1. はじめに

2015年10月6日、欧州司法裁判所は欧州委員会が米国と締結しているセーフハーバー協定は無効であるとの判決を下した。本判決は、欧州内で事業を展開している米国企業のビジネスにも大きな影響を及ぼすと見られている。本稿では、本判決と概要とその影響について考察する。

2. 事案の概要 (※1)

現在多くの米国IT企業はEUにおける事業展開にあたり、欧州内に拠点を設置しており、例えば今回の問題の対象となったFacebook IncもアイルランドのダブリンにFacebook Ireland Ltdを設置し、欧州内での事業を展開している。

しかしながら、実際にはFacebookはここで取り扱われているデータはFacebook Ireland Ltd内のサーバーで処理しておらず、米国内のFacebook Incにデータを転送し処理をしていた。現在、EU加盟国の国民の個人データを第3国へデータ移転するにあたっては、EUデータ保護指令(95/46/EC)を遵守する必要があり、具体的には第3国が「十分な保護措置」がなされている国と認められるか（十分性認定）、あるいはデータ保護指令に規定される他の条件を満たす必要がある。

今回の問題は、2013年のスノーデン事件によりNSA等の米国政府機関がFacebook Inc等のIT企業が保有するデータを監視していたことが発覚したことにより、オーストリア市民でFacebookのユーザーでもあるMax Schrems氏が、Facebook が十分な保護措置がなされていない米国に対して自身の個人データが転送されたとして、アイルランドのデータ保護機関に対して申立を行ったという事案である。

なお、Schrems氏は最初にアイルランドのデータ保護機関であるアイルランドのデータ保護コミッショナーに対し申立を行ったが、アイルランドデータ保護コミッショナーはセーフハーバー協定に基づくデータ移転については十分な保護がなされたものであるとして本件を調査することを拒否した。これに対し、アイルランド上級裁判所(High Court of Ireland)は欧州司法裁判所に対して、欧州委員会が決定したセーフハーバー協定の有効性に対する申立に対し、アイルランドのデータ保護機関が欧州委員会決定の内容について調査することができるのかどうかの判断を求めた。

3. セーフハーバー協定について (※2)

上述の通り、EU外へのデータ移転にあたっては、EUデータ保護指令に基づき、当該国が「十分な保護措置」がなされていると認定されている場合にのみ認められる。ただし、米国のプライバシー保護法制はEUデータ保護指令や日本の個人情報保護法のような分野横断的な保護法制（オムニバス方式）ではなく、個別事業分野ごとの法制（セクトラル方式）が採られており、EUのような体系的な法制度がないことから、米国はEUの十分性認定を得ることが難しいと考えられてきた。

しかしながら、米欧間のデータ移転ができなくなった場合、米国のIT企業をはじめとする大多数の企業に影響を及ぼし、経済活動にも多大な影響を及ぼすことから、米欧間のデータ移転に関しては、米国商務省が認証した企業の米欧間のデータ移転を認める「セーフハーバー協定」に2000年に合意し、これまで本協定に基づき、欧州内の個人データが米国に移転されていたという経緯がある。

今回本事案で提起された問題は、このセーフハーバー協定に基づき米国にデータ移転された場合に、当該行為が十分な保護措置が採られたものであるのかどうかを、EU加盟国の監督機関が調査、判断することができるのかという点であり、また、そもそもセーフハーバー協定は十分な保護措置が採られているといえるのかという点についても欧州司法裁判所が判断した。

4. 判決概要

本判決では、EU司法裁判所はまずEU各国は国外へのデータ移転に対して、それが十分な保護措置がなされたものであるかについて判断する権利を有すると示している。また、合わせて、セーフハーバー協定という欧州委員会の決定の有効性については、欧州司法裁判所が判断する必要があるとし、この有効性の有無についても合わせて判断し、最終的には、セーフハーバー協定は無効という判決を下した。

上記について、本判決のプレスリリースにおいて以下のとおり指摘されている(※3)。

本日の判決において司法裁判所は、欧州委員会による第3国への個人データ移転は十分な保護がなされているという決定であっても、欧州連合基本権憲章や指令に基づき、EU各国の監督機関の権限を排除、または低減することはできないという立場を維持する。また、基本権憲章によって保証された権利に基づき、国の監督機関による個人データの保護は委任されているという点を強調する。 司法裁判所は最初に、委員会決定に基づく第3国への個人データ移転に対する国の監督機関の権限は、指令のいかなる条項によっても阻止されていないと述べる。したがって、もし委員会が決定したものであっても、国家の監督機関は申立があった場合には、当該申立を、完全に独立して、第3国への個人データ移転が指令に遵守したものであるかどうかを調査できるようにしておく必要がある。また、司法裁判所は、委員会決定といったEU法についても無効であると宣言する権限を有する。事案を提起した監督機関や人物が委員会決定は無効であると考えている場合、当該機関や人物はそれを当該国の裁判所に提起できるようにすべきであるし、もし委員会決定の有効性についての判断を提起する場合には、欧州司法裁判所に意見照会することになる。したがって、最終的には司法裁判所が、委員会決定の有効性について判断する必要がある。 （中略） これらの理由により、司法裁判所は欧州委員会によるセーフハーバーに関する決定は無効であると判決する。本判決に基づき、アイルランドの監督機関はSchrems氏の申立を調査する必要があり、その調査結果により、FacebookのEU市民の個人データを米国に移転することが、個人データの十分な保護措置がとられていないとして停止すべきかどうかを、指令に基づいて判断する必要がある。

5. 本判決の影響

（１）米国に対する影響

本判決後、米国商務省のPenny Pritzker長官は、「本日の欧州司法裁判所による判決には深く失望した。これは米国及びEUの企業や消費者に対し重大な不確実性をもたらし、盛況な大西洋横断デジタル・エコノミーに対するリスクをもたらす」とのコメントを公表している (※4)。

この声明からも明らかな通り、米国に対する影響は甚大で、本判決により、現在米欧間のデータ保護移転の根拠となっていたセーフハーバー協定が無効と示されたことで、セーフハーバー協定に基づいてデータを移転しているGoogleやFacebook、Amazon等を含めたセーフハーバー協定において認証されている約4,500の米国企業は、今後の対応について見直しを求められる。具体的には、セーフハーバー協定以外の方法でEUからのデータ移転についての承認を受ける必要がでてくる。現在EUデータ指令では、十分性認定以外にも、拘束的企業準則(Binding Corporate Rules: BCRs)や標準契約条項(model contractual clauses)、あるいはデータ移転に対する個人の同意の取得といった対応を遵守することで、第3国へのデータ移転は認められている。ただし、これらは事業者の対応コスト等の負担も大きく、簡単に切り替えることは難しい。

また、米国政府としても、現在欧州委員会とセーフハーバー協定の見直しについての交渉を進めていたが、本判決により、その協定の内容の見直し以前に、協定そのものが無効だという地点から交渉を開始する必要がでてくる。これは米国政府としてもより一層交渉が困難になることが明らかだろう。

さらに、本事案はFacebookの国際データ移転に関する事案であるが、本事案において欧州司法裁判所が個人データの保護が不十分であると認定した根拠には、NSA等による国家監視がなされているという点である。したがって、再びセーフハーバー協定は十分な保護措置を有するとEUに認定してもらうためには、米国の国家監視政策の見直しが余儀なくされる。これについては、米国の国家安全保障政策も含めた法制度の見直しを始めとする対応が求められるし、また、米企業も本判決をもとに米政府に対する国家監視施策に対する批判をより一層強めるようになると見られる。

（２）EUに対する影響

本判決はもちろんEUにおいても大きな影響を及ぼす。セーフハーバー協定に関しては、これまでも本施策を主導し今後も継続したいと考える欧州委員会と、セーフハーバー協定を即刻停止させたい欧州議会間での交渉がなされていたが、本判決よりさらに難航するものと思われる。本判決後、欧州委員会のティメルマンス第１副委員長は、「取り決めは無効でも、当面は現行規則の範囲内で情報移転の継続は可能だ(※5)」とコメントしているとおり、米欧間のデータ流通を停止してしまうと経済的にも大きな影響を及ぼすことから、欧州委員会としては、現状のセーフハーバー協定を維持する形で調整を進めていくだろう。

一方で、欧州議会は本判決を根拠に、更に欧州委員会に対してセーフハーバー協定の即刻停止の主張を強めることだろう。実際に、欧州議会におけるEUデータ保護規則の推進者であるJan Philipp Albrecht議員は、本判決後すぐに「欧州委員会は今すぐセーフハーバーを停止すべきだ」とTwitter上でつぶやいている(※6) 。

そして、本判決は現在欧州委員会、欧州議会、閣僚理事会の3者対話で最終的な調整がなされているEUデータ保護規則案の交渉にも当然影響を及ぼすだろう。EUデータ保護規則案において、第3国へのデータ移転の原則を規定する第5章に関しては、既に7月の3者対話において基本的な合意がなされていたが 、本判決をよって再度本規定の見直しが必要になる可能性も高まった。現在EUデータ保護規則案については年内の合意を目標に交渉が進められているが、本判決の影響により、全体のスケジュールにも何らかの影響が出てくることも予想される。

（３）日本に対する影響

現状セーフハーバー協定は米欧間のデータ移転において適用されているものであるが、本判決が即座に日本および日本企業に与える影響は小さいと思われるが、例えば、米国に関連グループ会社や小会社を有し当該企業がセーフハーバーに基づきデータ移転をしているようなケースは影響を受けると考えられる。また、本判決を受け、欧州では基本権に基づく厳格なデータ保護の声がより一層強まる可能性があり、制定予定のEUデータ保護規則においても国際データ移転に関する何からの修正がなされる可能性もある。本判決結果がEUデータ保護規則にどの程度の影響を及ぼすのかは今後の3者対話における交渉次第と思われるが、最終的に国際データ移転に関する規定がどのような規定になるかについては、引き続き議論動向を注視しておく必要があるだろう。