Skip to main content

シュレムスII

TL;DR

Schrems IIとは、ECJ(欧州司法裁判所)が「米国企業は個人情報保護について十分な基準を確保できない」という事実をもとに起こした裁判の名称である。その結果、EUと米国間の個人データ移転は違法となり、両者間のプライバシーシールド協定は時代遅れとなった。

Schrems IIとはどういう意味ですか?

Schrems IIとは、2020年7月16日に欧州司法裁判所において、Max Schrems氏を支持し、EU-US間のプライバシーシールドを無効とする判決が下された事件の総称である。これにより、あらゆる種類のデータ処理業者が、EU市民の個人データにアクセスできるような米国発のサービスを、リスクを十分に説明せずに利用することが違法となったのである。その影響は非常に深刻で、一部の大手米国企業(Facebookなど)は、EUでのビジネスの中断を検討するほどでした。

以前にも、同じ人物が起こした「シュレムスI」と呼ばれる訴訟があり、2015年にも同様の結果の発端となっていた。シュレムスII事件におけるECJの決定は、特にCLOUD法のような米国の法律により、個人データを米国企業が扱う場合、そのプライバシーを保証する方法がないという主張に基づいていた。連邦政府機関が令状を使って、GoogleやFacebookのようなデータ処理業者に、ユーザーの同意なしに、常にユーザーの個人情報を開示するよう強制することができるのです。データが入ったサーバーが物理的にどこに置かれているかは関係ない。したがって、米国でホストされているウェブサイトにアクセスするEU市民や、米国企業が管理するサードパーティアプリ(Google Analyticsなど)を使用しているウェブサイトは、データ転送の法的影響やすべてのリスクについて適切に情報を得る必要があります。

Schrems IIの影響の詳細については、こちらの概要をお読みください。要約すると、以下の通りです。

  • EU圏内の訪問者を持つウェブサイトの所有者は、その国の法律が適切なレベルのデータ保護を提供できない限り、EU圏外にデータを保存することができない。
  • ウェブサイトが利用する第三者のサービスも保護されなければならないため、米国に拠点を置くことはできません。これらのサービスには、ウェブサイト分析ツール、顧客関係管理ツール、広告サービス、チャットツール、ユーザーインサイトツールなどが含まれます。
  • プライバシーシールドに基づき、規則の適用を除外されていた米国企業のリストは、もはや合法的に運営されていない。
  • 同意バナーには、データ転送規制と同様に、特定のクッキー情報を含める必要があります。