欧州の主要データ保護規制当局は、EU機関による米国クラウド大手Amazon(アマゾン)とMicrosoft(マイクロソフト)のそれぞれのクラウドサービス利用について、調査を開始した。欧州の団体、機関、官公庁は、AWSおよびMicrosoftの間でいわゆる「Cloud II」契約を締結している。
欧州データ保護監察機関(EDPS)によると、欧州委員会によるMicrosoftのOffice 365の使用についても、以前の勧告への準拠状況を評価するための独立した調査が開始されたという。
Wojciech Wiewiórowski(ヴォイチェフ・ヴィヴィオロフスキ)氏は、2020年10月に発表されたより広範なコンプライアンス戦略の一環として、EUのクラウドサービスの利用を調査している。当該戦略は、欧州司法裁判所(CJEU)による画期的な裁定(通称Schrems II)を受けたものだ。この裁定は、EU-米国間の「Privacy Shield」データ移転協定を無効にし、EUユーザーの個人データが大規模監視体制によって危険にさらされる可能性のある第三国に流出している場合の、代替的なデータ移転メカニズムの実行可能性に疑問を投げかけるものだった。
EUの最高プライバシー規制当局は去る2020年10月、EU加盟国以外の国への個人データの移転について報告するようEU加盟国の機関に要請した。EDPSが米国時間5月27日の発表したところによると、この分析によってデータが第三国に流れていることが確認されたという。また、特に米国への流入が顕著であり、その理由として、EU機関が大手クラウドサービスプロバイダ(その多くは米国を拠点としている)への依存を高めていることが挙げられる。
驚くことではない。しかしEDPSは、Schrems II判決以前に署名された2社との契約がCJEUの判断に沿っているかどうかを見極めたいと考えており、次のステップは非常に興味深いものになるだろう。
実際、EDPSはその準拠性について懸念を示しており、将来的にはEU諸機関に対して代替のクラウドサービスプロバイダ(法的な不確実性を回避するためにEU内に設置されている可能性が高い)を探すことを要請する可能性もある。今回の調査は、規制当局主導による、EUの米国クラウド大手からの移行の始まりとなるかもしれない。
ヴィヴィオロフスキ氏は声明で次のように述べている。「EUの機関や団体からの報告の結果を受けて、私たちは両社との契約が特別な注意を要するものであることを特定しました。それが今回の2つの調査を開始することにした理由です。『Cloud II契約』は『Schrems II』判決前の2020年初めに署名されたこと、そしてAmazon(アマゾン)とMicrosoftの両方がその判決に沿うことを目的とした新たな措置を発表したことを認識しています。しかし、これらの措置はEUのデータ保護法を完全に遵守するのに十分ではない可能性があり、適切に調査する必要があります」。
AmazonとMicrosoftは、EU機関とのCloud II 契約に適用した特別措置に関する問い合わせに応じているところだ。
【更新1】現在、Microsoftの広報担当者が次のような声明を出している。
当社は、欧州データ保護監督機関から提起された質問に答えるために、EU機関を積極的に支援し、いかなる懸念にも迅速に対応する自信があります。EUのデータ保護要件を確実に遵守し、それ以上の成果を上げるための当社のアプローチに変更はありません。当社の「Defending Your Data」イニシアチブの一環として、EUの公共部門または商業部門のお客様のデータを求める政府の要請に対し、我々に合法的な根拠がある場合はすべて異議を申し立てることを約束しています。また、適用される個人情報保護法に違反してデータを開示し、損害を与えた場合には、ユーザーに金銭的な補償を行います。当社は今後も規制当局の指導に対応し、顧客のプライバシー保護の強化を継続的に図っていきます。
【更新2】Amazonからも次の声明が届いている。
EUの機関は、Schrems IIの要件に準拠してAWSサービスを利用することができ、お客様が欧州データ保護監察機関(EDPS)にそのことを実証してくださることをうれしく思います。顧客データを保護するための当社の強化された契約上のコミットメントは、Schrems II判決で要求されている以上のものであり、法執行機関の要求に挑戦してきた当社の長年の実績に基づいています」と述べている。
EDPSは、EUの機関に模範的な主導を求めていると表明した。欧州データ保護委員会(EDPB)は2020年、Schrems IIの判決の意味するところを実行するための規制猶予期間はないと公に警鐘を鳴らしたが、未だにデータ移転に関する本格的な取り組みがなされていないことを考えると、今回の動きは重要に思える。
対応が遅れていた理由として最も可能性が高いのは、法的基準を満たすことを期待して契約に加えられた、かなりの量の向こう見ずな反応や表面的な変更だろう(ただし規制当局による審査はまだ行われていない)。
EDPBからの最終的なガイダンスも保留中だが、当委員会は2020年秋に詳細な勧告を提示している。
CJEUの判決は、当該領域のEU法は看過されるべきではないことを明確に示した。EUのデータ規制当局がEUのデータを外部へ持ち出している契約を精査し始めることで、必然的にこれらの取り決めのいくつかは不十分であると判断され、関連するデータフローは停止を命じられることになるだろう。
ちなみに、長期戦となっているFacebook(フェイスブック)によるEU-米国間データ移転をめぐる苦情申し立ては、まさにそのような可能性に向けての歩みを遅らせている。申し立ての発端は、EUのプライバシー活動家で弁護士でもあるMax Schrems(マックス・シュレムス)氏によって2013年に提起された訴えにある。
2020年秋のSchrems II判決を受けて、アイルランドの規制当局はFacebookに対し、欧州の人々のデータを海を越えて移動させることはできないとする仮命令を出していた。Facebookはアイルランドの裁判所でこれに異議を唱えたが、今月初めにはその手続きを阻止する試みに失敗した。そのため、数カ月以内に業務停止命令を受ける可能性がある。
Facebookがどう反応するかは誰もが予想しているところだが、シュレムス氏は2020年夏TechCrunchに対し、同社は最終的にEUユーザーのデータをEU内に保存し、サービスをフェデレートする必要があると示唆している。
Schrems IIの判決は、法的な不確実性の問題を解決するために自らを位置づけることができるEUベースのクラウドサービスプロバイダにとって、一般的には朗報になりそうだ(米国ベースのクラウド大手ほど競争力のある価格や拡張性がない場合であっても)。
一方、CJEUの裁判官が繰り返し指摘しているように、EUの人々のデータへの脅威とみなされないようにする目的において、米国の監視法を独立した監督下に置き、市民以外の人々が利用可能な救済メカニズムを確立するには「数カ月」よりもはるかに長い時間がかかる可能性が高いだろう。それも米国当局が自らのアプローチを改革する必要性を確信することができるのならではあるが。
それでも、EUの規制当局が最終的にSchrems IIに対して行動を起こすようになれば、米国の政策立案者の意識を監視改革に集中させるのに役立つかもしれない。そうでなければ、ローカルストレージが将来の新しい標準になることもあり得る。
関連記事
・フェイスブックのEU米国間データ転送問題の決着が近い
・EUがゲイツ氏のBreakthrough Energyと提携、クリーンテックの開発・浸透加速へ
・不正なやり方でCookie同意を求めるウェブサイトの粛清が欧州で始まる
・EUの新型コロナワクチン「デジタルパス」が稼働、ドイツなど7カ国が先行導入
・【コラム】欧州のAIに必要なのは過剰な規制ではなく、戦略的なリーダーシップだ
・英国は大手テック企業を規制するにあたり画一的なアプローチを採用しない方針
画像クレジット:Jason Alden / Bloomberg / Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Dragonfly)
