EU司法裁、標準契約条項違反のデータ管理者にデータ移転を中止・禁止する義務と指摘

EU司法裁判所（CJEU）法務官は12月19日、EUの一般データ保護規則（GDPR）の枠組みでの個人データの域外移転に利用される標準契約条項（SCC）（注）に関する意見書を公表した。SNS大手フェイスブックのEU在住のユーザーがアイルランドに拠点を置く同社EU法人から米国への個人データ移転の違法性を争って起こした訴訟の中で示された。訴訟内容には、SCCはGDPRが定めるEU市民の権利を米国で保障するものではないとする内容が含まれており、「SCCは無効」との見解が示されれば、企業活動に大きな影響が生じ得るため、関心を集めていた。この意見書は、今後出される判決に対する拘束力はないが、法的な見解を示すものとなる。

フェイスブックは、米国へのデータ移転に関する「セーフ・ハーバー」原則の無効判決（2015年10月21日記事参照）以降、同社のEU法人と米国本社の間で締結した、SCCを定める欧州委員会決定2010／87に準拠した合意をEUから米国へのデータ移転の法的根拠としていた。一方、原告は米国の政府機関による情報収集活動も念頭に、米国でのプライバシーと個人データ保護の権利侵害に対する救済を受けられないことから、個人データの米国への移転中止を求めていた。

CJEU法務官の意見書は、主にSCCの有効性について検討した。十分な個人情報の保護水準がある（十分性認定）とEUから認められていない国への個人データの移転には、SCCなど契約によってEU域内と同レベルの保護を移転先国で保証する必要があるが、SCCは全ての第三国での十分な保護レベルを保証し得るものであり、有効だと判断。さらに、SCCがデータ移転先の第三国における法的拘束力がないことをもって、決定2010／87とSCCが無効とは考えられないと主張。ただし、移転先の第三国でSCCに対する違反や不履行が認められた場合に、データ移転を停止・禁止する十分な仕組みが必要だとした。

そのため、SCCと移転先の第三国の法令が課す義務が対立し、SCCが順守されない場合は、データ管理者にデータ移転を中止・禁止する義務があると指摘。データ管理者が義務を果たせない場合は、EU加盟国の監督機関（supervisory authorities）がその義務を負うとした。

なお、日本とEUは相互に十分性を認定しており、公的機関などの例外を除き、個人情報の日・EU間の移転に当たりSCCの締結は必要ない。

（注）GDPRやSCCについては、ジェトロのウェブサイト「特集 EU一般データ保護規則（GDPR）について」を参照のこと。

（村岡有）