TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

EU委員会、EU独自のデータ保護規則違反で責任認定

EU委員会がEU独自のデータ保護規則に違反した責任を負うとする画期的な判決が下され、同地域で集団訴訟への道を開く可能性がある。

ドイツ在住のEU市民が提起した民事訴訟において、EU一般裁判所は、委員会が当該個人の詳細情報を米国の受領者に移転したことで、個人データ保護の権利を侵害したと認定した。

データ移転当時、米国がEU市民の個人データに対して十分な保護水準を有していることを確保できなかった。

これは、EU市民のデータが米国の安全保障・情報機関にアクセスされ得るとの懸念から、プライバシー・シールドのデータ移転スキームを無効とした、2020年の欧州連合司法裁判所(CJEU)による「Schrems II」事件の判決の結果である。

当該市民に関するデータ移転が行われた2022年3月30日時点では、標準データ保護条項などの適切な保護措置がない限り、EUと米国間の個人データ移転は違法であった。

委員会は、そのような保護措置が講じられていたことを示せなかったと、裁判所は認定した。

「したがって委員会は、EUの機関・団体・事務局・機関が第三国へ個人データを移転するためにEU法が定める条件を遵守しなかった」と、一般裁判所は判決で指摘した。

2023年、EUは米国との間で新たな個人データ移転メカニズムを採択し、追加の保護措置なしに両地域間で個人データを自由に流通させることを可能にした。

本件の概要

本件は2021年および2022年にさかのぼり、ドイツ在住の当該市民が、委員会が管理する「欧州の未来に関する会議」のウェブサイトを訪問したことに端を発する。

具体的には、当該ウェブサイトを通じて委員会のEU Login認証サービスを利用して「GoGreen」イベントに登録し、Facebookアカウントでサインインする選択肢を選んでいた。

彼は、そのウェブサイト訪問中に、IPアドレスやブラウザおよび端末に関する情報を含む自身の個人データが、コンテンツ配信ネットワーク(CDN)であるAmazon CloudFrontの運用者としての米国企業Amazon Web Services(AWS)に移転されたと主張した。このネットワークは委員会のウェブサイトで使用されていた。

さらに、Facebookアカウントを用いて「GoGreen」イベントに登録した際、彼の個人データが米国企業Meta Platforms, Inc.に移転された。

CJEUは、委員会とAWSの契約により、クラウドプラットフォームは保存時および転送時のデータが欧州内にとどまることを確保する義務があると定められていたとして、AWSへのデータ移転については委員会の責任を否定した。

しかし、個人が「GoGreen」イベントに登録したことによりMetaへ移転されたデータについては、委員会に責任があるとされた。これは、EU Loginのウェブページに表示された「Facebookでサインイン」ハイパーリンクによって、委員会が彼のIPアドレスがFacebookへ送信される条件を作り出したためである。

「その移転は委員会に帰責されなければならない」と、裁判所は述べた。

裁判所は、彼のIPアドレスが米国へ移転された結果として被った非物質的損害について、請求者に対し400ユーロ(412ドル)の補償を命じた。

判決は、「一般裁判所は、委員会が個人に権利を付与することを意図した法規範に対する十分に重大な違反を犯したと認定する」と述べた。

一方で裁判所は、彼の個人データの移転を取り消す申立て、および情報へのアクセス権侵害により被ったと主張する非物質的損害に対する800ユーロ(824ドル)の補償請求を退けた。

判決は「苦情の洪水」につながる可能性

本件での補償額は少額であるにもかかわらず、この判決は違法なデータ移転に対する損害賠償が初めて認められたものとして、極めて大きな影響を持つと見られている。

国際プライバシー専門家協会(IAPP)のリサーチ&インサイト・ディレクターであるジョー・ジョーンズ氏は、この判決を「堤防が決壊する瞬間であり、苦情の洪水を引き起こす触媒になる」と表現した。

ジョーンズ氏は、個人データ移転に関して米国型の集団訴訟がEUでも多数起こり、データ保護の状況を塗り替えることになると見込んでいる。

「規制当局の執行という打撃に翻弄され傷ついてきた組織は、一般データ保護規則(GDPR)の下での新たな時代――訴訟――に、これまで以上に身構えることになるだろう」と同氏は述べた。

X(旧Twitter)でこの判決に反応し、EU-米国プライバシー・シールドの取り決めを違法と判断したSchrems II事件を提起したプライバシー活動家マックス・シュレムス氏は、同判決が非物質的損害賠償に関するEUの基準を設定するものだと指摘した。

翻訳元: https://www.infosecurity-magazine.com/news/eu-commission-liable-data/

ソース: infosecurity-magazine.com
#EU Login #EU-USデータ移転枠組み #EU一般裁判所 #EU委員会 #GDPR #Meta(Facebook) #Schrems II #個人データ移転 #損害賠償(非物質的損害) #集団訴訟(クラスアクション)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新