【データ法】EU-USデータ移転規制 ー米国の十分性認定の無効化の歴史ー
こんにちは。
お読みいただきありがとうございます。
本日は、EUからUSへの国際データ移転規制について書きたいと思います。
以前、GDPRにおける国際データ移転規制について書きました。
この分野は、海外に拠点を持つ日本の事業者にとっても関心が高く、それでいて規定がややこしく面倒な分野です。
特にアメリカへのデータ移転については、米国当局がデータ主体のモニタリングに対して積極的であるため、すったもんだの歴史があります。
そこで、今回は、EUからアメリカへのデータ移転規制について少しさかのぼってご紹介します。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
GDPR以前の国際データ移転規制
GDPRは2018年5月に施行されましたが、それ以前はData Protection Directive (DPD)と呼ばれるEU法の指令(*2)によって、EU加盟国の個人データ保護は規律されていました。
DPDの下でも、国際データ移転は規制されており、GDPR第45条1項と似た規定が置かれていました。すなわち、データ移転先の第三国が、十分な保護水準を確保しているのであれば、当該第三国への個人データの移転が認められる旨を定めていました。以下では、このような根拠に基づく移転のことを、十分性認定に基づく移転と表現します。
アメリカへのデータ移転の試み①:EU-USセーフハーバー
アメリカのビックテックがその頭文字を取ってGAFA(M)と呼ばれるようになって久しいですが、アメリカのITビジネスの進展に伴い、EU加盟国は、アメリカに対して膨大な量の個人データを送信するようになりました。
これを受けて、2000年、EUとアメリカは、個人データの十分性認定に基づく移転を実現するために、EU-USセーフハーバー(*3)と呼ばれるフレームワークを策定しました。
これは、所定のプライバシーポリシーに基づいてEUの個人データを処理することに同意した米国企業へのデータ移転を、十分性認定に基づく移転であると取り扱えるものです。
EU-USセーフハーバーへの暗雲
2013年に、いわゆるスノーデン・スキャンダルが起こり、米国国家安全保障局(NSA)が行っていた大規模なモニタリング活動が明るみになります。このスキャンダルは、EU-USセーフハーバーがEUのデータ主体の権利の保護に全く役立っていなかったことを証明することになります。要は、アメリカにおけるデータ保護体制が、全然十分ではなかったということです。
これを受けて、EU加盟国のデータ保護当局の一部から、EU-USセーフハーバーの撤回を求める要請が出されます。
結局、2013年11月、EUの行政府である欧州委員会(EC)は、EU-USセーフハーバーの見直しに向けた協議をUSとの間で実施することを発表します。
アメリカへのデータ移転の試み②:EU-USセーフハーバーIIへの模索
ECは、EU-USセーフハーバーによるデータ主体の権利保護を実際的なものにすべく、アメリカに対して、13の勧告を行います。この中には、アメリカの当局によるデータのアクセスについて焦点をあてるものもありました。
2014年6月、アメリカのカウンターパートである米国商務省(DoC)が、13の勧告のうち12に同意したことを発表します。しかし、「アメリカの当局が、国家安全保障にとって厳格に必要かつ適切な場合にのみ、個人データにアクセスすることが許されること」を主題とした勧告については、同意がなされず、EU-USセーフハーバーIIへのネックとなりました。
EU-USセーフハーバーの失敗:Schrems I
少し時間が戻りますが、2013年、オーストリアの法律家・活動家であるMax Schremsは、Facebook(現Meta)がEU拠点を置くアイルランドのデータ保護当局に対して、苦情を申し立てます。
これは、Facebookによるアメリカの個人データの移転が、DPDが定める「十分な保護水準」をアメリカが確保しておらず、DPDに違反していることを理由に含むものでした。事件は、アイルランドの裁判所、そして、欧州司法裁判所(CJEU)へと舞台が移ります。
そして、2015年10月6日、CJEUは、EU-USセーフハーバーを利用したアメリカへのデータ移転の枠組みは無効であると判断します(*4)。その理由の一つとして、米国の当局による個人データへの干渉が容易であることが挙げられていました。
この判決は、Schrems Iと呼ばれています。なお、Schremsは、1987年生まれでぼくと同い歳です。判決当時、ぼくたちは28歳だったわけですが、ぼくが予備試験の受験生で論証パターンをしこしこ暗記していた頃、彼が世界中のデータ法の教科書に載るような超大物の判決を勝ち取っていたことを考えると、すごい人がいるもんだなと思います。
アメリカへのデータ移転の試み③:EU-USプライバシーシールド
EU-USセーフハーバーの枠組みに依拠した十分性認定に基づく移転のスキームが使えなくなり、より手間のかかる手続を経なければ、アメリカへの国際データ移転が出来ない状況に陥りました。
ECは、DOCとの間で、アメリカの十分性認定に係る新たな枠組みを構築すべく協議を開始し、2016年7月2日、EU-USプライバシーシールドの導入が発表されます。
これは、DOCの所定のオンラインポータルに登録を行い、監督を受けることを条件に、十分性が認められて、EUからの個人データ移転を可能にするものです。米国のほとんどの業種の営利企業が登録対象とされました。
このEU-USプライバシーシールドですが、いくつかの改善点は見られるものの、米国の当局によるモニタリングの懸念を解消しているとは言い難いとの指摘を受けていました。
EU-USプライバシーシールドの失敗:Schrems II
Schrems IによってEU-USセーフハーバーの枠組みが無効とされて十分性認定に基づく移転が出来なくなった後、Facebookは、EU SCCsの利用という代替的な保護措置により米国へのデータ移転を行っていました。
EU SCCsは、十分性認定がない国へのデータ移転に用いられる最もポピュラーな手段で、GDPRにもその内容が引き継がれています。詳しくは、国際データ移転について紹介した冒頭の記事を参照ください。
Schremsは、FacebookのEU SCCsに基づくデータ移転についても、アイルランドのデータ保護当局に対して、停止を求めて苦情を申し立てます。
その後、事件は再びCJEUまで進みます。この間に、上記のとおりEU-USプライバシーシールドが導入され、また、2018年5月にGDPRが施行されました。そのため、CJEUは、GDPRの下でのEU-USプライバシーシールドに基づくデータ移転の有効性(つまり、十分性認定に基づく移転といえるか)について、判断を行うことになります。
2020年7月16日、CJEUは、EU-USプライバシーシールドに基づくデータ移転を無効と判断します(*5)。主要な理由の一つは、やはり、米国の当局による監視の懸念の払しょくが十分ではないというものでした。
この判決は、Schrems IIと呼ばれています。
これによって、EUから米国へのデータ移転について、EU-USプライバシーシールドに依拠した十分性認定に基づくデータ移転が再び不可能になりました。
※ このSchrems IIは、GDPR施行後の出来事です。そのため、GDPR施行時のコンプライアンス体制の構築に従事された会社担当者の方の中にも、この判決を知らない方が意外といらっしゃいます。GDPRに関する最重要判例であり、実務へのインパクトもすさまじいものでしたので、これを機会に頭の片隅に入れておいていただければと思います!
アメリカへのデータ移転の試み④:EU-USデータプライバシーフレームワーク
Schremes IIにより、EU-USプライバシーシールドが使えなくなったことから、EUとアメリカは、また新たな仕組みの構築に向けて動き出します。
数年の協議を経て、2023年7月10日、EUは、新たな十分性認定の体制として、EU-USデータプライバシーフレームワーク(DPF)を発表しました。
これは、EU-USプライバシーシールドと同様に、米国のほとんどの業種の営利企業が、DOCの所定のオンラインポータルに登録を行い、監督を受けることを条件に、EUからの十分性認定に基づく個人データ移転を認めるものです。
こちらがDPFのポータルです。いくつか日本の有名企業の名前を検索してみましたが、日系法人と思しき会社は見当たりませんでした。
Shremes III?
Schremsは、Noybというアクティビスト集団の実質的な代表者であるところ、Noybは、DPFに基づくデータ移転についても、苦情を申し立てる意向であることを表明しています。
Schrems対Facebookのバトルは今のところSchremsの二連勝中です。もし、DPFもひっくり返されることになると、Schrems IIIですね。
現在、2681の米国企業がDPFに登録されており、これらの米国企業に対するデータ移転は、十分性認定を根拠としているものと解されます。しかし、もしDPFが無効化にされた場合、それまでに行っていたデータ移転は適法となるのか、それともさかのぼって違法とされるのか、何とも言えません。
より慎重に対応するとすれば、DPFに基づく十分性認定に依拠しつつ、他の保護措置も併用することが安全策でしょうか。でも、それならばそもそもDPFを利用する異議もなく、悩ましいですね。
まとめ
今回は、EUのデータ法に関するアメリカへのデータ移転の歴史についてまとめてみましたが、いかがだったでしょうか。
まとめ:
・ EUからアメリカへの個人データ移転は、アメリカの十分性認定を得るために様々な枠組みが模索されてきた
・ しかし、いずれの枠組みも、Max Schremsによって無効化されてきた
・ その中でも、GDPR施行後に出されたSchrems II判決は非常に重要
・ 現在は、EU-USデータプライバシーフレームワーク(DPF)という枠組みを利用して、十分性認定に基づくデータ移転が可能
・ もっとも、DPFが今後無効とされる可能性もゼロではない
これを読まれた皆さまは、既にEUを脱退していたイギリスでは、Schrems IIはどのような取扱いとなっているのか気になるかもしれません。また、Schrems IIは、単にデータプライバシーシールドを無効と判断したのみならず、国際データ移転を行う際の留意点をいくつかコメントしています。
これらの点については、またの機会に書きたいと思います。
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
【注釈】
*1 Data Protection Commissioner v Facebook Ireland and Maximillian Schrems (Case C-311/18) EU:C:2020:559
*2 Data Protection Directive 95/46/EC
*3 単にセーフハーバー、と呼ばれることも。また、アメリカではUS-EUセーフハーバーとも呼ばれます。
*4 Maximillian Schrems v Data Protection Commissioner, judgment of 6 October 2015 (Grand Chamber) (Case C-362/14) ECLI:EU:C:2015:650
*5 (n 1)
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。