| 執筆者 | 渡辺 翔太 (野村総合研究所) |
|---|---|
| 研究プロジェクト | 現代国際通商・投資システムの総合的研究(第V期) |
| ダウンロード/関連リンク |
このノンテクニカルサマリーは、分析結果を踏まえつつ、政策的含意を中心に大胆に記述したもので、DP・PDPの一部分ではありません。分析内容の詳細はDP・PDP本文をお読みください。また、ここに述べられている見解は執筆者個人の責任で発表するものであり、所属する組織および(独)経済産業研究所としての見解を示すものではありません。
貿易投資プログラム(第五期:2020〜2023年度)
「現代国際通商・投資システムの総合的研究(第V期)」プロジェクト
EUは1995年のデータ保護指令において、EU域外への個人データの移転を原則禁止し、域外国がEU以上の保護水準を設定している(すなわち十分性のある)場合に限ってデータの域外移転を認める制度を導入した。この移転制限は同指令を発展させた2018年の一般データ保護規則(GDPR)でも引き継がれている。
このデータ移転制限によって大きな影響を受けたのが米国である。すでにEUに対してさまざまなサービスを提供していた米国企業の個人データ流通を引き続き確保する必要がある一方、米国はデータ保護に係る包括的な法令を整備できておらず、EUからの十分性を得ることはできなかった。
そこで米国とEUはセーフハーバー協定と呼ばれる二国間協定でこれを補完することにした。しかしスノーデン事件をきっかけとして米国の諜報活動がEU市民に対して十分な保護を与えていないことが明らかとなり、同協定の有効性にも疑義が生じた。具体的には、オーストリア市民のSchrems氏がFacebook Irelandによる米国への個人データの移転を禁止するようアイルランドデータ保護監督機関(DPA)に請求した。これはEU法の解釈にかかわるため欧州司法裁判所(CJEU)が先決裁定を行うこととなり、CJEUは同協定をEU法に反して無効とした(Schrems事件)。
この判断を受けて米国側でも大統領令等を通じた担保措置がなされ、セーフハーバー協定を改正したプライバシーシールド(PS)が策定されたが、Schrems氏はさらにFacebook社による米国本社への個人データの移転の根拠とされている標準契約条項(SCC)やセーフハーバー協定の有効性等について訴訟を提起し、再度CJEUへの先決裁定がなされた。この判断が、本稿で扱うSchremsⅡ事件である。
上記のように、ビジネス上のデータ流通維持の要請と、他方でEUと米国の法制度の相違などからEUと米国間の越境移転に関する対立は非常に大きなものがある。米国とはデータの自由流通を、EUとは相互の十分性認定を通じたデータ流通を目指す日本のデータ関連政策立案にとっても両者の関係性は重要である。特に日本が推進する「信頼ある自由なデータ流通」の観点で、まさに相手を「信頼」できるかどうかについて判断したのが本判決であり、特に米国による監視活動について、CJEUがいかなる基準をもってGDPR上の信頼性を判定したのか、また、この判決によってEUと米国間のデータ流通がどのような影響を受けるのか、着目された。
本判決は次の表に記載した主に4つの論点について判断を下している。まず、PSをもってしても米国のデータ保護は欧州の水準に達しないと判断しており、GDPR下でも従来の基準で外国の監視活動のデータ保護水準が評価された点が重要である。また、十分性認定があるとしても、DPAが苦情処理の権限の中で越境移転の停止を命令できること、SCCは有効であるが相手先国のリスクに応じ追加的保護措置をとる必要があることを判断した。
| # | 論点 | 概要 | 判決における結論 |
|---|---|---|---|
| 1 | 安全保障例外の該当性 |
|
|
| 2 | 安全保障例外の該当性 |
|
|
| 3 | DPAの権限 |
|
|
| 4 | PSの有効性 |
|
|
判例の示唆として、日本政府はDFFT等において政府による民間データへのアクセスの規律を検討しているが、米国の監視活動への審査を元に、EUも方向性を同じくする点が明らかになった。
また、EU加盟国政府の監視活動がGDPRの適用外とされる中、外国にのみデータ保護を求めるのは内外差別との米国からの批判について当否を検討した。これはいわば内国民待遇として、将来の越境データ移転制限の妥当性を審査する1つのルールとなり得るものであるが、結論として、他の国際条約や国内の憲法上の保障を含めると、EU加盟国については必ずしもこのような批判は妥当でないことを論じた。
