制度の内容を理解する上で、必須である。
(注3-2) 2020年7月16日のCJEUのセーフハーバー無効の判決を受けてICOのサイトでは以下の注記がなされている。
ICOは現在、2020年7月16日の欧州司法裁判所の判決を受けて、「プライバシー・シールド」と「標準契約条項(Standard Contractual Clauses (SCCs))」のガイダンスを見直している。
現在プライバシー シールドを使用している場合は、新しいガイダンスが利用可能になるまで引き続き利用できる。
(注4) ICOの”Guide to data protection”をさす。なお、2020.7.17現在、ICOの第8原則は改訂中。
*******************************************************************************************
Copyright © 2006-2015 芦田勝(Masaryu Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます