欧州司法裁判所(Court of Justice of the European Union(以下、「CJEU」。))は、2020年7月16日に、Schrems II事件(Data Protection Commissioner対Facebook Ireland Ltd.及びMaximillian Schrems)における判決を下した。この事件の背景は、オーストリアの弁護士でありプライバシー保護活動家であるMaximillian Schrems氏が、Facebookのアイルランド支社に提供された情報が、アメリカ国内のFacebook Inc.が保有するサーバーの移転及び処理されていることに関して懸念を示し、アイルランドのデータ保護監督当局(DPC)に苦情を申し立てたことに始まる(Schrems I事件)。DPCは、情報の移転を禁ずる仮命令を発したが、その当否につきEU全体にかかわる問題だとして、事件を管轄する裁判所であるアイルランド高等法院(High Court)を通して、CJEUの判断を仰いだ。この判決はそれに対するものである。
今回の判決は、フェイスブックが依拠した、EUからアメリカに個人データを移転するための枠組みであるPrivacy Shield(2016年8月1日より発効)を無効とする一方で、欧州委員会が「個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」に基づき定めた標準契約条項(Standard Contractual Clauses)(以下、「SCC」という。)については、有効性の維持を条件付きで認めている。このPrivacy Shieldとは、EUから米国企業への個人データの移転について、米国商務省に登録し、承認をうけた企業に対する移転のみを対象としたものであり、米国企業に対しより重い責任を課すなどして、EU圏内の市民の個人データの保護をより強化したものになっている。
今回の判決で争点となったのは、アメリカの公的機関による監視プログラムを通じた個人データの取得であり、これに対する個人データ保護措置の不十分性が懸念され、EU法上と同等のレベルの保護とは認められないという点にある。また、もう一つの争点であるSCCによる個人データの移転については、判決では有効性が認められたものの、保護レベルが十分ではない場合、補完的措置(supplemental measures)が必要になる。
従って、EUから米国に個人データを移転する際、企業は、Privacy Shieldを使用することができなくなったことに注意が必要である。また、CJEUの判決により、引き続きSCCを使用することが可能ではあるが、個人データを移転するデータ管理者(controller)は、移転先である第三国の法的保護が、EUの法的保護と同等のレベルであるかを確認しなければならない。
更に、本判決を背景に、2020年11月12日に、欧州委員会(European Commission)は、SCCの改定案を公表した。この改定案には、従前のSCCに、国際的なデータ移転において実務の点で検討すべき事項が組み込まれている。
なお、当該SCC改定案は、欧州データ保護会議(The European Data Protection Board: EDPB)などの意見を踏まえ、EU加盟国の承認を得た後に欧州委員会が正式に決定する予定である。