- 2021年3月2日
フランスにおける行政訴訟の終審裁判所である国務院(Conseil d’Etat)は、3月12日、同国の医療関係者団体および労組(原告)が、COVID-19ワクチン接種予約システムに関する社会福祉・健康省と同システム運営事業者と間の協業の差し止めを求めていた裁判で、原告の請求を退けた。
AWS欧州子会社は十分な保護を欠くとの原告主張
原告は、予約システムをホスティングするルクセンブルク国籍法人AWS Sarlは、米国Amazonの子会社として米国法の域外適用を受け、米国の外国情報監視法(FISA)および大統領令12333号に基づき、同国の諜報機関などから個人データアクセス要求を受ける可能性があるので、2020年7月欧州司法裁判所シュレムスII予備判決が示すように、GDPRが求める十分なデータ保護が確保されていないと主張した。
補完的措置によりデータ保護が確保しうるとの判断
国務院は、以下の理由により、個人データ保護の水準はリスクに照らし明確に不十分であるとは言えないとして、この請求を退けた。
同予約システムで管理されている個人データには、接種を受ける個人の身元に関する情報が含まれるが、その健康状態に関する個人データは含まれていない(リスク)
このようなデータは接種期日の後、最長3ヶ月で自動削除されるほか、データ主体の操作により削除することもできる
システム運用事業者とAWS Sarlとの契約により、公的機関から個人データへのアクセスの要求を受けた場合、AWS Sarlはその事実を被告に通知し、これについて法的に争う義務を課せられている
AWS Sarlが保存するデータは暗号化されており、その鍵はフランス国内の信頼しうる第三者が管理しているので、AWS Sarlが復号することはできない
求められる補完的措置のレベルについて重要な示唆
シュレムスII予備判決は、SCCを有効としつつも、移転先国の法制度・運用の状況によっては、EU水準のデータ保護を確保するために補完的措置が必要であるとの判断を示した。これを受け、EU加盟国のデータ保護当局代表者などから構成される欧州データ保護会議(EDPB)は、このような補完的措置の例を示すレコメンデーションを公表している。
この判決は、データ処理のリスクに応じて要求される補完措置のレベルに関する具体的な判断として初めてのものである。具体的には、(1)AWSに保存されるデータが暗号化され、復号に必要な鍵を信頼しうる第三者が管理していること、(2)AWSは公的アクセスを争うことを契約的義務として受諾していること、という2つの主要な補完的措置が、処理されるデータ(今回の場合、センシティブなデータは含まれていない)のリスクとの関係において、明確に不十分であるとは言えない (“le niveau de protection des données concernées n’est pas manifestement insuffisant au regard du risque invoqué”) と判断された。
多くの企業において見られる移転データへの平文アクセス、例えばグループ会社間の顧客・従業員に関するデータ共有のコンテクストにおいて有効な補完措置があるか、あるとすればどのような補完措置が必要なのかについては、今後の執行例・裁判例が待たれる。
【フランス国務院の判決・報道発表】
https://www.conseil-etat.fr/Media/actualites/documents/2021/03-mars/450163.pdf
https://www.conseil-etat.fr/actualites/actualites/le-juge-des-referes-ne-suspend-pas-le-partenariat-entre-le-ministere-de-la-sante-et-doctolib-pour-la-gestion-des-rendez-vous-de-vaccination-contre