EUから米国への個人データ移管禁止

アイルランド高裁は5月14日、欧州連合（EU）域内から米国への個人データ移管を禁じる仮命令を不服とした米フェイスブック（FB）の申し立てを却下した。

フェイスブックが欧州拠点を置くアイルランドの規制当局であるデータ保護委員会（DPC）は2020年9月にデータ移管を禁止する仮命令を出した。
EUが2018年に導入した一般データ保護規則（GDPR）に沿わないなどと判断した。

これに対してFB側は「壊滅的な結果をもたらす」として異議を申し立てていたが、アイルランド高裁は「FBはデータ保護委員会の決定に反論する根拠を示せなかった」として却下した。

FBは高裁の決定を受け、「他の企業と同様に欧州の規則に従い、適切なデータ保護措置に基づいてグローバルなサービスを提供している。アイルランドの仮命令はFBだけでなくユーザーや他の企業にも損害を与える可能性がある」とコメントした。

データ移管禁止が最終的に確定すれば、EU全域のユーザーデータを米国に送れなくなり、ターゲット広告など個人情報を活用した事業展開が制約を受ける可能性がある。

ーーー

EUは2018年に一般データ保護規則（GDPR）を導入した。

「標準契約条項（SCC）」は欧州委員会が決定したデータ移転契約のひな型で、個人データの欧州経済領域（EEA）外への移転を適法化するための手段の一つである。

米欧間の個人データの移管は規制が厳しくなっている。

EUの個人情報保護指令では、EU域外への個人情報データの移転は、基本的には、欧州委員会がデータの移転先国が法整備などに基づいて十分な個人情報保護措置を講じていると「十分性認定（adequacy decision）」をした場合にのみ認められている。

ところが、米国との間には、連邦法や州法が絡み合うなど同国の独特な事情により、「十分性認定」が存在しない。
（日本とEUは2019年1月に相互に十分性認定をしている。）

そのままでは経済活動に支障が出るため、2000年7月、従来の「十分性認定」とは異なるが、同等の保護を得るための枠組み「セーフハーバー」に合意、米国商務省が認証した企業にのみ個人情報の移転を認めてきた。

2013年の「スノーデン事件」を受けて、オーストリアのSchrems氏が自らの Facebook上の個人情報が米国に移転され、米国の法執行機関や公的機関によって利用されるリスクがあるたとして行った申し立てをきっかけに、セーフハーバー協定の有効性の判断がEU司法裁判所に求められ、2015年10月、同裁判所はセーフハーバー協定自体が無効であるとの判決を下した。（Schrems I 事件）

この判決を受け、EUと米国は規制内容を大幅に強化する枠組みの策定に動き、2016年7月12日に新たに「プライバシーシールド」が欧州委員会によって採択され、同枠組みは翌8月1日から本格稼動することとなった。国境を越えたデータの交換において、ユーザー情報の大量収集を防止したり、EU市民のデータへのアクセスを制限するといった内容を含む、高度かつ法的強制力のあるデータ保護標準の実現を目的として締結された。

セーフハーバー協定を無効としたSchrems I 事件判決の翌月、Facebook Irelandと米Facebookは「標準契約条項（SCC）」を締結した。

Schrems氏は、アイルランドの監督機関に対し、FacebookによるSCCに基づく移転の禁止を申立てた。

これに対しアイルランド監督機関は、Schrems氏の主張の当否はSCCの有効性に左右されるとの理由で、アイルランド高等法院に対し欧州司法裁判所の先決裁定を求めるよう申立てた。

高等裁判所は欧州司法裁判所に付託した。

EUの最高裁判所にあたる欧州司法裁判所は2020年7月、米・EUが2016年に締結した「プライバシー・シールド」を無効とする判断を下した。（Schrems Ⅱ 事件）
個人情報をEU域外に移管するための「標準契約条項（SCC）」については有効とした。

欧州司法裁判所は、個人データが第三国の法律により政府機関による監視の対象になる場合においても、個人データの移転は「一般データ保護規則」（GDPR）の適用を受け、GDPRにより保証される保護と同等のレベルの保護の提供が必要であることを確認した。

その上で、「標準契約条項」（SCC）にはGDPR上必要なレベルの個人データの保護を確保する実効的な制度が含まれることから、SCC決定を有効とした。
しかしながら、SCCに従って行われた個人データの移転であっても、EUの一般データ保護規則に沿った適切な保護措置が講じられているかどうか、各事業者において検証する必要があるとした。

一方、プライバシー・シールドに関しては、米国政府機関が個人データにアクセスする場合、米国法に基づく個人データの保護はEU法上の保護と実質的に同等のレベルとは認められないとし、同決定を無効と判断した。

欧州司法裁判所の判断を受け、アイルランドの規制当局であるデータ保護委員会（DPC）はFBに対する調査を始め、2020年9月に一般データ保護規則（GDPR）に沿わないなどと判断し、データ移管を禁止する仮命令を出した。

フェイスブックがアイルランドの仮命令を順守するには、EUユーザーから回収する個人情報の大半を削除するか、EUユーザーへの全サービスをいったん中断し、サービスの見直しを余儀なくされる。命令を順守しない場合、DPCにはフェイスブックに年間売上高の4％に相当する28億ドルを上限とする制裁金を科す権限がある。

アイルランドがSCCも認めないとの結論を下せば米国へデータを移せなくなり、他の大手企業や多くのユーザーに影響する可能性がある。

FB側は「壊滅的な結果をもたらす」として異議を申し立てていたが、高裁は今回、「FBはDPCの 決定に反論する根拠を示せなかった」として却下した。