【一問一答】「標準契約条項」とは何か?:Googleも適用をはじめた、データ移転の条件を規定する枠組み

Googleは欧州における一般データ保護規則(GDPR)の遵守を維持する必要上、Google広告の利用規約を変更し、8月12日にその適用を開始しました。

変更の背景には、EUと米国のあいだで個人データの移転を可能とする「プライバシーシールド(Privacy Shield)」の枠組みについて、欧州連合(EU)の最高司法機関である欧州司法裁判所が、これを無効との判断を示したことがあります。

プライバシーシールドプログラムの無効判断は、すでに影響を及ぼしています。Googleは同社の広告および効果測定サービスに関連する個人データを、欧州経済地域、スイス、および英国から米国へと移転する際、これを適法に行うための手段として「標準契約条項(Standard Contractual Clauses:SCC)」を用いる旨を、Google広告のクライアント各社に告知しました。

プライバシーシールドの運用停止と標準契約条項の仕組みについて、広告関連の事業者およびパブリッシャーが知っておくべき基本事項を、いつもの「一問一答」形式で解説します。

◆ ◆ ◆

──そもそも、プライバシーシールドとは何ですか?

「EU-米国間プライバシーシールド(EU-U.S. Privacy Shield)」は2016年に欧州委員会によって採択され、以降、GDPRを遵守しつつEUと米国の間で個人データを移転するためのオフィシャルな仕組みとして機能してきました。

GDPRでは、EU外へのデータ移転に関しては、特定の状況下に限って認められると規定されています。そのひとつが、越境移転先のデータ保護レベルの適切性を欧州員会が認定することです。現在、アルゼンチン、カナダ、日本、ニュージーランドなどの国々がこの条件を満たしています。また米国に関しては、プライバシーシールドの枠組みで承認を受けた企業に限り、データ保護のレベルが適切であると認定してきました。

この枠組みは、EUからデータを受け取る企業に対して強力なデータ保護義務を課すとともに、米国政府による個人データへのアクセスに予防措置を施し、個人の保護と救済を約束するものです。ユニバーシティ・カレッジ・オブ・ロンドンの欧州研究所(University College of London’s European Institute)によると、5300社を超える企業がこのシステムを活用しています。

──では、プライバシーシールドに何が起きたのですか?

ときは2013年に遡ります。当時、オーストリア人の弁護士でプライバシー活動家でもあったマックス・シュレムス氏は、FacebookがEU内のユーザーデータを、同社のアイルランド子会社から米国の本社に移転したことについて、アイルランドのデータ保護当局に異議申し立てを行いました。このデータ移転は(プライバシーシールドの前身にあたる、セーフハーバー協定[the Safe Harbor agreement])に基づいて行われたものでしたが、この方法では米国の公的機関が当該データにアクセスすることに対して、ユーザーを十分に保護できないと主張したのです。結果、2015年の判決で欧州司法裁判所は、Facebookはセーフハーバーに基づいていないと認定しました。

その後、シュレムス氏はさらに新たな申し立てを行います。プライバシーシールドは名前を変えただけのセーフハーバーにほかならず、米国は同国に移転されるデータに十分な保護を与えていないと主張したのです。

そしてこの7月16日、欧州司法裁判所はプライバシーシールドはEU市民のプライバシーを十分に保護していないという判決を下しました。さらに7月23日、欧州データ保護会議(European Data Protection Board:EDPB)は、プライバシーシールドを法的根拠としてEU域内のデータを米国に移転していた企業に対して、何らの猶予期間も設けないと通告しました。

──標準契約条項の位置づけは?

標準契約条項は、欧州委員会のWebサイトからダウンロードできます。これはデータ輸入者とデータ輸出者の両者が履行しなければなりません。同条項は、この両者の義務を規定するとともに、移転データの所有者である個人の権利について定めています。

なお、条文の文言を変更することは許されませんが、当事者が事業関連の条項を追加することは認められています。

──標準契約条項はプライバシーシールドに取って代わるのでしょうか?

必ずしもそうとはいえません。独立系のデータ保護専門家であるエメラルド・デレーウ氏によると、判決は手段としての標準契約条項は有効だとする一方、データの移転は移転先の国の事情により必ずしも有効とはならないというのです。

別のいい方をするならば、プライバシーシールドでEU市民のデータを米国政府による覗き見から保護できないなら、この標準契約条項にできる道理がないということです。

EDPBが出した最新情報によると、EUから米国へのデータ移転は、標準契約条項に加えて「補完的な措置」が用いられる場合に限り、十分な保護レベルと認められます。ただし、補完的な措置がどのようなものであるのか、EDPBは具体的に定義していません。データの暗号化は十分に考えられますが、詳しい説明はないのです。近いうちに更新情報が出されるでしょう。

──プライバシーシールドがなくなり、「補完的な措置」がはっきりしないなか、何か代替手段はあるのでしょうか?

大手のテクノロジー企業、とりわけクラウド事業者たちは、EU外へのデータ移転を避けるために欧州に相当規模の事業所を設置しています(この件に関しては今週、TikTokが欧州ユーザーのデータを保管するために、アイルランドに5億ドル(約526億円)規模のデータセンターを建設する意向を発表しています)。

とはいえこれは、中小の企業にとっては、実現不可能な対策かもしれません。

前出のデレーウ氏は、取引先のクラウドサービス事業者に相談してみるのも手段のひとつだと述べています。割増料金の支払などにより、EUのデータをEU内で確実に保管してもらえるかもしれません。

また、法律事務所 ブライアン・ケイブ・レイトン・ペイズナーLLP(Bryan Cave Leighton Paisner LLP)の所属弁護士、クリスチャン・オーティ氏は次のように述べています。「リスクを最小限に抑えるなら、データは基本的にいまあるところで保管し、ジオフェンス(仮想的な地理的境界線)を復活させ、グローバル化を縮小し逆行させることだ」。

米国に本社を置く、いくつもの多国籍ベンダーと連携するパブリッシャーにとって、これは必ずしも容易ではありません。「GDPRは誰にとってもコストのかかる制度だが、中小の企業にとってはとくに厳しいだろう」とオーティ氏は言っています。

──パブリッシャーをはじめ、個人データをEU外に輸出している「データ管理者」がいますぐすべきことは?

プライバシーシールドの活用を停止して、リスクアセスメントを実施することです。

Googleの標準契約条項への移行について、法律事務所ミシュコン・デレヤのパートナー弁護士であるアダム・ローズ氏は「リスクを負うのはGoogleではなくパブリッシャーだ」と指摘しています。同氏はさらにこう警告します。「Googleはデータの処理者で、パブリッシャーはデータの管理者だ。そして処理されるデータに何かあれば、責任を負うのは原則としてデータ管理者である」。

[原文:WTF…are standard contractual clauses

LARA O’REILLY(翻訳:英じゅんこ、編集:村上莞)