[レポート]Privacy Shield後の生活–データ転送法は世界のビジネスを止めるか？ – CODE BLUE 2020 #codeblue_jp

Yoichi Sai

2020.10.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、崔です。
今回は CODE BLUE 2020 で行われた以下のセッションのレポートです。

セッション情報

このプレゼンテーションでは、シュレムス訴訟の歴史と、アイルランドから言及された最近のECJ判決について考察する。私の動画でバックグラウンドを理解することが出来るだろう。 https://bit.ly/pshielddead これは、データ転送の歴史の中で最も重要な訴訟と呼ばれ、Facebookと米国政府の両方を相手取って勝利したオーストリアの法学部の学生が関与している。これは魅力的な話であり、私が6年以上続けてきた話であるが、グローバルビジネスにとって重要な教訓を得ることができる。

講演では、EUから米国へのデータ転送が直面している政治的困難な点についても取り上げる。次に、判決と現在の政治情勢によって提起されたいくつかの追加の質問を見ていきたい。

Presented by : ジョナサン・アームストロング

レポート

Private Shield後の生活について
シュレムス訴訟について
これらの訴訟がセキュリティにとっても重要
- ヨーロッパとビジネスを行う上での制約
- 情報セキュリティの専門家にとっては、シュレムス事件というのは、セキュリティのレベルを高めることになる
- セキュリティプロの重要性を高めることにもなる
シュレムス訴訟の背景を見てみる
- 2011年に始まった
- Facebookから来ていたゲストスピーカーと話していた
- GDPRのものと、ある個人が企業・団体に対して、自身に関する全てのデータを見せてと言える
- データが提供されたが、もっとあるはずだと考えた
- アイルランドのデータ保護委員会に対して申立をした
  - Facebookの国際事業はアイルランドに構えていたから
- シュレムス氏がFacebookに損害賠償請求をした
  - 個人のデータを不適切に扱ったのではないか
- Privacy Shieldが有効なのか無効なのか
Will Trump build bridges ?
- アメリカはEUの個人データを適切に扱っているのか？
- オバマ政府は協調的な姿勢を持っていたが、是正することはできなかった
Will this be resolved ?
- 企業はデータ送信に対して、標準契約条項を試みることができる
- データ送信を合法化するために、アグリーメントが必要
- 誰にデータを送信しているのか、送信先の国における法制度を理解していないといけない
- ほとんどの組織や団体は、データ送信をするでしょう
- 外部のセキュリティ評価がデータに対してされるかもしれない
- ドイツのグループがAmazonに対して、GDPR違反ではないかと訴訟している
- Privacy ShieldをしているからGDPRの違反ではないか？
What does this mean for Russia & Chine ?
- シュレムスの判決は、ロシアや中国に対して、厳しい精査の対象になるかも
What does this mean for Japan ?
- 日本は、EUとしっかり交渉している
- EUに対して、最恵国待遇を受けている
- より高い罰金をプライバシー侵害に対して規定している
- プライバシーに対して、良い投資をしている
- 大規模な情報漏えいが日本で起きた場合、EUの市民にも影響が及ぶとなった場合、日本を厳しく監視しようという動きになる
- 個人情報保護法で英語のヘルプラインを設けていることはいいこと
国家安全保障とデータ保護は両立するのか？
- 常に両者は緊張関係にある
- 常に国益を守るということと、データ保護の間には軋轢が存在している
- 完璧に共存することはない
個人情報保護のため、どういう対策を立てているのか
- 企業が個人に対して、どのようにデータ保護をしているのかを説明する必要がある
- 個人情報保護に対して、日本がどのように対応しているのか説明する必要がある
- どのようにデータを扱っている、どのようにセキュリティを担保しているか
- 日本法の限界を説明する必要も出てくる
- データ要請が来たときに、しっかりとした手順を用意しておくことも必要
- 一人の人間からの訴えで世界が変わることもあるので、しっかり準備が必要