フランス国務院、AWS利用時の補完的措置について判決

2021.6.7　改訂版SCCに関する解説を公開しました

フランスにおける行政訴訟の終審裁判所である国務院(Conseil d’Etat)は、3月12日、同国の医療関係者団体および労組（原告）が、COVID-19ワクチン接種予約システムに関する社会福祉・健康省と同システム運営事業者と間の協業の差し止めを求めていた裁判で、原告の請求を退けた。

AWS欧州子会社は十分な保護を欠くとの原告主張

原告は、予約システムをホスティングするルクセンブルク国籍法人AWS Sarlは、米国Amazonの子会社として米国法の域外適用を受け、米国の外国情報監視法(FISA)および大統領令12333号に基づき、同国の諜報機関などから個人データアクセス要求を受ける可能性があるので、2020年7月欧州司法裁判所シュレムスII予備判決が示すように、GDPRが求める十分なデータ保護が確保されていないと主張した。

補完的措置によりデータ保護が確保しうるとの判断

国務院は、以下の理由により、個人データ保護の水準はリスクに照らし明確に不十分であるとは言えないとして、この請求を退けた。
同予約システムで管理されている個人データには、接種を受ける個人の身元に関する情報が含まれるが、その健康状態に関する個人データは含まれていない（リスク）
このようなデータは接種期日の後、最長3ヶ月で自動削除されるほか、データ主体の操作により削除することもできる
システム運用事業者とAWS Sarlとの契約により、公的機関から個人データへのアクセスの要求を受けた場合、AWS Sarlはその事実を被告に通知し、これについて法的に争う義務を課せられている
AWS Sarlが保存するデータは暗号化されており、その鍵はフランス国内の信頼しうる第三者が管理しているので、AWS Sarlが復号することはできない

求められる補完的措置のレベルについて重要な示唆

シュレムスII予備判決は、SCCを有効としつつも、移転先国の法制度・運用の状況によっては、EU水準のデータ保護を確保するために補完的措置が必要であるとの判断を示した。これを受け、EU加盟国のデータ保護当局代表者などから構成される欧州データ保護会議(EDPB)は、このような補完的措置の例を示すレコメンデーションを公表している。
この判決は、データ処理のリスクに応じて要求される補完措置のレベルに関する具体的な判断として初めてのものである。具体的には、(1)AWSに保存されるデータが暗号化され、復号に必要な鍵を信頼しうる第三者が管理していること、(2)AWSは公的アクセスを争うことを契約的義務として受諾していること、という２つの主要な補完的措置が、処理されるデータ（今回の場合、センシティブなデータは含まれていない）のリスクとの関係において、明確に不十分であるとは言えない (“le niveau de protection des données concernées n’est pas manifestement insuffisant au regard du risque invoqué”) と判断された。
多くの企業において見られる移転データへの平文アクセス、例えばグループ会社間の顧客・従業員に関するデータ共有のコンテクストにおいて有効な補完措置があるか、あるとすればどのような補完措置が必要なのかについては、今後の執行例・裁判例が待たれる。

【フランス国務院の判決・報道発表】
https://www.conseil-etat.fr/Media/actualites/documents/2021/03-mars/450163.pdf
https://www.conseil-etat.fr/actualites/actualites/le-juge-des-referes-ne-suspend-pas-le-partenariat-entre-le-ministere-de-la-sante-et-doctolib-pour-la-gestion-des-rendez-vous-de-vaccination-contre

関連情報

コンテンツ

【SCC関連コンテンツ】

【GDPR関連コンテンツ】

【域外移転関連コンテンツ】

【フランス関連コンテンツ】

【補完的措置関連コンテンツ】

サービス

【IIJ GDPR有事対応支援サービス】

インシデント発生時に72時間以内の監督機関への報告対応、社内関係部署のしかるべき連携、対データ主体の情報開示といったセンシティブかつ急を要する対応について、お客様のチームに合流してアドバイスを行います。またご依頼に基づき、実際の各種報告書面の作成等の必要な作業を行います。

【IIJ DPO/CPO補佐サービス】

IIJ DPO/CPO補佐サービスは、 IIJのプライバシー保護法コンサルタントがお客様のGDPR、及び各国プライバシー保護法により企業に求められるDPO（Data Protection Officer：データ保護責任者）とCPO（Chief Privacy Officer：最高プライバシー保護責任者）をサポートするアウトソーシングサービスです。

【IIJ DPOアウトソーシングサービス】

IIJ DPOアウトソーシングサービスは、EU GDPRで求められるDPO（Data Protection Officer：データ保護責任者）のアウトソーシングサービスです。
プライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームが、お客様のGDPR遵守対応をサポートします。

【IIJ EU代理人サービス】

EUに拠点をもたずEUと取引をする企業は、管理者、処理者に関わらず、EU代理人（EU representative）を選任する義務があります。IIJ EU代理人サービスは、EU各国（27カ国と英国）のEU代理人が、EU各国の監督機関やデータ主体（EUに所在する個人）から、英語、フランス語、ドイツ語、スペイン語、イタリア語での問い合わせに対応します（その他のEU公用語も対応可能です）。また、日本語でお客様に取り次ぐと共にGDPRの専門家としてのアドバイスも行います。

【IIJビジネスリスクアドバイザリーサービス】

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。