個人データを、ビジネスを守る、IIJ

独バイエルン州当局、Mailchimpへのデータ移転を違法と判断


2021.6.7 改訂版SCCに関する解説を公開しました

Mailchimpへのメールアドレス移転は違法

オーストリアのプライバシー活動家マックス・シュレムス氏が主催するNOYBによるGDPR関連情報提供ウェブサイトGDPR HUBによると、ドイツ・バイエルン州のデータ保護当局BayLDAは、同州ミュンヘンを本拠とする女性向け生活スタイル雑誌FOGSが米国企業The Rocket Science Group LLC(以下「Rocket」)が運営するメールマガジン管理サービスMailchimpを利用し、同社にドイツに居住する個人のメールアドレスを移転していたことに関する読者からの苦情について、3月15日、FOGSの行為はGDPRに違反するとの判断を示した。

Mailchimp運営者は米国FISA702適用対象の可能性

FOGSからRocketへのデータ移転は、GDPR第46条の標準契約条項(SCC)に基づくデータ移転契約を保護措置として行われていたところ、BayLDAは、Rocketは米国の外国情報監視法(FISA)第702条の適用を受ける電子通信サービス提供者に該当し、移転されたメールアドレスは、米国の諜報機関等によるアクセスの対象になる可能性があると判断した。昨年7月の欧州司法裁判所(CJEU)シュレムスII判決によれば、米国に個人データを移転する場合、公的アクセス制度の運用の影響によりEU水準のデータ保護が阻害されるかどうかについて評価し、必要に応じて補完的措置をとらなければならないところ、FOGSおよびRocketはこのような評価を行っていないとBayLDAは判断した。

FOGSはMailchimp利用を中止

FOGSがMailchimpの利用を直ちに中止することを宣言したことから、BayLDAは公式の行政処分を行わなかった。BayLDAは本件の処理について公表していないが、苦情申立人に対して報告の書簡を送達し、これをGDPR HUBが公開したことから本件が明らかになった。

日本企業が留意すべきこと

Mailchimpほか、米国のメールマガジン管理サービスを利用している日本企業は、サービス提供者と協力して、EDPBガイドラインに従って、SCCを補完する措置を検討することが必要である。

【GDPR HUBが公表したBayLDAから苦情申立人への書簡】
https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV
【CJEUシュレムスII判決】
https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:62018CJ0311
【FOGS】
https://fogsmagazin.com/
【Mailchimp】
https://mailchimp.com/

関連情報

コンテンツ

SCC関連コンテンツ

GDPR関連コンテンツ

域外移転関連コンテンツ

ドイツ関連コンテンツ

補完的措置関連コンテンツ

FISA(外国情報監視法)関連コンテンツ

サービス

IIJ GDPR有事対応支援サービス

インシデント発生時に72時間以内の監督機関への報告対応、社内関係部署のしかるべき連携、対データ主体の情報開示といったセンシティブかつ急を要する対応について、お客様のチームに合流してアドバイスを行います。またご依頼に基づき、実際の各種報告書面の作成等の必要な作業を行います。

IIJ DPO/CPO補佐サービス

IIJ DPO/CPO補佐サービスは、 IIJのプライバシー保護法コンサルタントがお客様のGDPR、及び各国プライバシー保護法により企業に求められるDPO(Data Protection Officer:データ保護責任者)とCPO(Chief Privacy Officer:最高プライバシー保護責任者)をサポートするアウトソーシングサービスです

IIJ DPOアウトソーシングサービス

IIJ DPOアウトソーシングサービスは、EU GDPRで求められるDPO(Data Protection Officer:データ保護責任者)のアウトソーシングサービスです。
プライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームが、お客様のGDPR遵守対応をサポートします。

IIJ EU代理人サービス

EUに拠点をもたずEUと取引をする企業は、管理者、処理者に関わらず、EU代理人(EU representative)を選任する義務があります。IIJ EU代理人サービスは、EU各国(27カ国と英国)のEU代理人が、EU各国の監督機関やデータ主体(EUに所在する個人)から、英語、フランス語、ドイツ語、スペイン語、イタリア語での問い合わせに対応します(その他のEU公用語も対応可能です)。また、日本語でお客様に取り次ぐと共にGDPRの専門家としてのアドバイスも行います。

IIJビジネスリスクアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。

関連記事