シュレムスI

TL;DR

シュレムスIは、欧州司法裁判所に持ち込まれた事件である。マックス・シュレムスの名を冠したこの裁判は、エドワード・スノーデンによって公にされたNSAのPRISMプログラムの文脈では、米国企業は適切な個人データ保護を保証することができないという主張に基づいている。そのため、データ保護に関する欧州指令に基づき、EUと米国の間で個人データの転送を行うことは合法ではないとされたのです。このため、セーフハーバー協定は無効となり、いくつかの企業の活動に深刻な影響を与えることになった。

Schrems Iとはどういう意味ですか？

シュレムスIとは、ECJで行われたデータプライバシー関連の裁判の総称です。オーストリアの活動家であるマックス・シュレムスが、フェイスブックがEUから米国に個人データを移転しているため、十分な保護措置が確保できないとして提訴したことにちなんでいる。

この事件は2013年、欧州のフェイスブック本社があるアイルランドで、アイルランドのデータ保護委員会への提訴から始まりました。マックス・シュレムス氏が受け取った対応に満足できず、データ保護委員会そのものに苦情を申し立てたことから、エスカレートして2015年に欧州司法裁判所まで到達したのです。欧州裁判所は2015年10月、シュレムスに有利な判決を下した。

Schrems I の結果はどうなったのでしょうか？

これは、セーフハーバーと呼ばれるEUと米国間の国境を越えた協定全体が自動的に無効となることを意味しました。米国はプライバシーに関する十分な基準を確保できないとされたため、実際には、欧州市民のデータを米国に移転することはできなくなったのです。これは、NSAのPRISMスキャンダルにより、個人データが米国の機関によって同意なしにアクセスされていることが明らかになったことが背景にある。

そのため、EU市民のデータに関わるビジネスを行うすべての企業は、セーフハーバーによる保護を受けられなくなり、しばらくの間、個人データを処理することが違法となったのです。このことは、いくつかの企業に大きな影響を与えることになる。どの企業も、ユーザーが自社のウェブサイトにアクセスするような単純なプロセスで、個人データ（IP、位置情報、クッキーに保存されているその他のデータ）が米国に違法に転送される可能性があるかどうかを検討しなければならなくなった。これは、例えばGoogle Analyticsのような米国のサードパーティアプリケーションを使用している場合です。

EUと米国はその後、プライバシーシールドと呼ばれる協定に取り組んだが、同じ人物からの別の苦情がシュレムスII裁判につながったため、これも2020年に無効とされた。