米への個人情報移転ルールを無効と判断、欧州司法裁

【ブリュッセル=竹内康雄】欧州連合（EU）の最高裁判所にあたる欧州司法裁判所（ECJ）は16日、欧州から米国への個人情報移転のルールである「プライバシー・シールド」を無効とする判断を示した。一部で情報の移転が止まる可能性があり、データビジネスで先行する米国企業は対応を迫られそうだ。

プライバシー・シールドは米国とEUが16年に締結した取り決め。これまで米企業はEUのプライバシー原則を順守すると米商務省に登録すれば個人データを持ち出すことができた。

個人情報を移転するためのルールは別にあるため、すべての情報が直ちに止まるわけではない。ただ5千社を超える米企業がプライバシー・シールドを使っており、米欧当局や米企業は対応を迫られる。

今回の判断は最終審で上訴できない。欧州司法裁判所は声明でプライバシー・シールドはEUが18年に導入した一般データ保護規則（GDPR）に適合していないと説明した。情報の移転先である米国など第三国でも、EU法が求める個人情報保護と同等の水準が確保される必要があると主張した。米当局による監視の懸念があり、EU市民の情報が十分に保護されない可能性があるとの見解と受け取れる。

ECJは一方で、EUの「標準契約条項（SCC）」と呼ばれるデータ移転契約のひな型の有効性は認めた。SCCは個人データの移転をGDPRの内容に沿った形で実施するためのルールで、企業はこの枠組みを使うことができると指摘した。多くのIT（情報技術）企業はこうした枠組みに基づいたデータ移転の体制を整えており、日本企業も同じ枠組みを使っている。

海外の個人情報保護ルールに詳しい石川智也弁護士は、「顧客分析などで欧州から米国にデータを移転していた米国企業の一部は今後、移転契約を結び直すなどの対応を迫られる」と指摘する。

日本企業の影響は少ないとみられるが、ブリュッセル在住の杉本武重弁護士は「日本の大手企業の一部も米国に法務部門などを持ち、欧州の顧客データなどを移転している。今回の判決内容に沿った体制の見直しが必要になる」と指摘する。

EUのレインデルス欧州委員（司法担当）は「解決策を見つけるために、米国と議論していきたい」と語った。

オーストリアの活動家で弁護士のマックス・シュレムス氏が、プライバシー・シールドのもとでも自らの情報が監視されていると懸念し、同氏の情報を持つ米フェイスブックを訴えていた。同氏はツイッターで「我々のプライバシーにとって100%の結果だ」と歓迎した。

シュレムス氏は米国家安全保障局（NSA）のスノーデン元職員が米当局が個人情報を監視していたことを暴露したのをきっかけに、かつての米EUの取り決め「セーフ・ハーバー」は個人情報が適切に保護されていないと訴え、欧州司法裁判所が15年、これを無効にした経緯がある。

米EUは16年に新たな枠組みであるプライバシー・シールドをつくり、EUはGDPRを制定した。プライバシー・シールドは米当局による大規模な個人情報監視をできなくすることを前提とした米EU間での取り決めだったが、欧州の一部では懸念は払拭されていないとの不満がくすぶっていた。