DSBオーストリア:シュレムス事件とデータ移転
オーストリアのDatenschutzbehörde(DSB)は、NOYBの所管監督機関です。NOYBは「None of Your Business」の略です。Max Schremsが設立しました。2018年以降、1,000件を超えるGDPR申し立てを行っています。DSBは2022年から2024年の間に422件を処理しました。
この実績は重要です。DSBは、EUのデータ移転法を二度にわたって塗り替えた二つの法的闘争の中心に位置しています。
NOYBとDSB:一つのパターン
シュレムスI(2015年): シュレムスはFacebookのEU-US間のデータフローに関する申し立てを行いました。欧州司法裁判所(CJEU)はセーフハーバーを無効としました。当時4,000社以上がこの枠組みを使用していました。
シュレムスII(2020年): 二度目の提訴はプライバシーシールドを標的にしました。5,000社以上がこれに依存していました。その廃止により新たな交渉が強いられました。その結果が現行のEU-US Data Privacy Framework(DPF)です。DPFは2023年に発効しました。
予想されるシュレムスIII(2025〜2026年): NOYBはDPF十分性決定に異議を申し立てています。その主張:FISA第702条は依然としてGDPRと相容れないというものです。CJEUへの付託が見込まれています。
DSBが扱う案件の78%は、国境を越えた移転またはサードパーティツールに関するものです。このことが、オーストリア当局を他のEU規制当局と区別しています。
DSBのGoogle Analytics決定
2022年1月のGoogle Analyticsに関するDSBの決定は、移転案件の基準を確立しました。
三つの重要な認定が導き出されました:
- IPアドレスは個人データです。 短縮されたIPアドレスであっても、Googleのシステム内での再識別を可能にするおそれがあります。セッションデータはその問題をさらに深刻にします。
- 米国ベンダーによるアクセスは移転とみなされます。 米国のエンジニアがEUのユーザーデータにアクセスできる場合、そのアクセスはGDPR上の移転に該当します。これはサポート、保守、法的命令を含みます。
- TIAのないSCCは不十分です。 標準契約条項には移転影響評価(TIA)が必要です。TIAは、米国の諜報法がSCCの保護を無効にしないことを示さなければなりません。
DSBはオーストリアのウェブサイト運営者を責任者と認定しました。Googleではありません。運営者がデータ管理者でした。これはサードパーティのスクリプトを組み込んでいるすべてのEU企業に適用されます。管理者の義務については、GDPRコンプライアンスガイドをご覧ください。
追加的な技術的措置
シュレムスII以降、EDPBは追加的な技術的措置に関するガイダンスを公表しました。SCCだけでは不十分な場合に適用されます。DSBはこのガイダンスを執行しています。
DSBの審査に合格する三つのアプローチ:
EUが保持する鍵による暗号化。 EUを離れる前にデータを暗号化します。復号鍵をEUが保管します。米国当局がベンダーにファイルの提供を強制した場合、読み取れない暗号文しか入手できません。
移転前の仮名化。 国境を越えて送信するのは仮名トークンのみです。EU内に再識別鍵を保持します。移転されたファイルには直接的な個人情報が含まれていません。
ローカル処理。 EU内のサーバーですべての処理を実行します。集計された真に匿名の統計のみを移転します。個人情報が国境を越えることはありません。
DSBはこの姿勢を確認しています。EUの個人データに米国SaaSベンダーを使用するグループは、これらのアプローチのうち少なくとも一つを適用しなければなりません。または移転されたコンテンツが真に匿名であることを証明する必要があります。
シュレムスIIIのリスク
DPFだけに依存している企業は明確なリスクを抱えています。NOYBのCJEUへの申し立てが成功すれば、それらの企業は迅速に新たな移転手段を見つけなければなりません。2015年と2020年にまさに同じことが起きました。
追加的な技術的措置を使用するグループは保護されています。コンテンツが真に匿名であれば、GDPRの移転は発生しません。DPFが無効になっても、彼らにとっては何も変わりません。
オーストリアでの事業について:分析ツール(Google Analytics、Mixpanel、Amplitude)はすべてDSBへの露出を生み出します。米国の親会社を持つCRMシステム(Salesforce、HubSpot)も同様です。米国のスタッフが管理者アクセスを持つクラウドプラットフォームも同じリスクを抱えています。
解決策はどの場合も同じです。個人データがベンダーに届く前に真に匿名であることを確認してください。または、EU管理者のみが保持する鍵で暗号化してください。セキュリティおよびコンプライアンスの概要では、ゼロ知識設計がどのように移転問題を根本から解決するかを説明しています。
情報源
- DSB:オーストリアデータ保護機関 — VERIFIED-EXTERNAL
- NOYB:戦略的訴訟 — VERIFIED-EXTERNAL
- CJEU:シュレムスII判決 C-311/18(2020年) — VERIFIED-EXTERNAL
- EDPB:移転措置に関する勧告01/2020 — VERIFIED-EXTERNAL