EDPS　EU機関によるAmazon・Microsoftのクラウド、Microsoft Office365利用を調査

2021.6.7　改訂版SCCに関する解説を公開しました

欧州データ保護監察機関（EDPS）は、2021年5月27日、

• EU機関（European Union Institutions, bodies and agencies）によるAmazon Web Services（AWS）とMicrosoftのクラウドサービス利用
• 欧州委員会によるMicrosoft Office365の利用

について、欧州司法裁判所（CJEU）によるシュレムスⅡ判決の遵守状況等の調査を開始することを公表した。

調査に至る経緯

　CJEUによるシュレムスⅡ判決（2020年7月16日）は、EU-U.S. Privacy Shieldを無効とする一方、標準契約条項（SCC、Standard Contractual Clauses）を有効とした予備判決である。
　このSCCについては、同判決及び同年7月23日に欧州データ保護会議（EDPB）が公表したFAQの中で、移転先国の法制度・運用状況によっては、EU水準のデータ保護を確保するための補完措置が必要となることが示されている。さらに、移転先国の法制度・運用状況や必要となる補完措置については、データ輸出者と輸入者がケースバイケースで検証する必要があり、補完措置を講じてもなお十分なデータ保護レベルを確保できない場合はデータ移転を中止しなければならないとされている。
　これらの判断を受け、EDPSは、EU機関による個人データ移転状況等を検証するため、同年10月5日、同機関に対して、個人データ移転状況等に関する報告を行うよう命令した。
さらに、同年10月29日、「シュレムスⅡ判決を遵守するためのEUの機関に対する戦略文書」を公表した。戦略文書の主な内容は以下のとおりである。

• 米国への個人データ移転への対処を優先課題とする。
• EU機関に対し、進行中の個人データの域外移転について、依拠している移転枠組み・移転先国・移転されたデータの種類、データ主体のカテゴリー等を特定して、EDPSに報告するよう求める。
• EU機関に対し、特定された個人データの域外移転について、データ移転影響評価を行い、EU水準のデータ保護を確保していない第三国へのデータ移転等をEDPSに報告するよう求める。

　また、EDPBは、同年11月10日、EU水準のデータ保護を確保するための補完措置の例を示すレコメンデーションを公表した。
　これらの報告や公表等を踏まえた結果、EDPSは、本件の調査を開始することを決定した。

調査の目的

調査の目的について、EDPSは以下のように述べている。

• 米国に拠点を置く大手IT企業のクラウド関連のソフトウェアやインフラ、プラットフォームサービスに対するEU機関の依存の度合いはますます高まっている。その一方、米国に移転された個人データは、米国当局による監視を受けるリスクにさらされている。
• AWS、Microsoftは、シュレムスⅡ判決を遵守するため、両社ともに、従来のSCCに補完措置を追加したが、これらの補完措置ではEU水準のデータ保護を確保するのに十分ではない可能性がある。
• したがって、EU機関によるAWSとMicrosoftのクラウドサービス利用がシュレムスⅡ判決を遵守するものであるかを検証し、改善を促す必要がある。
• Microsoft製品とサービスの使用に関しては、シュレムスⅡ判決等に加え、EDPSが推奨事項を公表しているが（2020年7月2日）、欧州委員会がこれらに準拠しているかを検証し、改善を促す必要がある。

今後の方針

　EDPSは、本件の調査を通じて、EU機関によるシュレムスⅡ判決やデータ保護関連法令の遵守を進め、EU機関がプライバシーと個人データ保護の模範となることを目指す、としている。
　本件調査とこれに伴うEU機関やAWS・Microsoftの対応は、日本企業がサービスプロバイダーと契約している場合の補完措置の要否・内容、新たにサービスプロバイダーと契約する場合の内容等を検討する上で参考になるものと考えられるため、注視する必要がある。

【EDPSのプレスリリース】
https://edps.europa.eu/press-publications/press-news/press-releases/2021/edps-opens-two-investigations-following-schrems_en

【シュレムスⅡ判決の既報】
https://portal.bizrisk.iij.jp/49

【シュレムスⅡ判決に関する論説】
https://portal.bizrisk.iij.jp/Screms2-commentary

【EDPBのFAQに関する既報】
https://portal.bizrisk.iij.jp/500

【シュレムスⅡ判決】
http://curia.europa.eu/juris/document/document.jsf;jsessionid=57E5E2882434E9352EB26E5030335998?text=&docid=228677&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=9771928

【EDPBによるシュレムスⅡ判決に関するFAQ】
https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf

【EDPBによる補完措置についてのレコメンデーション】
https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf

【EDPSによるMicrosoft製品・サービスの使用に関するパブリックペーパー】
https://edps.europa.eu/sites/default/files/publication/20-07-02_edps_paper_euis_microsoft_contract_investigation_en.pdf