EU司法裁、英国捜査権限規制法をEU法違反と判断、英国に対するGDPR「十分性認定」への影響も

(EU)

ブリュッセル発

2020年10月08日

EU司法裁判所(CJEU)は10月7日、インターネットや携帯電話の事業者に対して、国家の安全保障などを目的に、個人データの提供を義務付ける加盟国法を、一部EU法違反とする判決外部サイトへ、新しいウィンドウで開きますを出した。CJEUは、加盟国当局によるEU法で保証されるプライバシー権や個人データの保護を受ける権利の制限は、「厳密に必要な範囲で」のみ許容されるとした。さらに、英国の捜査権限規制法(Regulation of Investigatory Powers Act)(注1)を念頭に、インターネットや携帯電話の全ての利用者を対象にした「一般的かつ無差別な方式」で、利用者の個人データを加盟国当局に送信することを、関係事業者に対して義務付ける加盟国法はEU法に違反するとした。

欧州委による英国に対する「十分性認定」の審査への影響も

今回の判決が、EUの「一般データ保護規則(GDPR)」(注2)に基づき、欧州委員会が現在実施している、英国に対する「十分性認定」の審査に影響を与える可能性は高い。英国は2020年1月31日にEUを離脱したものの、2020年12月31日までは「移行期間」として原則EU法の適用を受けているが、2021年1月1日以降はEU法の適用を外れる「第三国」となり、EUから英国への個人データの移転には、欧州委の英国に対する「十分性認定」などの措置が必要となる。英国は移行期間終了後も、GDPRの水準を維持し、GDPRを基にした英国法の導入を計画(2020年10月7日記事参照)している。欧州委は現在、この認定審査を行っているが、今回の判決が英国の捜査権限規制法を実質的にEU法違反としたことから、この点を考慮せざるを得ず、難しい判断を迫られそうだ。

ただし、仮に欧州委が2020年内に、英国に対する「十分性認定」をしない場合に影響を受けるのは、EUから英国への個人データ移転のみだ。英国は、既にEUに対して「十分性認定」を行っていることから、英国からEUへの個人データの移転は可能になる見通しだ。また、日本・英国間および日本・EU間では、それぞれ相互に「十分性認定」の手続きを完了外部サイトへ、新しいウィンドウで開きますしていることから、両者間の個人データの移転はこれまでどおり確保される。

(注1)捜査権限規制法(2000年)は、通信の機密保持を保護し、公共または民間の電気通信システムにおける通信傍受・通信データの取得などを規制した法的枠組み。

(注2)GDPRとは、EUにおける個人情報保護の枠組みで、EUから第三国への個人データの移転を原則違法とし、欧州委が移転国に対して行う「十分性認定」(法整備などに基づき、十分に個人データ保護を講じていること)の決定や、欧州委が指定する契約書の雛形の使用など、適切な保護措置に基づく場合に限り、例外的に適法としている。詳細は「特集 EU一般データ保護規則(GDPR)について」を参照のこと。

(吉沼啓介)

(EU)

ビジネス短信 6c91a4ddb0752396