欧州司法裁判所は16日、欧州連合(EU)から米国に移転された個人データを保護する枠組み「プライバシー・シールド」について、これを無効とする判決を下した。米国でのデータ監視の懸念から、欧州と同等の保護基準が保障されない可能性があるためとしている。
EUは2018年5月に「一般データ保護規則(GDPR)」が施行し、域外への個人データの持ち出しを原則的に禁じた。ただし同規則では、個人データを受け取る国の法律が、GDPRで締結が義務付けられている「標準的契約条項(SCC)」のデータ保護規定に準拠している場合には転送が認められる。一方、米国とはプライバシー・シールドに基づいて転送を行っている。欧州司法裁は今回、米国では当局によるデータへのアクセスを巡る国内法が個人のデータ保護を制限するため、EUの保護基準には必ずしも合致しないと結論付けた。一方で、SCCの有効性は認めている。
今回の判決は、プライバシー・シールドの恩恵を受けていたソーシャルメディアをはじめ、欧州と米国間で情報を転送する金融機関や法律事務所、複合企業、自動車メーカーなど5,000社超に影響が及ぶ見込み。
EUは2000年に米国とデータ共有協定を締結。これに基づき、米国の大手企業など数千社が、EU市民の個人データを利用していた。しかし、オーストリアのプライバシー活動家マックス・シュレムス氏が米フェイスブックによる米国への個人データ転送を不服として訴訟を起こし、欧州司法裁判所は15年に同協定を無効とする判断を下した。このため、EUと米国は16年にプライバシー・シールドを導入していた。[EU規制]
Copyright (c) 1997- NNA All rights reserved.
※本コメント機能はFacebook Ireland Limitedによって提供されており、この機能によって生じた損害に対して株式会社NNAは一切の責任を負いません。