今回は、EDPB(欧州データ保護会議(European Data Protection Board)以降EDPBと略します)の越境に関するレコメンデーションである「Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data」を中心に書いていきます。以降、この文書をレコメンデーションと略します。

前回のおさらい

越境時の基本的な対策として、下記の越境移転方法がありました。

  • BCR
  • SCC
  • 十分性認定

レコメンデーションの冒頭Executive summaryで次のように書かれています。

「Standard contractual clauses and other transfer tools mentioned under Article 46 GDPR do not operate in a vacuum. 」(GDPR 第 46 条に基づいて言及されている標準契約条項およびその他の移転ツールは、単独で機能するものではありません。)

この文面が今回の説明の鍵となります。SCCを締結していても、それだけでは不十分という事です。前回の記事でも触れましたが、EEAから日本への個人データ移転時に十分性認定に依拠する場合でも、「補完的ルール」(GDPRと日本の個人情報保護法の差異を穴埋めするもの)を遵守することが必須です。アメリカの場合、EEAからの越境のためのフレームワークであるEU-U.S. Privacy Shield が2020年7月にEU司法裁判所よりの無効判決が出されました。代替となるDPF(EU-U.S. Data Privacy Framework)も2023年4月13日欧州議会人権委員会 (Civil Liberties Committee) は、これに反対する決議を採択されている状況です。このため、現時点でのEEAからアメリカへの越境の際の移転ツールとしては、SCCと補完措置となっている状況です。

そして事件は起きた

2023年5月22日アイルランドデータ保護委員会(DPC)からプレスリリースが出され、Meta IrelandへGDPR違反による制裁金12億ユーロとの決定が発表されました。Meta Irelandは新しい書式のSCCにも対応し、おそらく所定の補完措置(“supplementary measures”)も講じていたと推測されます。それではなぜ制裁となったのでしょうか?私の知見で評価することは至難ですが、EDPBから出された書類(全222ページ)を見ると(詳しく理解することはとても難しいです)、下記のワードが頻出となっていることに気付きます。

  • supplementary measures(補完措置)35カ所
  • FISA(外国情報監視法) 71ヶ所
  • PRISM(アメリカ国家安全保障局(NSA)の監視プログラム名) 32ヶ所

少し乱暴な理解となりますが、最新のSCCを締結していても、外国情報監視法(FISA)第702条の存在により、補完措置では穴埋めできない、あるいは穴埋めできていなかったからと理解して良いかと思います。そして裁定は「EEAの個人データをEUと同レベルで守れないなら、アメリカへ越境させることは適わない」ということになります。

レコメンデーション

前述のMeta Irelandの場合、対応が非常に難しいと思いますが、ではどういうことが求められるのでしょうか?EDPBのレコメンデーションを読み解いていきたいと思います。ステップごとに行うべき対応を箇条書きにします。

  1. 転送先の把握、転送されるデータは目的に沿った最小限のものであること
  2. 移転ツールの確認(十分性認定、BCR、SCC)
  3. 転送先がEUの保護レベルと同等か評価・確認する。移転先の保護レベルがEUと同等であることを保証しなければいけない。
  4. EU基準にするための補完的措置(移転ツールだけでは不十分な場合)。有効性を評価する責任がある。それでも不足の場合、移転を中止する必要がある。
  5. 補完的措置に必要な越境ツールの正式な手続きを講じる
  6. 一定の期間で適切な保護レベルになっているか監視する
     

上記の手順の詳細説明の前に、データ転送における説明責任(GDPR第5条2アカウンタビリティの原則)と共に証明することができるように第三国のデータ保護評価や補完的措置をしっかり押さえておく必要があります。

なお、このレコメンデーションの例の中には、下記の文面があり前述の事件の根深さを感じさせます。

「EU市民のSchrems氏は、2013年6月、アイルランドデータ保護委員会(DPC)に苦情を申し立て、米国の法律と慣行が、公的機関が同地で行っている監視活動に対して、同国の領土に保有する個人データの適切な保護を保証しないと考え、Facebookアイルランドから米国への個人データの転送を禁止または停止するように同監督当局に要請しました。」

また、さらには、外国情報監視法(FISA)第702条による監視プログラムからアクセス不可あるいは効果がない場合のみ、越境ツールに依拠することができると書かれている。これは対策としては非常に難易度の高いものだと考えられます。

ではどうすればEEAからアメリカへ越境できるか?

正直なところ、EEAからUSへの越境対策はどうすれば解決するのか?難易度が高過ぎて明快な方法が出せないと思います。読者の方に怒られてしまうかもしれませんが、下記のようなことが考えられるかと思います。

  • アメリカへ越境しないシステム・インフラを構築する。(EEA内のサービス・インフラを利用する)。あるいは監視対象となっていないサービス(実際にあります)を利用する。
  • DPF(EU-U.S. Data Privacy Framework)が成立するのを待つ(ビジネスは待てませんよね、、)
  • アメリカへ越境するデータは個人特定不可のデータのみにする(仮名化・・・Metaの場合サービスの特性上(SNS)本質的に不可能)

まとめ

  • レコメンデーションにおけるステップごとに行うべき対応
    1. 転送先の把握、転送されるデータは目的に沿った最小限のものであること
    2.  移転ツールの確認(十分性認定、BCR、SCC)
    3. 転送先がEUの保護レベルと同等か評価・確認する。移転先の保護レベルがEUと同等であることを保証しなければいけない。
    4. EU基準にするための補完的措置(移転ツールだけでは不十分な場合)。有効性を評価する責任がある。それでも不足の場合、移転を中止する必要がある。
    5. 補完的措置に必要な越境ツールの正式な手続きを講じる
    6. 一定の期間で適切な保護レベルになっているか監視する
  • GDPR 第 46 条に基づいて言及されている移転ツール(十分性認定、BCR、SCC)は、単独で機能するものではない
  • 現在の状況下(フレームワークがない状況)でのEEAからアメリカへの越境は非常に難しい

※本記事記載にあたり、細心の注意を払っておりますが、法的な助言を行うものではございません。また、正確性・完全性を保証するものではなく、法令対応のご確認は、お客様ご自身で、弁護士・専門家にご確認いただく必要がございます。