2020年7月に、EU（欧州連合）加盟国各国から米国への個人データの移転を合法的に行うための枠組みである、いわゆる「プライバシーシールド」を無効とする判決が、欧州司法裁判所によって下された。判決に至る経緯と無効判決のポイントおよび、データビジネスへの影響を含め、その意義を中崎尚弁護士に聞いた。

域外への個人データの移転を規制する欧州のイメージ（写真／Shutterstock）

［画像のクリックで拡大表示］

　2015年に、当時「プライバシーシールド」と同様の役割を果たしていた「セーフハーバー協定」を無効とする判決を、同じく欧州司法裁判所が下した際には、世界のデータ流通に大きな影響を与えるものとして激震が走った。「プライバシーシールド」を無効とする今回の判決も同様のインパクトが危惧されている。

Q1　「プライバシーシールド」を無効とする判決が下されたとのことですが、具体的にはどういうことか。

A1　 EU加盟国から非加盟国に個人データを移転することは原則禁止されており、合法的に移転するには、あらかじめデータ主体の明白な同意（explicit consent）を得ておくなど、厳しい要件をクリアする必要がある。ビジネスの実務で、このような厳格な要件をクリアしようとすると、相当の負担がかかるため、事業者の重荷になっている。

　EUからEUと同等のデータ保護水準であると認められ、ホワイトリストに掲載された各国に個人データを移転する場合、これらの重荷を避けることはできるが、ホワイトリストの掲載国はかなり限定されたままだ。日本はホワイトリストに含まれているが、米国は依然として含まれていない。

　他方、EUと米国は経済的結びつきが伝統的に強く、大量の個人データ移転が行われてきた歴史があり、米国からは、米国への移転については厳しい要件を免除してほしい、特別扱いしてほしいという強い要請が存在していた。ホワイトリストに載せることもできない米国を特別扱いしてよいのか、という意見もある中、政治的妥協の産物として、「セーフハーバー協定」という枠組みが設けられ、この枠組みに基づいて、EU加盟国から米国への個人データの移転が継続されてきた。

　ところが、米国内での個人データの取り扱いに問題があるという意見が強まり、15年に、欧州司法裁判所から、この枠組み自体が無効であるという判決が下された。この結果、同協定に基づいて、EU加盟国から米国に個人データを移転することができなくなり、米国企業を中心に世界中のビジネスはパニックに陥ることになった。EUおよび米国は、事態を早急に収拾すべく、政府間交渉を進め、16年7月に、EU加盟国から米国へ個人データを合法的に移転する新たな枠組みとして「プライバシーシールド」が欧州委員会によって採択され、翌8月より早々に本格稼働するに至った。今回の判決は、この「プライバシーシールド」を無効とするものだ。