フランスで欧州米国間での健康データ転送を回避するため該当サービスに米国クラウドプラットフォーム利用禁止の勧告

Mediapartの報道によると、フランスのデータ保護機関であるCNIL(La Commission Nationale de l’Informatique et des Libertés)は健康データを扱う同国のサービスに対していくつかの推奨事項を発表した。これらのサービスはMicrosoft Azure、Amazon Web Services、Google Cloudといった米国のクラウドホスティング企業の利用を完全に避けるべきだという。

これらの勧告は、2020年7月に欧州の最高裁判所が下した画期的な判決を受けたものだ。この判決は「Schrems II」と呼ばれ、EUと米国のデータプライバシーシールドを無効にした。プライバシーシールドの下では、企業はEUから米国にデータ処理を一括で外注することができたが、米国の監視法に対する懸念から、この仕組みはもはや認められなくなった。

CNILはさらに一歩進んで、健康データを扱うサービスや企業も米国企業との取引を避けるべきだと述べている。これはヨーロッパのデータをヨーロッパで処理するだけではない。米国の規制や規則に支配されることを避けようとするものだ。

規制当局はフランスの最高裁判所(Conseil d’État)にこれらの勧告を送った。組織と組合のグループであるSantéNathonは当初、フランスのヘルスデータハブに関する懸念をCNILに通告していた。

フランスは現在、国レベルで健康データを保存するプラットフォームを構築中だ。希少疾患の研究を容易にし、人工知能を使って診断を改善するためのハブを構築しようとしている。さまざまなソースからのデータを集約し、それらの特定のケースについて、公的機関や民間機関と一部のデータを共有できるようにすることが想定されている。

フランス政府は元々、Microsoft(マイクロソフト)とそのクラウドプラットフォームであるMicrosoft Azureとの提携していたため、技術的な選択は物議を醸している。

他の多くの企業と同様に、マイクロソフトはEUと米国のデータ転送については標準契約条項に依存している。しかし、EUの司法裁判所は、プライバシーや監視に関して、安全でない国にデータが転送されている場合は、EUの規制当局が介入しなければならないことを明確にした。

CNILは米国企業がヨーロッパでデータを処理しても、FISA 702やその他の監視法に該当すると考えている。データは依然として米国当局の手に渡るだろう。別の表現をすれば、Schrems IIはまだ展開中だが、CNILは今のところ、健康データの取り扱いに細心の注意を払っている。

フランスのデジタル担当相であるCédric O(セドリック・オ)氏は「プライバシーシールドが無効とされた今は、健康大臣のOlivier Véran(オリビエ・ベラン)氏ともに、ヘルスデータハブを(Azureでなく)フランスやヨーロッパのプラットフォームに移すことを検討している」とPublic Sénatに語っている

フランス政府は現在、ヘルスデータハブのための別のソリューションを探している。近い将来、フランスの最高裁がCNILの勧告を認めたら、DoctolibやAlanのような健康データを扱うフランスの企業にも、多少その効果が及ぶだろう。

カテゴリー:セキュリティ
タグ:フランスMicrosoft、ヨーロッパ

画像クレジット:Irwan Iwe / Unsplash

原文へ

(翻訳:iwatani、a.k.a. hiwa