コメント7月16日、欧州司法裁判所は、EUの一般データ保護規則(GDPR)に準拠するために、米国企業に、おそらくやや見下した言い方で「適切*」とみなされるためには、より高いプライバシー基準への署名を義務付けるEUと米国の協定であるプライバシーシールドを無効とした。
この決定を詳細に分析した記事がすぐに山積みになるのは間違いないが、そのほとんどを要約させてくれ。米国を拠点とする施設がEU市民の情報を扱うには、今後は明示的な許可が必要になる。さもないと、EUのかなり手痛いGDPR罰金が迫ってくるかもしれない。
ビジネスコミュニケーションにおいて注意すべき落とし穴は数多くあります。
EUの裁判所が大西洋横断データ保護協定を「不十分」と判断、プライバシーシールドは廃止
続きを読む
組織の顧客接点がFacebookやTwitter(主なものを挙げると)のみである場合、顧客はコミュニケーションを取るためにプライバシーを侵害する規約に同意せざるを得なくなります。確かに、例えば公共事業体であるなど、顧客が他に選択肢を持たない状況では、これは組織だけの問題ではありません。
これは、プライバシーシールドが、あまり詳しく調べたくない人にとっては問題なかった時代から変わっていません。また、今のところ無効と判断されていないオプトアウトの「標準契約条項」(SCC)を利用する余地も残っています。しかし専門家は、これらも長期的には精査に耐えられないだろうと指摘しています。
興味深いのは、電子メールやメッセージングに米国拠点の企業を利用している点です。EUの組織が顧客の電子メールやメッセージを受信するために米国のリソースを利用する場合、それはデフォルトで、現在十分なプライバシー保護が行き届いていない国に個人情報を輸出していることになります。問題は、事前の連絡がない場合、当該EU顧客の事前の許可なしにこのようなことが行われることです。
米国企業はEUでのビジネス(そして、その日の収益活動のためにEUの顧客を監視する能力)を失いたくないと思うだろうから、まだそうしていないのであれば、EUにデータセンターを設置する可能性が高い。
これで、米国法の観点から見て、新たな問題児に出会うことになる。2018年「海外での合法的なデータ使用の明確化」法、略してCLOUD法である。この法律により、米国の裁判所は、主権に関係なく、米国企業が世界のどこであっても保有する個人データの開示を要求できる。
したがって、GDPR 準拠を目指して EU 事業を立ち上げた米国のプロバイダーは、カリフォルニア州消費者プライバシー法 (CCPA) などの州の優れた取り組みにもかかわらず、この CLOUD 法によって EU と米国連邦政府のプライバシーに関する見解の矛盾がかなり悪化するため、プライバシーの観点から (「適切」どころか) 依然として安全であるとは見なされません。
ITに関する知識やリソースが限られている小規模組織は特にリスクが高く、この影響を受ける可能性があります。GmailやMicrosoft Office 365などのサービスを利用する場合は、利用規約を慎重に再確認する必要があります。
高額な費用がかかる可能性があります。®
Peter Houppermans 氏はプライバシーと IT セキュリティの専門家です。
* 十分性協定に関しては、一部の人が指摘しているように、英国企業にとっては、UK_GDPR(今年発効したが、現在はEU法を反映している)がGDPRで確立された基準からすぐに乖離し始め、欧州委員会との十分性協定の締結に支障をきたす可能性があるという懸念がある。
