欧州司法裁判所は14日、個人情報の移転に関する欧州連合(EU)・米間の取り決めである「プライバシー・シールド」を無効とする判決を下した。EUの一般データ保護規則(GDPR)と同等のデータ保護水準を確保していないと判断したもの。現在5,000社を超える米企業がプライバシー・シールドを活用しており、欧米間のデータ移転に支障が出る可能性がある。
EUが2018年5月に導入したGDPRは、EU加盟国にノルウェー、リヒテンシュタイン、アイスランドを加えた欧州経済地域(EEA)の域外に個人データを持ち出すことを原則として禁止しており、違反した場合は高額の制裁金を科される可能性がある。欧州委がEUと同等のデータ保護水準を確保していると認めた国・地域に関しては、例外的にデータ移転を認める「十分性認定」の仕組みがあり、EUと日本は19年1月に相互に十分性を認定している。
プライバシー・シールドは、EUと米国が2000年に結んだ個人情報の移転ルール「セーフハーバー協定」に代わり、16年7月に発効した枠組み。セーフハーバー協定を巡っては、米国家安全保障局(NSA)などがネット企業を通じて大規模な情報収集活動を行っていたことが明るみに出た「スノーデン事件」をきっかけに、EU内で見直しを求める声が高まるなか、欧州裁が15年に「個人情報の保護が十分ではない」として、同協定を無効とする判断を示した経緯がある。
今回の事案はオーストリアの活動家が米フェイスブックに対し、アイルランドの国際本部から米本社に送られた個人情報がプライバシー・シールドの下でも当局によって監視されている懸念があると主張し、データ移転の合法性について訴訟を提起していたもの。欧州裁は判決で、個人情報が第三国の国内法によって政府機関の監視対象になる場合でも、EUからのデータ移転はGDPRの適用を受けると指摘。プライバシー・シールドに基づく個人データの保護水準はEUと同等のレベルにはないとの判断を示し、同枠組みは無効と結論づけた。
一方、GDPRに沿って個人データを域内から第三国に移転する際に締結される「標準契約条項(SCC)」に関しては、EUと同等の保護レベルを保証する実効性が備わっていると評価し、有効性を認めた。