マイクロソフト、EDPB方針を受けSCCに補完的措置を追加

2021.6.7　改訂版SCCに関する解説を公開しました

マイクロソフト社は、7月16日に欧州司法裁判所（CJEU）が下したいわゆるシュレムスII判決および欧州データ保護会議（EDPB）が11月10日に採択したEU域外移転個人データを保護するための補完的措置に関する推奨事項（「EDPB推奨事項」）に対応して、同社のソフトウェア利用条件に組み込まれた標準契約条項（SCC）にいくつかの義務を追加することを11月19日に発表した。

SCCに追加された条項

同社がSCCに追加するのは以下の条項である。

* 政府機関から企業顧客が管理する個人データの提出を求められた場合、これを争う（challenge）法的な根拠がある場合には争うこと

* 政府機関から企業顧客が管理する個人データの提出を求められ、これに応じた場合において、提出がGDPRに違反する場合には、金銭による損害賠償を提供すること

これらの措置は、Office365、Azureなどにおける個人データ処理について、GDPRの適用を受ける企業顧客が個人データをEU域外に移転する場合の保護措置として適用される。上記の措置のうち、公的アクセスを争う義務については、EDPB推奨事項において契約的補完措置として例示されているものの一つであり、ほぼ同時に欧州委員会が公表したSCC改訂案でも組み込まれている。

今後、SCCへの補完的措置が拡大か

マイクロソフト社は、このような補完的措置をSCCに組み入れる企業は世界で初めてだと述べているが、今後、企業がSCCに同様の補完的措置を求める動きが拡大すると思われる。

ドイツ州当局が評価の声明

マイクロソフト社のOffice365の利用による米国への個人データ移転については、これまでドイツ各州のデータ保護当局が最も厳しい姿勢で懸念を表明してきたが、このマイクロソフト社の声明を受け、バーデン＝ヴュルテンベルク州当局は、このような措置をSCCに追加したとしても、米国政府による個人データへの公的アクセスがEUの基準に照らし許容できないことには変わりないものの、同社の措置は正しい方向への重要な一歩であると評価するとの声明を発表した。

EDPB推奨事項およびSCC改訂案については、11月27日、弊社開催の緊急ライブセミナーで解説した。同セミナー動画は近く当ウェブサイトで公開する。

マイクロソフト社の声明：

https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/

EDPB推奨事項：

https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en

SCC改訂案：

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries

ドイツ・バーデン＝ヴュルテンベルク州当局の声明

https://www.baden-wuerttemberg.datenschutz.de/dsgvowirkt/