Meta

越境データ流通の長期的な安定のために

日々数多くの欧米企業が、管轄区域間で安全かつ法に則ったデータ移転を行っており、国際的なデータ移転はグローバルな経済活動だけでなく、私たちの日常に不可欠な多くのサービスを支えています。

今年7月、欧州司法裁判所 (CJEU) は、欧州連合(EU)から米国へ個人データ移転を許容する法的枠組みである「プライバシーシールド」を無効とする判断を下しました。また同時に、欧州司法裁判所 (CJEU)は、EUから第三国へのデータ移転の代替的な法的仕組み「標準契約条項 (SCCs)」は、引き続き有効であると判断しました。しかし、プライバシーシールドの無効化は、米国のテクノロジー企業や、新規顧客獲得に向けオンラインサービスを利用しているすべての欧州事業者だけでなく、欧米間のデータ流通を行うすべての欧州事業者にとっても憂慮すべき状況を生み出しています。

欧州司法裁判所 (CJEU)が定めるルール適用方法の検討に向けた欧州データ保護会議(EDPB)の特別専門チームが設立されたこと、また、欧州委員会と米商務省が共同声明にて発表した、欧米間のプライバシーシールドを強化するための議論を開始したことを受けて、Facebook社は、国際的なデータ移転における長期的な安定性を維持する方法についての立場を示しています。国際ルールによって一貫されたデータ処理を支持する、というものです。

裁判所が認める安心・安全なデータ移転の仕組み

先日の判決で、欧州司法裁判所 (CJEU)は、米国の国家安全保障法への懸念を理由に、欧米間でデータ移転するためのプライバシーシールドの仕組みを無効にしました。この判決が下されるまでは、5,000社以上の企業がプライバシーシールドを適用していました。

裁判所は、データ送信者がデータ主体に高いレベルの保護を提供している場合につき、標準契約条項 (SCCs) は引き続き有効であると裁定していますが、プライバシーシールドを無効にするに至った理由は、標準契約条項(SCCs)に頼る企業間で様々な議論を引き起こしています。

多くの企業と同様にFacebook社は標準契約条項(SCCs)に頼っており、EU諸国以外の、米国を含む国々へデータ移転を行っています。7月の欧州司法裁判所 (CJEU)の判決以降、Facebook社は裁判所が定めた手順に則って、安全で確実な方法でのデータ移転ができるように努めてきました。これには、業界標準とされている暗号化やセキュリティ対策などの保護手段の確立や、データに対する法的要求の対応方法を治める包括的なポリシーが含まれます。

アイルランドデータ保護委員会(IDPC)は、Facebook社が管理する欧米間でのデータ移転に関する調査を行い、標準契約条項(SCCs)は欧米間でのデータ移転には適用できないとの考えを示しました。このアプローチは更なる審査の対象となりますが、肯定された場合、標準契約条項(SCC)を適用する事業者や、多くの人々や事業者が利用するオンラインサービスに影響を与える可能性があります。

安全で確実な国際的なデータ移転の方法を欠くこととなれば、新型コロナウイルス感染症からの回復を図るさなかにおいて、経済に大きなダメージを与え、EUにおけるデータ利活用事業者の成長を妨げることになります。その影響は、複数の業種にわたり規模を問わず様々な企業に及ぶと予想されます。想定される最悪の事態としては、ドイツのテック系スタートアップが米国を拠点とするクラウドプロバイダーを利用できなくなる可能性があります。スペインの製品開発会社は、複数のタイムゾーンにて事業を行うことができなくなる可能性があります。フランスの小売業者は、モロッコのコールセンターの維持が難しくなるかもしれません。

その影響はビジネスの世界にとどまらず、医療機関や教育機関といった重要な公共事業にも影響を及ぼす可能性があります。アイルランドの新型コロナウイルス感染症追跡アプリは、米国のプロセッサの1つにデータ移転するための仕組みの1つとして、標準契約条項(SCCs)を適用していると述べています。国際的なクラウドプロバイダーや電子メールプラットフォームは、ヨーロッパの学校、大学、病院へサービスを提供しています。日々、何百万もの人々がビデオ会議ソフトを使用して、他国に住む友人や家族とコミュニケーションをとっています。

利用者を守るための明確な国際ルール

経済活動には、欧米間のデータフローの長期的な保護のため、確固たる法による支配に支えられた明確な国際ルールが必要です。

EUはこれまで、利用者の保護、及び権限管理するデータ保護の枠組み構築を先導してきました。プライバシーに関する規制は、今後も発展しつづけ、そして国際的なルールはデータが保存されている場所に関わらず、一貫したデータ処理を保証します。したがって、Facebook社は、EUと米国の当局間ですでに進められている強化された欧米間の枠組み「プライバシーシールド・プラス」の可能性を評価するための取り組みを支持します。これらの取り組みにおいては、EU加盟国と米国が、共通の価値観を有し、法の支配の概念に基づく民主主義国家であり、また文化的、社会的、商業的に深く結びつき、データ監視権限とデータ実践が類似していることを理解する必要があります。

Facebook社は、他の国へのスムーズなデータ流通や法制度をサポートすると同時に、EUの利用者の基本的権利を尊重するという持続可能な枠組みを構築することは容易ではなく、時間を要することだと考えています。政策立案者が持続可能で長期的な解決策に向けて取り組んでいますが、私たちFacebook社と同様に、安心・安全なデータ移転に誠実に向き合い、これらの仕組みを利用してきた何千ものビジネスへの混乱を最小限に抑える為に、相応で実用的なアプローチを採用するよう、規制当局に強く求めます。

Facebook社の優先事項は、利用者、広告主、顧客、パートナーがデータの安全性を確保しつつ、Facebook社のサービスを継続的に享受できるようにすることです。当社は、さらなる指示を受けるまで、欧州司法裁判所(CJEU)の裁定を遵守しながら、データ移転を継続していきます。