個人データを、ビジネスを守る、IIJ

マイクロソフト、EDPB方針を受けSCCに補完的措置を追加


 
マイクロソフト社は、7月16日に欧州司法裁判所(CJEU)が下したいわゆるシュレムスII判決および欧州データ保護会議(EDPB)が11月10日に採択したEU域外移転個人データを保護するための補完的措置に関する推奨事項(「EDPB推奨事項」)に対応して、同社のソフトウェア利用条件に組み込まれた標準契約条項(SCC)にいくつかの義務を追加することを11月19日に発表した。
 

SCCに追加された条項

同社がSCCに追加するのは以下の条項である。
* 政府機関から企業顧客が管理する個人データの提出を求められた場合、これを争う(challenge)法的な根拠がある場合には争うこと
* 政府機関から企業顧客が管理する個人データの提出を求められ、これに応じた場合において、提出がGDPRに違反する場合には、金銭による損害賠償を提供すること
 
これらの措置は、Office365、Azureなどにおける個人データ処理について、GDPRの適用を受ける企業顧客が個人データをEU域外に移転する場合の保護措置として適用される。上記の措置のうち、公的アクセスを争う義務については、EDPB推奨事項において契約的補完措置として例示されているものの一つであり、ほぼ同時に欧州委員会が公表したSCC改訂案でも組み込まれている。

今後、SCCへの補完的措置が拡大か

マイクロソフト社は、このような補完的措置をSCCに組み入れる企業は世界で初めてだと述べているが、今後、企業がSCCに同様の補完的措置を求める動きが拡大すると思われる。

ドイツ州当局が評価の声明

マイクロソフト社のOffice365の利用による米国への個人データ移転については、これまでドイツ各州のデータ保護当局が最も厳しい姿勢で懸念を表明してきたが、このマイクロソフト社の声明を受け、バーデン=ヴュルテンベルク州当局は、このような措置をSCCに追加したとしても、米国政府による個人データへの公的アクセスがEUの基準に照らし許容できないことには変わりないものの、同社の措置は正しい方向への重要な一歩であると評価するとの声明を発表した。
 
EDPB推奨事項およびSCC改訂案については、11月27日、弊社開催の緊急ライブセミナーで解説した。同セミナー動画は近く当ウェブサイトで公開する。
 
マイクロソフト社の声明:
 
EDPB推奨事項:
 
SCC改訂案:
 
ドイツ・バーデン=ヴュルテンベルク州当局の声明

関連情報

コンテンツ

SCC関連コンテンツ

GDPR関連コンテンツ

サービス

IIJビジネスリスクアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。

IIJ GDPR対応状況セカンドオピニオンサービス

GDPR対応で監督機関への説明責任を果たすために、お客様が作成したドキュメントをレビューし、アドバイスを行うサービスです。また、必要があればドキュメントの修正も行います。ビジネスリスクアドバイザリーサービスと合わせてご利用いただくことで、GDPR対応の確実性を向上できます。

IIJ DPOアウトソーシングサービス

IIJ DPOアウトソーシングサービスは、EU GDPRで求められるDPO(Data Protection Officer:データ保護責任者)のアウトソーシングサービスです。
プライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームが、お客様のGDPR遵守対応をサポートします。

IIJ EU代理人サービス

EUに拠点をもたずEUと取引をする企業は、管理者、処理者に関わらず、EU代理人(EU representative)を選任する義務があります。IIJ EU代理人サービスは、EU各国(27カ国と英国)のEU代理人が、EU各国の監督機関やデータ主体(EUに所在する個人)から、英語、フランス語、ドイツ語、スペイン語、イタリア語での問い合わせに対応します(その他のEU公用語も対応可能です)。また、日本語でお客様に取り次ぐと共にGDPRの専門家としてのアドバイスも行います。

関連記事