欧州データ保護監督機関(EDPS)は5月27日、米アマゾン・ドット・コムとマイクロソフトのクラウドサービスを欧州連合(EU)機関が利用していることについて、2件の調査を開始したと発表した。EU市民の個人データが米国に移転されている恐れがあるためで、EDPSはEU機関が適切に個人情報を管理しているか調査し、問題があれば是正を促す。
調査対象は、複数のEU機関が契約しているアマゾンのクラウドコンピューティングサービス「アマゾン・ウェブ・サービス(AWS)」およびマイクロソフトのクラウドサービスと、欧州委員会が利用しているマイクロソフトの「オフィス365」。
EU司法裁判所は2020年7月、欧州から米国への個人情報の移転に関する取り決めである「プライバシー・シールド」を無効とする判決を下した。これはEUと米国が2000年に結んだ個人情報の移転ルール「セーフハーバー協定」に代わり、16年7月に発効した枠組みだが、司法裁はEUの一般データ保護規則(GDPR)と同等の保護水準を確保していないと判断した。EDPSは判決を受け、域外への個人データ移転について報告するようEU機関に命じていた。
EDPSは声明で、EU機関では米IT大手が提供するクラウドベースのソフトウエアやインフラ、プラットフォームサービスへの依存度が高まっており、そのためEU市民の個人データが米当局に監視される懸念が生じていると指摘。問題となっている2社との契約は、いずれもプライバシー・シールドの無効判決が出る前の20年初めに結ばれたことや、アマゾンとマイクロソフトが同判決を受け、それぞれ新たな対策を講じると表明していることは承知しているものの、実際にEUのデータ保護ルールが完全に順守されているか細かく検証する必要があると説明している。
マイクロソフトの広報担当はロイター通信の取材に対し、「EU内の公的機関や商業部門の顧客の個人データについて米当局から提供を求められた際、当社に合法的な根拠がある場合は意義を申し立てることを確約している」とコメント。EU側のいかなる懸念にも迅速に対応できると確信していると強調した。