Microsoftは、欧州から米国に送信されるデータに関する裁判所の判決を受けて、欧州のプライバシー保護当局が発表した勧告への対応方針を発表した。Microsoftによれば、同社はこの勧告に関する対応を発表する初めての企業だという。
欧州連合司法裁判所(CJEU)は7月、欧州・米国間のいわゆる「プライバシーシールド」は無効であるとの裁定を下した。これによって、企業(特に注目を集めているのは米国の大手IT企業だが、欧州の多数の企業もこれに含まれる)がどうすれば欧州の一般データ保護規則(GDPR)に抵触することなくデータを米国に送信できるかが問題となった。
Microsoftの最高プライバシー責任者Julie Brill氏は、発表の中で「当社は本日、欧州連合(EU)の域外にデータを移動する必要がある公共部門や企業のお客様のための新たな保護措置についてお知らせする。これには、政府からのデータ公開要求に異議を唱える契約上の約束や、当社の考え方を示すための金銭的補償を行う約束が含まれる」と述べた。
「Microsoftは、先週発表されたEUのデータ保護規制当局からの明確なガイダンスを受けて、これらの約束を示した最初の企業になった」(Brill氏)
欧州データ保護会議(EDPB)は11月11日、いわゆる「Schrems II」判決を反映するために、いくつかの勧告を採択した。
EDPBは、「7月16日の判決の結果、標準契約条項(SCC)に依存している管理者は、送信される個人情報について、ケースバイケースで、適切な場合には第三国のデータ受領者と協力して、欧州経済領域(EEA)内で保障されているものと本質的に同等の保護を第三国の法律が保障していることを検証する義務を負う」 と述べた。
「CJEUは(データの)輸出者に対して、その保護水準を実質的に満たすために、SCCに含まれる保護手段では十分ではない範囲において、SCCを補完する措置を追加することを認めた」(EDPB)
Brill氏は、Microsoftは公共部門や企業の顧客データに対する政府からのあらゆる開示要求に対して、合法的な理由がある限り異議を唱えることを約束するとして、「この強い約束は、EDBPが提案した勧告を超えるものだ」と述べた。
Microsoftはまた、GDPRに違反して政府のデータ開示要求に応じた場合、該当する顧客に対して金銭的な保証を行うことを約束している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
