- 2021年3月2日
Mailchimpへのメールアドレス移転は違法
オーストリアのプライバシー活動家マックス・シュレムス氏が主催するNOYBによるGDPR関連情報提供ウェブサイトGDPR HUBによると、ドイツ・バイエルン州のデータ保護当局BayLDAは、同州ミュンヘンを本拠とする女性向け生活スタイル雑誌FOGSが米国企業The Rocket Science Group LLC(以下「Rocket」)が運営するメールマガジン管理サービスMailchimpを利用し、同社にドイツに居住する個人のメールアドレスを移転していたことに関する読者からの苦情について、3月15日、FOGSの行為はGDPRに違反するとの判断を示した。
Mailchimp運営者は米国FISA702適用対象の可能性
FOGSからRocketへのデータ移転は、GDPR第46条の標準契約条項(SCC)に基づくデータ移転契約を保護措置として行われていたところ、BayLDAは、Rocketは米国の外国情報監視法(FISA)第702条の適用を受ける電子通信サービス提供者に該当し、移転されたメールアドレスは、米国の諜報機関等によるアクセスの対象になる可能性があると判断した。昨年7月の欧州司法裁判所(CJEU)シュレムスII判決によれば、米国に個人データを移転する場合、公的アクセス制度の運用の影響によりEU水準のデータ保護が阻害されるかどうかについて評価し、必要に応じて補完的措置をとらなければならないところ、FOGSおよびRocketはこのような評価を行っていないとBayLDAは判断した。
FOGSはMailchimp利用を中止
FOGSがMailchimpの利用を直ちに中止することを宣言したことから、BayLDAは公式の行政処分を行わなかった。BayLDAは本件の処理について公表していないが、苦情申立人に対して報告の書簡を送達し、これをGDPR HUBが公開したことから本件が明らかになった。
日本企業が留意すべきこと
Mailchimpほか、米国のメールマガジン管理サービスを利用している日本企業は、サービス提供者と協力して、EDPBガイドラインに従って、SCCを補完する措置を検討することが必要である。
【GDPR HUBが公表したBayLDAから苦情申立人への書簡】
https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV
【CJEUシュレムスII判決】
https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:62018CJ0311
【FOGS】
https://fogsmagazin.com/
【Mailchimp】
https://mailchimp.com/