インターネットイニシアティブ(IIJ)は8月17日に、インターネット上の個人情報保護に関するプレス向けの勉強会を開催した。今回はEUで判決の出た、いわゆる「シュレムスII予備判決」について、その背景と日本企業への影響について解説がなされた。
そもそも「シュレムスII予備判決」って何?
本勉強会は、IIJのビジネスリスクコンサルティング本部の鎌田博貴副本部長が解説を担当して行われた。
去る7月16日、欧州司法裁判所において、2016年にEUと米国政府の間で締結された個人データの保護協定「プライバシーシールド」(EU-US Privacy Shield)が無効であるという判決を言い渡した。これは、オーストリアの弁護士でプライバシー保護活動家であり、個人データ保護に関するNGO「noyb」を主催するマクシミリアン・シュレムス氏によって、アイルランドのデータ保護委員会(DPC)に対して、Facebookがアイルランドから米国へ、EU市民の個人データを移送差し止めを求めて申し立てていた件で、アイルランドDPCが欧州司法裁判所(CJEU)に判断を求めていたもの。
この裁判自体は、2013年の、いわゆるスノーデン事件をきっかけにスタートしたもの。シュレムス氏は、米国政府の諜報機関が行なっている情報監視により、EU市民の個人データが適切に保護されていないため、GDPRが定めた個人情報データをEU域外に移転する行為を適法化する手続きの一つである「標準契約条項」(SCC)を根拠とする、Facebookのアイルランドから米国へのデータ移転は違法であり、アイルランドDPCはこれを禁止せよ、と主張していた。
これに対し、アイルランドDPCは、一度はプライバシーシールドの前身となった「セーフハーバー協定」を根拠に訴えを却下。しかしシュレムス氏はアイルランド高裁に控訴し、アイルランド高裁はCJEUに判断を委ねる。CJEUは2015年、「セーフハーバー協定無効」の判断を下す。しかしFacebookはアイルランドと米国本社の間でSCCを締結。さらに翌2016年、米国とEU間でプライバシーシールド協定が締結される。シュレムス氏はSCCに基づいてデータ移転停止をアイルランドDPCに求めたという流れだ(二度目の裁判になるため、「シュレムスII」と名付けられた)。
アイルランドDPCは概ねシュレムス氏の主張を認めつつ、EUがプライバシーシールドに関する決定において、米国はEU並みの個人情報保護を保証していると認定していたことを問題視。アイルランドDPCが独自にこの決定を覆すわけにはいかないため、CJEUによる判断を求めていた。予備判決の内容は判例となり、EUの加盟国はすべてこの判例に拘束されることになる。
CJEUの判決としては、米国政府の諜報活動そのものは合法(欧州でも各国の諜報機関があり、公共の秩序維持や犯罪防止にも使われているため、諜報活動を禁止するわけにはいかない)としつつ、米国の諜報機関による諜報活動はEU並みの基本権保護措置を提供していないと認定。特に対象を特定せず、海底ケーブルやキャリアの通信などをまとめて盗聴(バルク盗聴)したり、クラウドサービス事業者からまとめてデータの提供を受ける(バルクデータ提供)といったことや、米国市民や米国居住者以外は、合衆国憲法修正第4条(不合理な捜査・押収禁止)による保護の対象外であることを問題視し、プライバシーシールドが無効であると結論付けた。
ただし、この判決では同時に、データの移転先国の法制度およびその運用により、個人データがEU並みに保護されない場合、そのデータの移転を止めるメカニズムがSCCに組み込まれているため、SCCは枠組みとして有効であることも確認された。同時に、SCCの当事者であるデータの輸入者と輸出者は、SCCだけではEU並みの個人情報保護が確保できない場合、これを補完する措置を取らねばならない。シュレムス氏はこれをもってデータ移転停止を主張したわけだ。