筆者は7月25日付けの本ブログでCJEU判決の詳細や米国商務省長官の声明を取り上げた。その際、今後取り上げる問題として(1)欧州データ保護会議(European Data Protection Board:EDPB)は加盟国の監督機関からの照会に対応したりCJEU判決のさらなる解析を目的とするFAQを7月23日に公表したが、その内容は如何、ならびに(2)この判決はEUの「一般データ保護規則(GDPR)」の解釈、運用の一層の迅速な厳格化を求めるものである(欧州委員会の標準的契約条項(Standard Contractual Clauses, SCC) や「法的拘束力のある企業準則(Binding Corporate Rules:BCR)」といえども無条件での運用継続は不可である)が果たして企業実務から見た場合の今後具体的な対応の中身は如何(最大規模のローファームのレポートが恰好の材料を提供している)を解説すると予告した。
ところで、筆者はBCRに関しMicrosoftの日本語版「欧州連合モデル条項」解説(2020.7.17付け)を読んだ。その冒頭で「欧州連合モデル条項の概要」として、「EU モデル契約条項は、EEA から出ていくすべての個人データが EU データ保護法に準拠して転送され、EUデータ保護指令 95/46/EC (EU データ保護条令 95/46/EC) の要件を満たすように、サービス・プロバイダー (Microsoft など) とその顧客との間の契約に使用される標準化された契約条項です。(以下略す)」と述べている。
ここで(3)番目の問題が浮かび上がってきた。以上、指摘したように世界的企業であるMicrosoftが、今年7月17日現在のサイト上で堂々とこのよう内容を公表している内容である。その内容はGDPR施行日である2018年5月25日からすでに2年以上たっているのも関わらず、きわめて語訳も含め陳腐かつ不正確な内容である。(本ブログでは、あえてこの点につき訂正コメントは行わない)
ちなみに、今回のCJEU判決に関する元連邦取引委員会(FTC)委員のJulie Brill氏(現Microsoft :Corporate Vice President for Global Privacy and Regulatory Affairs and Chief Privacy Officer) (筆者注1) のコメントを比較して読んだが、企業にとって関心のある特段の戦略的提案はなかった。
1.欧州データ保護会議(European Data Protection Board:EDPB)の加盟国の監督機関からの照会に対応したりCJEU判決のさらなる解析を目的とするFAQの仮訳
EDPBは2020年7月23日に本FAQを採択した。このドキュメントは、加盟国の情報保護監督当局(SA)およびさらなる分析とともにガイダンス等の開発および補完するとともに、EDPBが欧州司法裁判所の判決を引き続き調査し、評価する目的で取りまとめたものである。
判決原本(C-311 / 18) および裁判所のプレスリリースを参照されたい。
(1)欧州司法裁判所(以下「裁判所」という)は今回の判決(C-311/18)において何を決定したか?
裁判所は判決で、標準的契約条項(「SCC」)に関する欧州委員会の決定(2010/87/EC)の妥当性を調べ、有効であると判断した。確かに、その決定の妥当性は、その決定の標準的なデータ保護条項が本質的に契約上のものであると考えると、データが転送される可能性のある第三国の当局を縛らないという単なる事実によって疑問視されるものではない。
ただし、裁判所は、その有効性は、①2010/87 / EC決定により、GDPRによってEU内で保証されているレベルと本質的に同等の保護レベルの遵守を実際に可能にする効果的なメカニズムが含まれているかどうかに依存すると付け加えたかかる条項に違反した場合、または②それらを遵守することが不可能な場合は、かかる条項に基づく個人データの転送は一時停止または禁止されるべきであると判示した。
この点に関して、裁判所は特に、2010/87 / EC決定は、データの輸出者とデータの受領者(「データの輸入者」)に、転送の前に検証し、譲渡の状況、関係する第三国でそのレベルの保護が尊重されているかどうか、および2010/87 / EC決定では、データ輸入者が標準のデータ保護条項に準拠できないことをデータ輸出者に通知する必要があることを考慮し、そして、必要に応じて、これらの条項が提供するものに対する補足措置がある場合、データ輸出者は、次に、データの転送を一時停し、および/またはデータ輸入者との契約を終了する義務がある。
また裁判所は、先行(予備)判決(preliminary ruling)の要求につながる国家紛争の文脈で危機に瀕している移転が行われたとして、「プライバシー・シールド決定(EU-米国プライバシー・シールドによって提供される保護の妥当性に関する決定:2016/1250)」の妥当性を調査、検討した。
裁判所は、米国の国内法の要件、特に特定の米国の公的機関が国家安全保障上の目的でEUから米国に転送された個人データへのアクセスを可能にするプログラムは、EU法に基づいて本質的に必要とされる要件を満たす方法で外接されない個人データの保護に制限をもたらし、この法律は、米国当局に対する裁判所におけるデータ主体の権利を付与しないものであった。
データがその第三国に転送される人の基本的権利に対するこのような程度の干渉の結果として、裁判所はプライバシー・シールドの妥当性決定を無効と宣言した。
(2)裁判所の判決は、プライバシー・シールド以外の移転ツールに影響を与えるか?
一般に、第三国については、裁判所によって設定されたしきい値(threshold)は、EEAから第三国にデータを転送するために使用されるGDPR第46条に基づくすべての適切な保護措置に適用される。裁判所によって言及した米国法(すなわち、 FISA (Foreign Intelligence surveillance Act)第702条および大統領行政命令(Executive Order:EO)第 12333号) は、移転に使用される移転ツールに関係なく、電子的手段による米国へのデータ移転にも適用される。
(3)私(当社)が転送の法的根拠を評価せずに個人データを米国に転送し続けることができる猶予期間はあるのか?
いいえ。裁判所はその影響を維持せずにプライバシー・シールド決定を無効にした。 裁判所は、本質的に同等のレベルの保護をEUに提供していない。したがって この評価は、米国への転送の際に即考慮する必要がある。
(4) プライバシー・シールド決定に準拠した米国のデータ輸入者にデータを転送していたのですが、今後どうすればよいか?
この法的枠組みに基づく転送は違法である。 米国へのデータ転送を継続する場合は、以下の条件で転送できるかどうかを確認する必要がある。
(5)米国のデータ輸入者でSCCを使用しているが、今後はどうすればよいのか?
裁判所は、米国の法律(つまり、 FISA第702条およびEO第12333号)は本質的に同等のレベルの保護を保証しないと認定した。
SCCに基づいて個人データを転送できるかどうかは、転送の状況を考慮した評価結果と、実施できる補足措置によって異なる。データ移転を取り巻く状況をケースバイケースで分析した後のSCCによる補足措置では、米国法が保証する適切なレベルの保護に影響を与えないようにする必要がある。
転送の状況と可能な補足措置を考慮に入れると、適切な保護手段が保証されないため、個人データの転送を一時停止または終了する必要があります。 ただし、この結論にもかかわらずデータを転送し続けるつもりである場合は、管轄する自国の監督機関(SA)に通知する必要がある。
(6)私(当社)は米国の法人で法的拘束力のある企業準則(「BCR」)を使用しているが、今後どうすればよいか?
第三国にデータが転送されるデータ主体の基本的権利を管理する米国の法律によって作成された干渉の程度と、プライバシー・シールドがBCRなどの他のツールで転送されたデータに保証をもたらすように設計されたという事実のためにプライバシー・シールドを無効にした裁判所の判断を考えると、裁判所の評価は米国の法律もこのツールよりも優位性を持つためBCRの文脈でも適用される。
BCRに基づいて個人データを転送できるかどうかは、転送の状況と実施できる補足措置を考慮して、評価の結果によって異なる。これらの補足措置は、移転を取り巻く状況のケースバイケース分析に続いて、米国の法律が彼らが保証する適切なレベルの保護に影響を与えないことを保証する必要がある。
移転の状況と可能な補足措置を考慮して、適切な保護措置が確保されないという結論に達した場合は、あなたは個人データの転送を中断または終了する必要がある。ただし、この結論にもかかわらずデータ転送を継続する場合は、管轄するSAに通知する必要がある。
(7)GDPR第46条の下での他の転送ツールはどうか?
EDPBはSCCやBCR以外の転送ツールに関する判断の結果を評価します。この判決では、GDPR第46条7/25⑦における適切な保護措置の基準は「本質的同等性」であることを明らかにした。裁判所によって下線が付けられているように、第46条はGDPR第V章に記載されており、それに応じて「その規制によって保証される自然人の保護レベルが損なわれないようにするために、その章のすべての規定を適用しなければならない」というGDPR第44条に照らして読まなければならないことに留意すべきである。
(8) GDPR第49条の例外手段の一つに頼って、米国にデータを転送できるか?
本条に定める条件が適用される場合、GDPR第49条により予測される例外(derogations)に基づいて、EEAから米国にデータを転送することは可能である。 EDPB は、この規定に関するガイドライン(筆者注2)を参照する。 特に、転送がデータ主体の同意に基づいている場合は、次の点や手順を思い起こすべきである
①明確であること。
②特定のデータ転送または転送のセットに固有のもの (つまり、データの収集後に転送が行われた場合でも、データ輸出者は、転送が行われる前に特定の同意を取得する必要がある)
③特に転送のリスクの可能性について(データ主体は、データが十分な保護を提供しない国に転送され、データの保護を提供することを目的とした適切な保護措置が実施されていないという事実に起因する特定のリスクを知らされるべきであることを意味する)。
データ主体とコントローラーとの間の契約の履行に必要な転送については、個人データは、転送が時折(Occasional and not repetitive transfers)行われる場合にのみ転送される可能性があることを念頭に置いておく必要がある。このデータ転送が「時折」または「不定期」と判断されるかどうかは、ケースバイケースで確立する必要がある。いずれにせよ、この例外は、譲渡が契約の履行に客観的に必要な場合にのみ信頼できる。 公共の利益の重要な理由(EUまたは加盟国の法律で認識されなければならない)に必要な移転に関連して、EDPBは、この例外の適用性の本質的な要件は、組織の性質ではなく、重要な公共の利益の発見であり、この例外は「時折」データ転送に限定されないと考えている。これは、重要な公共の利益の逸脱に基づくデータ転送が大規模かつ体系的に行われる可能性があることを意味するものではない。 むしろ、GDPR第49条に定められた例外が実際には「ルール」になってはならないが、特定の状況にのみに限定する必要があり、各データ輸出者は、移転が厳格な必要性テストを満たしていることを確認する必要がある。
(9) SCCやBCRを使用して、米国以外の第三国にデータを転送することはできるかか?
裁判所は、SCCは、第三国へのデータ転送に引き続き使用することができるが、米国への移転のために裁判所によって設定されたしきい値は、任意の第三国に適用されることを示している。BCRも同様である。
裁判所は、BCRが提供する保証が実際に遵守されているかどうかを判断するために、EU法で要求される保護レベルが第三国で尊重されているかどうかを評価することは、データ輸出者とデータ輸入者の責任であることを強調した。 そうでない場合は、EEAに規定されている本質的に同等の保護レベルを確保するための補足措置を提供できるかどうか、および第三国の法律が有効性を防ぐためにこれらの補足措置に影響を与えないかどうかを評価する必要がある。
データ輸入者に連絡して、自国の法律を確認し、その評価のために協力することができる。 第三国のデータ輸入者が、SCCまたはBCRに転送されたデータに、EEA内で保証されているデータと本質的に同等の保護レベルが与えられていないと判断した場合は、直ちに転送を停止する必要がある。そうしない場合は、管轄するSAに通知する必要がある。
裁判所判決文において下線が引かれているように、第三国の法律は、データ輸入者がその第三国に個人データを転送する前に、標準的契約条項(BCR)に準拠することを可能にすることを評価することは、データ輸出業者とデータ輸入者の主な責任であるが、SAはまた、GDPRを施行する際および第三国への移転に関するさらなる決定を出す際に重要な役割を果たす。裁判所の要請に従って、異なる決定を避けるために、特に第三国への移転を禁止しなければならない場合は、彼らは一貫性を確保するためにEDPB内でさらに作業する。
(10) SCCやBCRを使用して第三国にデータを転送する場合、どのような補足措置を導入できるか?
行うべきであった場合に想定できる補足措置は、移転の全ての状況を考慮し、第三国の法律の評価に従って、適切な保護レベルを確保しているかどうかを確認するために、ケースバイケースで提供する必要がある。
裁判所は、この評価を行い、必要な補足措置を提供することが、データ輸出者とデータ輸入者の主な責任であることを強調した。EDPBは現在、SCCまたはBBCが単独で十分なレベルの保証を提供しない第三国にデータを転送するために、法的、技術的、組織的な措置のいずれであっても、SCCまたはBCRに加えて提供できる補足措置の種類を決定するために裁判所の判断を分析している。
EDPBは、これらの補足的な措置が何を成し持つ可能性があるかをさらに調べており、より多くのガイダンスを提供する。
(11) 私はコントローラーとして責任を負うデータを処理する処理者を使用しているが、この場合の処理者(processor)が米国または他の第三国にデータを転送するかどうかはどのように知りうるか?
GDPR第28条第3項に従ってプロセッサーと締結した契約は、転送が認可されているかどうかを規定する必要がある(管理目的など、第三国からのデータへのアクセスを提供する場合でも、転送にも相当することを念頭に置く必要がある)。サードパーティにデータを転送するためにサブ・プロセッサー(sub-processor)(筆者注3)を委託する処理者に関する認可も提供される。さまざまなコンピューティング・ ソリューションが第三国に個人データを転送することを意味する可能性があるため (たとえば、ストレージやメンテナンスの目的で) 注意を払う必要がある。
(12)GDPR第28条第3項に基づいて締結された契約が、データが米国または他の第三国に転送される可能性があることを示している場合、私のプロセッサーのサービスを使用し続けるために何ができるか?
送金ツールによって提供されるEEAで与えられる本質的に同等のレベルの保護に米国法が影響を与えないように、お客様のデータが米国に転送される可能性があり、また、いずれの補足措置も提供できない場合、 また、GDPR第49条に基づく例外にも適用されるが、唯一の解決策は、米国への移転を禁止するために契約の修正条項または補足条項を交渉することである。
米国外の第三国にデータが転送される可能性がある場合は、第三国の法律を確認し、裁判所の要件に準拠しているかどうか、および期待される個人データの保護レベルを確認する必要がある。第三国への移転に適した根拠が見つからない場合、個人データはEEAの領土外に転送されるべきではなく、すべての処理活動はEEA域内で行われるべきである。
2.企業実務から見た場合の今後具体的な対応の中身は如何(最大規模のローファームのレポートが恰好の材料を提供している)の解説例
グローバル・ビジネスへの潜在的な影響
すぐに、プライバシー・シールドを使用して米国への個人データの転送を正当化することはできなくなり、プライバシーシールドに現在登録されている5,378の組織・団体は、そのための代替手段を見つける必要があることは明らかである。
CJEUの判決で言及された1つの解決策は、GDPR第49条によって提供される「例外」規定に依存することである。その条項(49条)は、EEA外への転送は、明示的な同意、契約の必要性、および-非常に制限された状況では-正当な利益などの他の手段によって正当化できることを規定している。ただし、欧州データ保護会議(EDPB)の規制ガイダンスはこれらの「制限」を非常に限定的に解釈しているため、企業はこれらに慎重にアプローチする必要があります。通常、これは最後の手段です。
SCCに依存する企業は、SCCの使用を再検討し、使用を継続することが適切かどうか、または転送を一時停止するか、契約を終了する必要があるかどうか、ケースバイケースで評価する必要がある。データの輸出者と輸入者は、この評価を実施するために協力する必要がある。特に、輸出者は、輸入者がSCCに含まれる義務を遵守できるという安心感を求めて、かつ必要なレベルの保護を提供できる輸入国の法律に精通している輸入者に頼る可能性がある。
この評価の一部として、輸出者と輸入者は、特定したデータ保護の課題の影響を制限するために、どのような追加の保護を導入できるかを検討したい場合がある。ただし、企業は、「事前承認済み」の性質を損なうことなくSCCを修正できる範囲に制限があることを認識しておく必要がある。これには、監督当局の承認が必要になる。
企業はまた、EEAからの移転のための代替の保護メカニズムである法的拘束力のある企業準則(「BCR」)を真剣に検討する必要がある。BCRは、グループ内の移転(または共同経済活動に従事する企業間の移転)にのみ使用でき、所管の監督当局による承認が必要である。ただし、GDPRに基づく個人データの転送を正当化する最も信頼できる手段であると多くの人が考えている。
さらに企業は、現在欧州委員会によって開発、検討中の次期改訂SCCを検討する場合もある。彼らの採用は2020年後半に予定されているが、現時点ではどのような形態を取るか、または既存のSCCをどのように改善するかは明確ではない。
今後数週間から数か月のうちに、企業は、今日の挑戦的でやや予想外の判断の影響を受ける企業に対して法的措置を講じることについて、その監督当局の意欲(またはその欠如)に関する声明を探す必要がある。
***********************************************************************
(筆者注1) Julie Brillの略歴をWikipedia でみる。
Julie Brill氏
ジュリー・ブリル氏は、2010年4月6日から2016年3月31日まで、連邦取引委員会(FTC)の委員を務めたアメリカ人の弁護士である。現在、マイクロソフトのプライバシーおよび規制問題の法務担当副社長および法務顧問を務めている。ここまでは一般的な内容であるが、同女史は米国の人権擁護NPO団体であるCDT(Center for Democracy & Technology)の役員会のメンバーである。自分の主張がはっきりしているのであろう。
なお、CDTの最近時の活動例を見ておく。Engadget 日本版の記事を一部抜粋、引用する。
「トランプ米大統領が、ソーシャルメディアに手厚い米国通信品位法第230条を見直すための大統領命令を出したことに対して、非営利団体Center for Democracy & Technology(CDT:民主主義・技術センター)が訴訟を起こしました。CDTは大統領命令がアメリカ憲法修正第1条に違反すると主張、明らかにTwitterに対する報復的な行動であり、自由であることが保護されている言論に「冷や水をかぶせて抑制する」意図があるとしています。
CDTのアレクサンドラ・ギブンスCEOは「この命令はソーシャルメディアサービスがフェイクニュースや有権者に対する弾圧、暴力を煽る行為と戦うことを抑止させるようにできている。(米国の)投票方法と選挙インフラのセキュリティに関する正しい情報へのアクセスは、われわれ民主主義にとって生命線です。大統領は報復と将来の規制をチラつかせてサービス提供者を威圧し、コンテンツの方向性を変えようとしていますが、これは実質的に大統領選挙に向けて有権者を抑圧し、一方でフェイクニュースの危険性を野放しに使用とするものです」と提訴に踏み切った理由を述べました。
そして「政府は、大統領の気まぐれに応じてサービス提供者に対し言論統制の強要はできません。ましてすべきではありません。この命令を阻止することは言論の自由を保護し、2020年大統領選の公平性を確保するための重要な作業を続けるために極めて重要です」と続けました。」
(筆者注2) EDPBの「Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679」をさす。日本語仮訳がある。
概要部を一部引用する。
「第 49 条を適用するにあたり、第 44 条に従い、第三国又は国際機関に個人データを移転するデータ移転元が、GDPR の他の規定の条件も満たさなければならないことに留意しなければならない。
それぞれの取扱活動は、関連するデータ保護規定、特に第 5 条及び第 6 条に従わなければならない。それゆえ、2 段階のテストを行わなければならない。第 1 段階として、GDPR のすべての関連規定とともに、データ取扱自体に法的根拠が適用されなければならない。また第 2 段階として、第 5 章の規定を遵守しなければならない。
49 条(1)では、十分性認定又は適切な保護措置がなされていないとき、第三国又は国際機関への個人データの移転又は一連の移転は、一定の条件下でしか行うことができないとされている。
同時に、第 44 条では、GDPRによって保障される自然人に対する保護のレベルが低下しないよう確実を期すために、第 5章の全規定の適用が義務付けられている。これは、第 49条の例外に依拠することによって、基本的権利が侵害されかねない状況が生じるようなことが決してあってはならないという意味でもある 。
したがって、第49条に基づく例外とは、十分な水準の保護が第三国で与えられる場合、又は適切な保護措置が提示され、かつ、データ主体が引き続き基本的な権利及び保護措置を享受するようにするため執行可能かつ実効的な権利を享受する場合にのみ、個人データを第三国に移転することができるとする一般原則からの例外なのである 。この事実に起因して、かつ欧州法に内在する原則に従い、例外がルールとならないようにすべく、例外は限定的に解釈されなければならない 。これは、例外は特定の状況において用いられるべきものであると述べた第 49 条の表題の文言によっても裏付けられている(「特定の状況における例外」)。(以下は略す)
(筆者注3) “sub-processor”は処理者から処理を再委託された別の処理者である。例えば、処理者であるクラウド・アプリケーション事業者がオペレーションの一部をアウトソースする場合の受託者はsub-processor=復処理者(下請処理者)である。(インターネット・イニシアティブ「第1回:個人データの第三国移転パターンに応じたSCCモデル条項の使い分け(2017/06/09公表)、GDPRはまだ施行されていませんので、上掲のSCCモデル条項はいずれも旧指令(95/46/EC)第26条に基づくものです」から一部抜粋。
*******************************************************************************************************************
【DONATE(ご寄付)のお願い】
本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。
◆みずほ銀行 船橋支店(店番号 282)
◆普通預金 1631308
◆アシダ マサル
◆メールアドレス:mashida9.jp@gmail.com
【本ブログのブログとしての特性】
1.100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。
2.本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。
このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。
3.上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。
このような経験を踏まえデータの入手日から最短で1~2日以内にアップすることが可能となった。
なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。
本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。
4.他にない本ブログの特性:すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。
その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。
他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。
5.内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。
【有料会員制の検討】
関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。
Civilian Watchdog in Japan & Financial and Social System of Information Security 代表
************************************************************************************************************************************
Copyright © 2006-2021 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます