判決の背景 EU/EEA 域外へ個人情報を移転する際は、その移転に対する法的根拠が求められます。 更に移転先の第三国内において、適切なレベルのデータ保護の保証が求められれています。 一般的には下記3点による保証が認められています。

  1. 欧州委員会によって十分性の認定がなされていること
  2. 個人情報の受取先と共に、標準契約条項(SCC)に署名していること
  3. 拘束的企業準則(BCR) の導入: EU データ保護機関による承認があること

EU ー US プライバシーシールドは、個人情報保護が自己規制、自己認証の米国企業にとってデータ移転の十分性の認定となっていました。つまり、十分性の認定があるとされていた米国企業への個人情報移転は、保護されていると認識されていました。標準契約条項(SCC)は欧州委員会が決定した契約書の雛型であり、受取先がその内容を認めている場合、データ移転時の保護を目的にこの条項を用いる事が可能です。

2020 年7月16日、欧州最高裁はプライバシーシールド、およびSCC の有効性に対する判決を下しました。これにより、プライバシーシールドは無効となり、SCC に関しては依然有効であるが、その有効性は個々に検討すべきであると判断されました。今回、EU 企業が米国、あるいは同様の監視法を有する州のデータ処理者、あるいはその他の管理者とSCC を個人データ保護の保証として用いる場合、その有効性を評価査定する権限がデータ保護機関に与えられることになりました。

企業にとっての注意点
まず最初に、各 EU 企業は米国内の企業に移転された個人データの有無を調べる必要があります。移転されたデータがある場合は、どのような根拠に基づいて移転されたか審査しなければなりません。もし、それがプライバシーシールドに基づくものであれば、GDPR下では今後不認可になりかねないので直ちに対処することをお勧めします。SCC に基づいての移転であれば、米国の受取先に、アメリカ国家安全保障局と連携している米国法上の彼らの義務を明記した文書を提出するように要請してください。データ移転を停止するべきかどうかを見極めるためには、これらの文書や有効なセーフガード (例、技術的対策)を検討してください。停止するべきと判断された場合には、既に米国に送られたデータは返送または破棄されなければなりません。

次に、個人情報保護方針のいかなるプライバシーシールドへの参照も削除して、修正する必要があります。

最後に、 SCC に基づく他国へのデータ移転に関しては充分な考慮が必要です。 EU企業、およびデータ受取先は関係する第 3 国の法的枠組みを協力して審査評価する必要があります。もしこの評価がSCC に準拠していないのであれば、EU内の人々の個人情報を保護する為に追加のセーフガードを取る必要があります。もしセーフガードの追加が法律上、あるいは技術上困難であり不可能であるならば、データ移転を中断してください。さらに、既に海外に送られたデータ は返送または破棄されなければなりません。企業グループ内での個人情報の移転においては、 拘束的企業準則(BCR)を作成し署名することも選択肢の一つです。