EU司法裁、米国との個人データ移転に関する「プライバシー・シールド」を無効と判断

EU司法裁判所は（CJEU）は7月16日、EUから米国への個人データの移転に関する「プライバシー・シールド」決定を無効とする判決を出した。一方、EUの一般データ保護規則（GDPR）の枠組みにおける欧州委員会の標準契約条項（SCC）に関する決定は有効とした。

GDPR（注）は、個人情報保護の観点から、EUを含む欧州経済領域（EEA）から第三国への個人データの移転を原則違法とし、欧州委が移転国に対して行う「十分性」（法整備などに基づき、十分に個人データ保護を講じていること）認定の決定や、欧州委が指定する契約書の雛形であるSCCの使用など、適切な保護措置に基づく場合に限り例外的に適法としている。EU・米国間では十分性認定はなされていないが、「プライバシー・シールド」という個別企業の登録ベースで十分な個人データ保護水準を担保する代替措置を設けている。

標準契約条項は有効も、「プライバシー・シールド」は無効

今回の判決は、SNS大手フェイスブックのEU在住のユーザーが、アイルランドに拠点を置く同社EU法人から米国への個人データの移転の適法性を争って起こした訴訟に関連して出されたものだ。EUから米国へ移転された個人データは、米国国内法に基づく安全保障などを目的とした政府機関による監視の対象となる場合があり、個人データの移転がSCCあるいはプライバシー・シールドに依拠する場合であっても、米国において十分に保護されない懸念があるとして、両者の有効性が主要な論点となっていた。

CJEUは同判決において、個人データが第三国の法律により政府機関による監視の対象になる場合においても、個人データの移転はGDPRの適用を受け、適切な保護措置によりGDPRにより保証される保護と同等のレベルの保護の提供が必要であることを確認した。その上で、SCCにはGDPR上必要なレベルの個人データの保護を確保する実効的な制度が含まれることから、SCC決定を有効とした。一方、プライバシー・シールド決定に関しては、米国政府機関が個人データにアクセスする場合、米国法に基づく個人データの保護はEU法上の保護と実質的に同等のレベルとは認められないとし、同決定を無効と判断した。

なお、日本とEU間でのデータの移転に関しては、日本とEUは2019年1月に相互に十分性認定をしていることから、同判決の影響は限定的と見られる。米国とEU間でデータの移転を行う日本企業は、注意が必要だ。

（注）GDPRやSCCについては、ジェトロのウェブサイト「特集 EU一般データ保護規則（GDPR）について」を参照のこと。

（吉沼啓介）