「Privacy Shield」タグアーカイブ

GDPR

★当社CEO寺川貴也が注目する最新news topic★

今週の寺川が注目するニュースはこちら・・・

▼オーストリアのデータ保護当局(DSB)がCookieの利用についてベストプラクティスを公表
https://www.dsb.gv.at/download-links/FAQ-zum-Thema-Cookies-und-Datenschutz.html

≪寺川貴也のコメント≫

日本では改正個人情報保護法施行に伴いCookieバナーを設置する企業や組織が増えています。当社もサービスとしてCookiebotやOneTrustのCookie Compliance Toolの提供を行っており、多くのお客様からお問い合わせをいただいています。欧州では各国の監督機関がCookieの利用について詳細なガイダンスを提供していることがしばしばあります。Cookieについてのガイダンスは幾度か改訂されてきており、最近のガイダンスは成熟度が高まっていますので一読するとよいと思います。

今回紹介するのはオーストリアのデータ保護当局によるものです。ここでは必須クッキーとはどのようなものか、クッキーウォールの利用、同意に代わる方法としてユーザーに支払いを求める方法、クッキーの同意ツールの使用についての注意事項、同意の撤回方法等が説明されてます。また、Cookieの利用に対してオプトイン形式で同意を得ていないウェブサイトや、プライバシーノーティスを提供せずにトラッキングクッキーを使ってパーソナライズ広告を行うウェブサイトはオーストラリア国内法及びGDPRに違反することも明言されています。さらに、広告用のcookieに同意しない場合にウェブサイトにアクセスできない設定とすることは違反とされています。

Cookieバナーは当社でも提供していますが、当社としてはあくまでもお客様の選択として設置することを推奨しています。たとえば日本国内のみでビジネスを行っている場合はCookieバナーの設置は法的には求められていません。中国個人情報保護法でも、Cookieバナーの設置は必ずしも必須要件とはなっていません。Cookieバナー自体も、データ越境移転の観点から違法の疑いがあると裁判になっていることやある判例では広く普及しているCookieバナーについて「見せかけのコンプライアンス活動」として厳しく非難が行われているケースもあります。

データ保護が本業ではない事業者にとってはデータ保護対応に過度のリソースを割くことは難しいですが、その一方で、ツールを使えば問題が解決するということがないことも覚えておく必要があります。プライバシーやセキュリティについては特に、社内に自然にコンプライアンスが達成される文化を育むことが長期的には最も有効な対策となります。ツールはあくまでもその「助け」となるものだということを理解した上でうまく活用していただければと存じます。

▼上記サイトは英語のため、こちらの翻訳サイトご活用ください
https://www.deepl.com/ja/translator

GDPR

【News】『IAPP Asia Privacy Forum 2022』に当社CEOの寺川貴也が登壇します!

 
新着情報

このセミナーでは、データ技術の最新動向や、説明責任を果たすことでビジネスの成長を促進する方法についての見識を深めることができます。

英語での視聴になりますが、興味のある方は下記URLよりご登録ください。

※現在満席でキャンセル待ちとなります

 

▼開催日時(SGT:シンガポール時間)

2022年7月18日(月) 9:30-17:30

2022年7月19日(火)  9:00-16:00 ※19日に寺川登壇予定

 

▼詳しくはこちら

https://iapp.org/conference/iapp-asia-privacy-forum/

GDPR

【News】≪ 中国支社を持つ日系企業様必見!≫ 『Jooto×alibaba cloud共同セミナー:日中間におけるSalesForce、Jooto活用及びサイバーセキュリティ法対策のご紹介』に当社CEO寺川貴也が登壇します!!

2022年6月23日

≪開催日時≫

2022年7月7日(木) 13:00-14:00

 

≪形式≫

オンライン(ZOOMウェビナーを使用)

 

≪セミナー概要≫

▼こんな方へおすすめ

●中国サイバーセキュリティ法、中国個人情報保護法をより詳しく知りたい方
●今後中国に進出予定の企業のご担当者様
●日中間でのSalesforceやJootoの利用を検討の方

 

▼本セミナー内容

昨今、多くの日系企業様が中国進出されているとともに、SalesforceやJooto等のSaaSサービスへの需要も増加しています。 その一方で、中国サイバーセキュリティ法(网络安全法)は中国で事業を行っている&進出を検討している企業様にとっては無視することができない重要な法律です。さらに昨年には中国個人情報保護法も新たに施行され、顧客データ等の取り扱いに対する対策が各企業様へ求められてきている状況です。実際、中国では2021年で17件の営業停止命令を含む580件の執行措置が執られており、喫緊に対応が必要な法律となっています。 本セミナーでは、SalesforceやJootoをご利用されている、及びご検討中の企業様に対して、法的な内容はもちろん、具体的にどのように対応を行うのかをPR TIMES社、Alibaba Cloud社にてご紹介致します。

 

▼中国サイバーセキュリティ法について

中国においてインターネットを含む通信、データ保護、セキュリティ対策などの情報セキュリティ分野に関する法令や実施規則が制定されている基準法です。「個人の権利保護・組織のセキュリティ保護」だけではなく「中国国家の安全や公共の利益を保護」を目的としている点が特徴です。中国国外おけるデータ処理や、中国国内でビジネスを行う外資企業に対しても法律の順守が求められます。

 

—————————————————————————

▼セミナーお申込みはこちらから

—————————————————————————

 

GDPR

【News】BSIグループジャパン株式会社との協業のお知らせ

2022年5月19日

この度、BSIグループジャパン株式会社様にて、日本企業のプライバシーガバナンスのさらなる強化に向け、当社が提供しているIAPP公式CIPMトレーニングを、「グローバル認定のプライバシー・プログラム・マネジメント認証資格研修」として、提供を開始しましたことお知らせいたします。

グローバル認定のプライバシー・プログラム・マネジメント認証資格研修(=IAPP公式CIPMトレーニング)は、世界各国で提供されておりますが、日本においてIAPPの公式トレーニングパートナーとして日本語で提供しているのは、昨年より提供を開始した当社と今回提供を開始するBSIグループジャパン株式会社のみとなります。

近年、社会全体のデジタルトランスフォーメーション(DX)が進む中、イノベーションの創出による社会課題の解決とともに、プライバシー保護への要請も高まっており、今後は、プライバシーに関わる課題対応を、商品・サービスの品質向上や消費者からの信頼獲得のための経営戦略として能動的に取り組み、企業価値向上につなげていく事が肝要と言えます。

こうした状況をふまえ、当社とBSIグループが協力し、プライバシーの専門家を育成するための研修を提供することにより、日本企業におけるプライバシーガバナンスのさらなる強化をご支援してまいります。

—————————————————————————

▼グローバル認定のプライバシー・プログラム・マネジメント認証資格研修(=IAPP公式CIPMトレーニング)とは

企業において、プライバシー、情報セキュリティ、コンプライアンスコーポレート・ガバナンス等の業務に携わる方、あるいは、グローバルで求められているプライバシーの専門家を目指す方を対象に、グローバルレベルの専門知識や最新動向を、ビジネス面、リーガル面、テクノロジー面から学んでいただける内容となっています。また、本研修受講後に認証試験に合格すると、プライバシーの専門家としてグローバルに通用するCIPM(R)が資格として認定されます。

—————————————————————————

▼プレスリリース(発表元企業:JCN  配信日時: 2022-05-10 )

https://www.atpress.ne.jp/news/308473

—————————————————————————

 

■テクニカ・ゼン株式会社について

テクニカ・ゼン株式会社は、プライバシー、セキュリティ、ガバナンスを支援するコンサルティング会社です。

若い会社でありながらIAPPをはじめとする世界各国の専門組織や専門家からの信頼が厚く、グローバルトップ企業をはじめ、大手企業を中心に支援を提供しています。

本業となるコンサルティング事業と併せて、デジタル市民教育に関する活動であるCyberSafetyも実施しており、地域社会や大学への助言やアウェアネス向上活動も行っています。

URL: https://technica-zen.com/

 

■BSI(英国規格協会)とBSI Professional Services Japan株式会社について

BSI(British Standards Institution:英国規格協会)は、1901年の設立以来、世界初の国家規格協会として、また、ISOの設立メンバーとして活動する規格策定のプロフェッショナルです。

現在、193カ国で84,000組織以上のお客様の活動に貢献しています。BSIグループジャパンは、1999年に設立されたBSIの日本法人です。

マネジメントシステム、情報セキュリティサービス、医療機器の認証サービス、製品試験・製品認証サービス及びトレーニングコースの提供をメインとし、規格開発のサポートを含め規格に関する幅広いサービスを提供しています。

URL: https://www.bsigroup.com/ja-JP/

 

GDPR

【News】 当社が支援したチームスピリット社がISO/IEC27701(PIMS)認証を取得

2022年2月15日

組織のPrivacy by Designを支援し、IAPP(※1)のオフィシャル・トレーニング・パートナーの当社では、プライバシー情報マネジメントにおける国際規格「ISO/IEC 27701(ISMS-PIMS)(※2)」認証取得支援を行っておりますが、この度当社が支援した、働き方改革プラットフォーム「TeamSpirit」シリーズを開発・提供する株式会社チームスピリット様(荻島 浩司代表取締役、 以下 チームスピリット)が2021年12月24日付で「ISO/IEC 27701(ISMS-PIMS)」認証を取得しました。本認証取得は日本国内においては先進的な取組みであり、ERPのフロントウェア市場で初の本認証取得となりました。

近年、世界各国で厳しい個人データ保護法規制の整備が加速していますが、チームスピリット社のように個人データを預かる事業を展開する事業者にとって、個人データ保護体制を世界標準レベルまで引き上げることは喫緊の課題の一つとなっています。その一方、適用される法域ごとにコンプライアンス対応を一からやり直すと、コンプライアンス・コストが増大し、事業活動に支障を及ぼす可能性もあります。

チームスピリット様は、国内エンタープライズ企業へのTeamSpiritの導入を拡大させており、長期的にはグローバルな事業展開を想定しています。このことから、国内エンタープライズ企業、及びグローバルに求められる個人データ保護基準に対応する必要があり、戦略的にその体制を整えてきました。

このような状況に鑑み、エンタープライズ市場における信頼向上、及びグローバル市場に進出する上での効果的なアプローチの一つとして、グローバル・プライバシー認証であるISO/IEC 27701(PIMS)認証を取得するまでに至りました。

(※1) International Association of Privacy Professionals (国際プライバシー専門家協会)とは ⇒8万人を超える会員数を擁する、世界で最も影響力のあるプライバシーの業界団体

(※2)ISO/IEC 27701(PIMS)認証とは ⇒ISO 27701はISMSとして知られている情報セキュリティ・マネジメント・システム(ISO/IEC 27001)のファミリー規格であり、プライバシー情報マネジメント・システム(Privacy Information Management System、略称PIMS)についての規格です。国際標準化機構(International Organization for Standardization、略称ISO)が2019年に定めた規格で、ISO/IEC 27701(PIMS)認証を取得した組織は、グローバル標準に従ってプライバシー情報を適切に保護・管理する体制を備えていることを対外的に証明することができ、世界の主要なサービス提供業者が既に取得を完了しています。

▼プレスリリース(発表元企業:JCN  配信日時: 2022-01-25 16:00)https://www.zaikei.co.jp/releases/1549671/

GDPR

【News】当社代表の寺川貴也がIAPP kNetルーマニアに登壇します

2022年1月14日

1月20日に行われるIAPP kNet第2回「プライバシーとデータ保護に関する世界会議  PR!VACY ROMANIA(2022)」に当社代表の寺川が登壇します。

この分野の主要関係者を結集し、参加者間の対話を促進・奨励することを目的としています。

 

このイベントは、

ASCPD – Association of Privacy and Data Protection Specialists in Romaniaが、

IAPP – The International Association of Privacy ProfessionalsおよびIAPP Romanian KnowledgeNet Chapterと協力して開催するもので、

ルーマニア国内外から1000人以上の専門家の参加を見込んでおり、会議は連日2日間で開催されます。

 

▼内容

【1日目】2022年1月20日15:00~19:00(東ヨーロッパ標準時、GMT+2) 

1,世界各地(EU、東欧~非EU、南米、米国、カナダ、ロシア、日本、アフリカ、オーストラリア)における特定の法律の最新ニュースを学ぶためのバーチャル旅行を提案します。

※英語でのプレゼンテーション

 

【2日目】2022年1月21日15:00~19:00(東ヨーロッパ標準時、GMT+2) ※ルーマニア語でのプレゼンテーション

1,E-Privacy指令・NIS指令・GDPRなどの法改正を、AI・顔認識・マイクロターゲティングなどのテクノロジーの加速的な発展の中で紹介し議論します。

2,過去4年間のルーマニアにおけるGDPRの影響について、教育キャンペーンの効果・DPOの役割の発展・公的機関や民間事業者のコンプライアンスレベル・個人データの重要性に対する意識に焦点を当て、COVID19の流行期を中心に分析をします。

※ルーマニア語でのプレゼンテーション

 

▼イベント名

第2回プライバシーとデータ保護に関する世界会議 『PR!VACY ROMANIA(2022)』

▼日時

(1日目)2022年1月20日 15:00~ (寺川貴也登壇)

(2日目)2022年1月21日 15:00~ 

▼URL

https://www.conferinte.ro/evenimente/pr-vacy_romania_2022

 

GDPR

【報告】Schrems II: EDPBがQ&Aを公表

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年7月25日の報告です。Shrems IIのケースに関連してEDPBがQ&Aを公表しました。

アメリカへのデータ移転はSCC + DPIA + DPAへのconsultationとするのが現状一番安全ではないでしょうか。

ちなみにBCRは有効ですが、ICO経由で承認されたBCRは継続的に有効とするためには再度EU域内の監督機関に依頼してアセスメントしなおさなければならないことになりました。

data protection, GDPR

【報告】SCCを使用するためのチェックリストをNOYBが公表

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年7月20日の報告です。Shrems IIケースではSCCsについてcase by caseで有効性を判定するようにとされました。

これを受け、Shrems氏が率いるNOYBがチェックリストを作成しています。ご参照ください。

Next Steps for EU companies & FAQs

data protection, GDPR

【報告】Schrems II:SCCは有効、Privacy Shieldは無効

※ こちらでの告知が減っていますが、会員サイトではここに告知している以外の記事や情報提供も行っています。ISO27701に関する情報も充実しつつありますので、ぜひ会員サイトに直接ご訪問ください。

<お知らせ1>

寺川執筆したのデータ・プライバシーの教科書が2月20日に発売となりました。ぜひお手にとってください。

https://johokiko.co.jp/publishing/BC200203.php

<お知らせ2>

情報機構のウェブサイトでテクニカ・ゼン株式会社の寺川による書下ろし連載が開始されました。ぜひお読みください。

それで、データ・プライバシーとは何ですか?

<お知らせ3

コロナウィルスの感染拡大に伴い東京での各種セミナー、イベントは現在中止させていただいております。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2020年7月16日の報告です。Shrems IIはSCCsは有効、Privacy Shieldは無効という結果になりました。しかし、surveilanceをSCCsで防ぐことは無理でしょう。日本の十分性認定も、Surveilanceに対する適切な監視体制があるとは言えないため撤回される可能性が出てきました。

Schrems II のプレスリリースはこちらです。

判決の全文はこちらからアクセスしてください。

–プレス・リリースの翻訳–

司法裁判所 (CJEU) は、EU-USデータ保護シールドによって提供される保護の妥当性に関する決定2016/1250 (Decision 2016/1250) を無効と判断

ただし、第三国で設立された処理業者への個人データの転送に関する標準契約条項(Standard Contractual Clauses, SCCs)に関する委員会決定2010/87(Commission Decision 2010/87)は有効であると考えている

一般データ保護規則(GDPR)では、処理者へのデータの第三国への転送は、原則として、当該第三国が適切なレベルのデータ保護を保証する場合にのみ行われると規定している。 GDPRは、欧州委員会が、第三国が国内法または国際的責任により、十分なレベルの保護を保証しているとみなすことを許容している。

十分性認定がない場合、処理者へのデータ移転は、EUに設立された個人データの輸出者が、特に欧州委員会が採択した標準データ保護条項から生じる適切な保護手段を提供し、データ主体が 強制可能な権利と有効な法的救済が担保されている場合のみ行うことが許容される。 さらに、GDPRは、十分性認定または適切な保護手段がない場合に、処理者への移転を行うことが許容される条件について詳述している。

オーストリアに居住するオーストリア国民であるMaximillian Schrems氏は、2008年からFacebookユーザーである。欧州連合に居住する他のユーザーの場合と同様に、Schrems氏の個人データの一部またはすべては、Facebook Irelandによって、米国内にあるFacebook Incのサーバーに移転され、そこで処理が行われる。Schrems氏はアイルランドの監督当局(DPA)に、本質的にこれらの移転を禁止するよう訴えた。Schrems氏は、米国の法律および慣行は、公的機関によるその国に移転されたデータへのアクセスに対する十分な保護を提供していないと主張した。その苦情は、特に決定2000/520( Decision 2000/520、いわゆる「セーフ・ハーバー決定」)において欧州委員会が米国が適切なレベルの保護を確保していると判断していることを理由に却下されました。 司法裁判所(EUCJ)は高等裁判所(アイルランド)が暫定判決に対して提出した質問に対し、2015年10月6日に判決を行い、その決定は無効であると宣言した(いわゆる「Schrems I 判決」)。

Schrems I 判決と、それに続く裁判所によるSchrems氏の申し立てを拒否した判決の破棄に基づき、アイルランドDPAは、判決2000/520(Decision 2000/520)が無効であるというEUCJの宣言に照らし、申し立てを改定するようSchrems氏に要請した。Schrems氏は改定された訴状で、米国はその国に転送されたデータの十分な保護を提供していないと主張している。彼は、Facebookアイルランドが現在、委員会決定2010/87(Commission Decision 2010/87)の付属書に記載されている標準のデータ保護条項に従って実施している、EUから米国への個人データの将来の転送の一時停止または禁止するよう求めている。Schrems氏の苦情の結果は特に委員会決定2010/87(Commission Decision 2010/87)の有効性に依存すると判断し、アイルランドDPAは、 司法裁判所(EUCJ)に質問を付して暫定判決を求めるため、高等裁判所に訴訟を提起した。 これらの手続きの開始後、欧州委員会は、EU-米国プライバシーシールドが提供する保護の妥当性に関する決定2016/1250(Decision 2016/1250、プライバシーシールドの決定)を採択した。

予備判決の要請を行うことで、参照裁判所は、GDPRが委員会決定2010/87(Commission Decision 2010/87)の標準データ保護条項に従った個人データの転送に適用されるか、そのような状況でDPAに課せられている義務、およびそのような移転に対し、GDPRに関連してどのレベルの保護が必要かを裁判所に尋ねた。 高等裁判所は、委員会決定2010/87(Commission Decision 2010/87)と決定2016/1250(Decision 2016/1250)の両方の有効性の問題も提起している。

今日の判決では、司法裁判所は、欧州人権憲章に照らして委員会決定2010/87(Commission Decision 2010/87)を検討したところ、その決定の有効性に影響を与えるものは何もないと認定した。 しかし、決定2016/1250(Decision 2016/1250)は無効であると宣言した。

第一に、CJEUは、EUの法律、特にGDPRが、その転送時またはその後、データが公安、防衛、および国家安全のために、問題の第三国の当局によって処理される場合があるとしても、加盟国に設立された事業者による第三国に設立された別の事業者への商業目的での個人データの移転に適用されると考える。CJEUは、第三国の当局によるこの種のデータ処理を理由に移転をGDPRの適用範囲から排除することはできないと付け加える。

そのような移転に関して必要な保護のレベルについては、越境移転目的のために定められた、適切な保護、強制力のある権利、および効果的な法的救済に関するGDPRの要件は、個人データが標準のデータ保護条項に従って第三国に移転されるデータ主体に対し、欧州人権憲章に照らし、GDPRによってEU内で保証されるレベルと本質的に同等のレベルの保護を提供しなければならないと裁判所は考える。 これらの状況では、EUに設立されたデータ輸出者と関係する第三国に設立された移転データの受領者との間で合意された契約条項、 第三国の公的機関による移転データへのアクセス、その第三国の法制度の関連する側面について、保護レベルの評価では考慮しなければならないと裁判所は規定する。

そのような移転に関連するDPAの義務については、裁判所は次のように考える。有効な欧州委員会の十分性認定がない限り、管轄DPAは、移転のすべての状況に照らして、当該国では標準データ保護条項が遵守されていない、または遵守することができない、あるいはEU法で要求されている移転されたデータの保護が他の方法では確保できないと判断し、EUに設立されたデータ輸出者自体がそのような移行を一時停止または停止していない場合、第三国への個人データの転送を一時停止または禁止しなければならない。

次に、CJEUは委員会決定2010/87(Commission Decision 2010/87)の有効性を検討する。CJEUは、決定の標準データ保護条項が本質的に契約上のものであることに鑑みて、データが転送される可能性のある第三国の当局を拘束しないという単なる事実によって、その決定の有効性は問題にされないものと考える。ただし、その有効性は、EU法で要求される保護レベルの遵守を実際に可能にする効果的なメカニズムが決定に含まれているかどうか、およびかかる条項に基づく個人データの移転が、これらの条項に違反した場合、またはそれらを遵守することが不可能な場合に中断されているかどうかに応じて決まるということを、CJEUは付言する。CJEUは、委員会決定2010/87(Commission Decision 2010/87)がそのようなメカニズムを確立していると認定する。この点に関して、CJEUは特に、決定は、データ輸出者とデータ受信者に、移転前に、関係する第三国でそのレベルの保護が尊重されているかどうかを検証する義務を課していることを指摘し、この決定により、受信者は標準データ保護条項に準拠できないことをデータ輸出者に通知しなければならず、準拠できない場合、データの移転を一時停止するか、データ輸出者との契約を終了する必要があることを指摘する。

最後に、CJEUは、GDPRから生じる要件に照らして決定2016/1250(Decision 2016/1250)の有効性を検討し、個人および家族の生活、個人データ保護、および効果的な司法に対する権利を保証する憲章の条項に照らして読む。この点に関して、CJEUは、決定2016/1250(Decision 2016/1250)は決定2000/520(Decision 2000/520)と同様に、米国の国家安全保障、公益、および法執行機関の要件が優先事項であり、したがって米国にデータが転送される人物の基本的権利への干渉を容認するという立場を明記していることに留意する。CJEUの見解では、欧州連合から米国に転送されたデータへの米国の公共機関によるアクセスおよび使用に関する米国の国内法から生じる個人データ保護に関する制限は、規定に基づく監視プログラムが厳密に必要なものに限定されない限り、委員会が評価した決定2016/1250(Decision 2016/1250)ではEU法に基づいて要求される要件と本質的に同等の要件を満たす方法で制限されない。これらの発見に基づいて、CJEUは、特定の監視プログラムに関して、規定は、プログラムを実施するために彼らが与える力に対する制限、または潜在的に標的とされた米国人ではない人への保証の存在を示さないと考える。規定は問題の監視プログラムを実施する際に米国当局が従わなければならない要件を定めているが、米国当局に対して法廷で訴訟を起こす権利をデータ主体に付与しないことをCJEUは付け加える。

司法保護の要件に関して、CJEUは、決定2016/1250(Decision 2016/1250)で委員会が取った見解とは対照的に、その決定で言及されたオンブズパーソンのメカニズムは、メカニズムによって提供されるオンブズパーソンの独立性と、オンブズパーソンが米国の諜報機関に拘束力のある決定を採用することを可能にするルールの存在の両方を保証するなど、EU法で要求されるものと実質的に同等の保証についてデータ主体に提訴機関の前に訴訟の理由を提供していないと判断する。 これらのすべての理由で、CJEUは決定2016/1250(Decision 2016/1250)0が無効であると宣言する。