米国プライバシーシールド無効判決から2か月が経とうとしています。判決に伴い、各監督当局によるコンプライアンス遵守の取締りが以前にも増して厳格化されました。ところで、どれだけ多くの日本企業が判決後の新たな規則と真剣に向き合い、コンプライアンス遵守に取り組んでいるかご存知ですか?また、これがなぜ日本企業にとってそれほど重要なのでしょうか?Enobyteでは判決直後と1か月後に独自の動向調査を行いました。それを踏まえ、身近な疑問から対応の取り方まで、皆様に役立つ情報を分かりやすくまとめました。

シュレムスⅡ判決について

米国プライバシーシールドは、合法的に米国へデータを移転するための規定として個人情報保護が自己規制、自己認証の米国企業にとってデータ移転の十分性の認定となっていました。つまり、十分性の認定があるとされていた米国企業への個人情報移転は、保護されていると認識されていました。しかし、米国の公的機関が個人データの監視プログラムを有していたこと、さらにその個人データの処理に対しデータ主体が司法の場で争う権利が認められていなかったことから、2020年7月16日、欧州司法裁判所により米国プライバシーシールドの無効判決が下されました。

これにより、米国プライバシーシールドは無効、およびSCC(標準契約条項)は依然として有効であるが、その有効性は個々に検討すべきであると判断されました。

欧州司法裁判所は、各監督当局に取締りを強化するよう強く促しています。

判決から一か月

判決から一ヶ月以上が経過しましたが、依然として判決により定められた規定の遵守に着手していない、あるいはそれを意図的に無視している日本企業が大半を占めています。

None of your business(以下、NOYB)がEUおよびEEA域内の30カ国を拠点とする大手企業を対象に行った調査によると、101もの企業が規定に反しGoogle AnalyticsあるいはFacebook Connectを根拠にした個人データの取り扱いを行っています。NOYBが調査した企業の全体数は残念ながら公開されていませんが、これだけ多くの大手企業が未だにコンプライアンス違反をしているということは分かります。この記事をNOYB が公開した日と同日(2020年8月17日)、弊社Enobyteは独自で在ドイツ日本企業293社のウェブサイトのスキャンを行いました。その結果、293社中118社が依然として米国プライバシーシールドを使っていることが明らかになりました。実は、判決直後にも同様の調査を行っており、その結果は293社中118社でした。つまり、判決が下されてから一ヶ月以上が経った今日でもなお、判決で提示された規定の遵守に着手している企業が1社もないということです。

欧州司法裁判所では、以前から米国プライバシーシールドに対する不安の声に耳を傾けてきました。こうした米国プライバシーシールドを疑問視する声が上がり始めた2019年7月から、Enobyteはすでに無効判決を見越した対策準備を進めてきました。そのため、これまでGoogleやFacebookを根拠にEU-US間におけるデータの移転を行っていた弊社の顧客は、素早くかつスムーズに判決後の規定に対応することができています。

監督当局が徐々に取締りを強化していることからも、このまま規定を無視し続ければ企業が管轄監督機関による取締りを受け、トラブルを抱えるのも時間の問題です。そうは言っても、何から着手したら良いのかが不明な企業様も多いのではないでしょうか。

Enobyteでは、まず、独自で開発をしているウェブサイトのスキャンニングツールを用いて、各企業が認識すべき事柄と問題点を、皆様と一緒に確認することから始めていきます。問題箇所を明確にすることで、無駄のない効率的な対策を無理なく進めていくことができるためです。ドイツのデータ保護の歴史は、世界で一番長いということはご存知でしたか?長年の研究と豊富な経験で培ったトップレベルの技術と手法を駆使し、皆様が最も良い形でコンプライアンスを遵守するためのお手伝いをしています。今後、データ保護に関わる規定や法律にさらなる変更があったとしても動じない強い会社をEnobyteと共に作りませんか?

参考資料:
101 Complaints on EU-UE transfers filed