欧州司法裁判所(ECJ)は7月16日、米国企業がEU域内で取得した個人情報を米国に持ち出すことを許容する米EUの法的制度「プライバシー・シールド」を無効とする司法判断を下した。「プライバシー・シールド」は、米国の政府機関に対し、個人情報をEUから持ち出した企業への取締と罰則適用を義務付ける内容になっているが、実施状況に懸念があるとし無効とした。
今回の裁判は、オーストリアのプライバシー保護活動家であり、自身も弁護士のMax Schrems氏が、フェイスブックを相手取り提訴した。プライバシー・シールドは、2016年にEU加盟国が合意した制度で、米商務省と米連邦取引委員会(FTC)に対し、規約違反の企業に対する厳罰、米政府による個人情報へのアクセスの制限、個人情報を不正利用された欧州市民への救済、共同年時審査制度の導入等を取り決めていた。しかし今回ECJは、EU一般データ保護規則(GDPR)の観点から、米国での管理が不十分とし、同制度の無効判断を下した。
ECJが、米国との間での個人情報の移転に関する制度を無効としたのは今回が2回目。初回は、2015年にプライバシー・シールド制度の前身となる「セーフ・ハーバー合意」を無効としたもの。このときも原告は、今回と同じくMax Schrems氏だった。この際も被告はフェイスブックで、同社の欧州本社があったアイルランドの裁判所に提訴。EU法に関連する訴訟だったため、ECJに判断を仰いだ。
「セーフ・ハーバー合意」は、米国企業が署名することで、EU域外への個人情報移転を容認するものだった。ECJはこのときの裁判で、米国家安全保障局(NSA)などの司法機関が十分な保護措置なく企業が保有する個人情報にアクセスできるとなっていた抜け穴を問題視し、「セーフ・ハーバー合意」を無効とした。
GDPR以降、フェイスブック等の米国企業は、「プライバシー・シールド」に署名することで、米国への個人情報移転が認められていたが、今回「セーフ・ハーバー」に続いて「プライバシー・シールド」も無効とされた。背景には米国の司法機関によるデータ監視に対する懸念が根本にあり、判決の影響を受ける米国企業は数千社に及ぶと見られている。
一方、ECJは今回、欧州委員会が、「個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」に基づき2010年に定めた標準契約条項(SCC)については、有効との判断を下した。それにより、米国企業はSCCに基づく個人情報移転が必要となる。
【参照ページ】The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield
Sustainable Japanの特長
Sustainable Japanは、サステナビリティ・ESGに関する
様々な情報収集を効率化できる専門メディアです。
- 時価総額上位100社の96%が登録済
- 業界第一人者が編集長
- 7記事/日程度追加、合計11,000以上の記事を読める
- 重要ニュースをウェビナーで分かりやすく解説※1
さらに詳しく ログインする※1:重要ニュース解説ウェビナー「SJダイジェスト」。詳細はこちら