【報告】Schrems II:SCCは有効、Privacy Shieldは無効

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年7月16日の報告です。Shrems IIはSCCsは有効、Privacy Shieldは無効という結果になりました。しかし、surveilanceをSCCsで防ぐことは無理でしょう。日本の十分性認定も、Surveilanceに対する適切な監視体制があるとは言えないため撤回される可能性が出てきました。

Schrems II のプレスリリースはこちらです。

判決の全文はこちらからアクセスしてください。

–プレス・リリースの翻訳–

司法裁判所 (CJEU) は、EU-USデータ保護シールドによって提供される保護の妥当性に関する決定2016/1250 (Decision 2016/1250) を無効と判断

ただし、第三国で設立された処理業者への個人データの転送に関する標準契約条項(Standard Contractual Clauses, SCCs)に関する委員会決定2010/87(Commission Decision 2010/87)は有効であると考えている

一般データ保護規則(GDPR)では、処理者へのデータの第三国への転送は、原則として、当該第三国が適切なレベルのデータ保護を保証する場合にのみ行われると規定している。 GDPRは、欧州委員会が、第三国が国内法または国際的責任により、十分なレベルの保護を保証しているとみなすことを許容している。

十分性認定がない場合、処理者へのデータ移転は、EUに設立された個人データの輸出者が、特に欧州委員会が採択した標準データ保護条項から生じる適切な保護手段を提供し、データ主体が 強制可能な権利と有効な法的救済が担保されている場合のみ行うことが許容される。 さらに、GDPRは、十分性認定または適切な保護手段がない場合に、処理者への移転を行うことが許容される条件について詳述している。

オーストリアに居住するオーストリア国民であるMaximillian Schrems氏は、2008年からFacebookユーザーである。欧州連合に居住する他のユーザーの場合と同様に、Schrems氏の個人データの一部またはすべては、Facebook Irelandによって、米国内にあるFacebook Incのサーバーに移転され、そこで処理が行われる。Schrems氏はアイルランドの監督当局(DPA)に、本質的にこれらの移転を禁止するよう訴えた。Schrems氏は、米国の法律および慣行は、公的機関によるその国に移転されたデータへのアクセスに対する十分な保護を提供していないと主張した。その苦情は、特に決定2000/520( Decision 2000/520、いわゆる「セーフ・ハーバー決定」)において欧州委員会が米国が適切なレベルの保護を確保していると判断していることを理由に却下されました。 司法裁判所(EUCJ)は高等裁判所(アイルランド)が暫定判決に対して提出した質問に対し、2015年10月6日に判決を行い、その決定は無効であると宣言した(いわゆる「Schrems I 判決」)。

Schrems I 判決と、それに続く裁判所によるSchrems氏の申し立てを拒否した判決の破棄に基づき、アイルランドDPAは、判決2000/520(Decision 2000/520)が無効であるというEUCJの宣言に照らし、申し立てを改定するようSchrems氏に要請した。Schrems氏は改定された訴状で、米国はその国に転送されたデータの十分な保護を提供していないと主張している。彼は、Facebookアイルランドが現在、委員会決定2010/87(Commission Decision 2010/87)の付属書に記載されている標準のデータ保護条項に従って実施している、EUから米国への個人データの将来の転送の一時停止または禁止するよう求めている。Schrems氏の苦情の結果は特に委員会決定2010/87(Commission Decision 2010/87)の有効性に依存すると判断し、アイルランドDPAは、 司法裁判所(EUCJ)に質問を付して暫定判決を求めるため、高等裁判所に訴訟を提起した。 これらの手続きの開始後、欧州委員会は、EU-米国プライバシーシールドが提供する保護の妥当性に関する決定2016/1250(Decision 2016/1250、プライバシーシールドの決定)を採択した。

予備判決の要請を行うことで、参照裁判所は、GDPRが委員会決定2010/87(Commission Decision 2010/87)の標準データ保護条項に従った個人データの転送に適用されるか、そのような状況でDPAに課せられている義務、およびそのような移転に対し、GDPRに関連してどのレベルの保護が必要かを裁判所に尋ねた。 高等裁判所は、委員会決定2010/87(Commission Decision 2010/87)と決定2016/1250(Decision 2016/1250)の両方の有効性の問題も提起している。

今日の判決では、司法裁判所は、欧州人権憲章に照らして委員会決定2010/87(Commission Decision 2010/87)を検討したところ、その決定の有効性に影響を与えるものは何もないと認定した。 しかし、決定2016/1250(Decision 2016/1250)は無効であると宣言した。

第一に、CJEUは、EUの法律、特にGDPRが、その転送時またはその後、データが公安、防衛、および国家安全のために、問題の第三国の当局によって処理される場合があるとしても、加盟国に設立された事業者による第三国に設立された別の事業者への商業目的での個人データの移転に適用されると考える。CJEUは、第三国の当局によるこの種のデータ処理を理由に移転をGDPRの適用範囲から排除することはできないと付け加える。

そのような移転に関して必要な保護のレベルについては、越境移転目的のために定められた、適切な保護、強制力のある権利、および効果的な法的救済に関するGDPRの要件は、個人データが標準のデータ保護条項に従って第三国に移転されるデータ主体に対し、欧州人権憲章に照らし、GDPRによってEU内で保証されるレベルと本質的に同等のレベルの保護を提供しなければならないと裁判所は考える。 これらの状況では、EUに設立されたデータ輸出者と関係する第三国に設立された移転データの受領者との間で合意された契約条項、 第三国の公的機関による移転データへのアクセス、その第三国の法制度の関連する側面について、保護レベルの評価では考慮しなければならないと裁判所は規定する。

そのような移転に関連するDPAの義務については、裁判所は次のように考える。有効な欧州委員会の十分性認定がない限り、管轄DPAは、移転のすべての状況に照らして、当該国では標準データ保護条項が遵守されていない、または遵守することができない、あるいはEU法で要求されている移転されたデータの保護が他の方法では確保できないと判断し、EUに設立されたデータ輸出者自体がそのような移行を一時停止または停止していない場合、第三国への個人データの転送を一時停止または禁止しなければならない。

次に、CJEUは委員会決定2010/87(Commission Decision 2010/87)の有効性を検討する。CJEUは、決定の標準データ保護条項が本質的に契約上のものであることに鑑みて、データが転送される可能性のある第三国の当局を拘束しないという単なる事実によって、その決定の有効性は問題にされないものと考える。ただし、その有効性は、EU法で要求される保護レベルの遵守を実際に可能にする効果的なメカニズムが決定に含まれているかどうか、およびかかる条項に基づく個人データの移転が、これらの条項に違反した場合、またはそれらを遵守することが不可能な場合に中断されているかどうかに応じて決まるということを、CJEUは付言する。CJEUは、委員会決定2010/87(Commission Decision 2010/87)がそのようなメカニズムを確立していると認定する。この点に関して、CJEUは特に、決定は、データ輸出者とデータ受信者に、移転前に、関係する第三国でそのレベルの保護が尊重されているかどうかを検証する義務を課していることを指摘し、この決定により、受信者は標準データ保護条項に準拠できないことをデータ輸出者に通知しなければならず、準拠できない場合、データの移転を一時停止するか、データ輸出者との契約を終了する必要があることを指摘する。

最後に、CJEUは、GDPRから生じる要件に照らして決定2016/1250(Decision 2016/1250)の有効性を検討し、個人および家族の生活、個人データ保護、および効果的な司法に対する権利を保証する憲章の条項に照らして読む。この点に関して、CJEUは、決定2016/1250(Decision 2016/1250)は決定2000/520(Decision 2000/520)と同様に、米国の国家安全保障、公益、および法執行機関の要件が優先事項であり、したがって米国にデータが転送される人物の基本的権利への干渉を容認するという立場を明記していることに留意する。CJEUの見解では、欧州連合から米国に転送されたデータへの米国の公共機関によるアクセスおよび使用に関する米国の国内法から生じる個人データ保護に関する制限は、規定に基づく監視プログラムが厳密に必要なものに限定されない限り、委員会が評価した決定2016/1250(Decision 2016/1250)ではEU法に基づいて要求される要件と本質的に同等の要件を満たす方法で制限されない。これらの発見に基づいて、CJEUは、特定の監視プログラムに関して、規定は、プログラムを実施するために彼らが与える力に対する制限、または潜在的に標的とされた米国人ではない人への保証の存在を示さないと考える。規定は問題の監視プログラムを実施する際に米国当局が従わなければならない要件を定めているが、米国当局に対して法廷で訴訟を起こす権利をデータ主体に付与しないことをCJEUは付け加える。

司法保護の要件に関して、CJEUは、決定2016/1250(Decision 2016/1250)で委員会が取った見解とは対照的に、その決定で言及されたオンブズパーソンのメカニズムは、メカニズムによって提供されるオンブズパーソンの独立性と、オンブズパーソンが米国の諜報機関に拘束力のある決定を採用することを可能にするルールの存在の両方を保証するなど、EU法で要求されるものと実質的に同等の保証についてデータ主体に提訴機関の前に訴訟の理由を提供していないと判断する。 これらのすべての理由で、CJEUは決定2016/1250(Decision 2016/1250)0が無効であると宣言する。