EU とアメリカが締結したセーフハーバー協定に関するお客様へのメッセージ


原文掲載日 : 2015 年 10 月 6 日
執筆者:ブラッド スミス - 最高法務責任者

 

本日 2015 年 10 月 6 日、欧州司法裁判所 (ECJ) は、EU とアメリカが締結したセーフハーバー協定の枠組みについて判決を下しました。
その影響の強さについて、マイクロソフトのお客様の中に疑問を持つ人たちがいることを喜ばしく思います。
特に今回の判決によって、EU 加盟国からアメリカへお客様情報を転送できなくなるのではないかと心配している企業も多いでしょう。

 

しかし、マイクロソフトの企業向けクラウド サービスを利用するお客様について、マイクロソフトの答えは明確です。マイクロソフトが整備してきた一連の追加措置と法的保証措置により、今後も間違いなくデータを移転できるでしょう。

 

その中には別途厳格なプライバシー保護規定とマイクロソフトによるEUモデル契約条項の遵守が含まれており、セーフハーバー協定がなくても、お客様が EU 加盟国とその他の地域(アメリカを含む)の間でデータを移転することが可能になります。
こうした一連の措置は、本日、欧州委員会の決定と見解の両方で認められました。

 

Azure Core Services、Office 365、Dynamics CRM Online、Microsoft Intune など、マイクロソフトのクラウド サービスはすべて、EU モデル契約条項を遵守しており、上記のように保護されます。

 

マイクロソフトも、本日の判決がマイクロソフトのカスタマーサービスに大きな影響を及ぼすとは考えていません。
マイクロソフトの利用規約には、上記のサービスを提供するため、「あるユーザーが別のユーザーに電子メールやオンライン コンテンツを送る場合などは、ユーザー間でデータを移動する」と明記しています。
マイクロソフトも多くの国と地域にデータセンターを持っており、欧州にも複数のデータセンターを設置しています。

 

このように、セーフハーバー協定の代わりとなる法的保証措置に基づいてマイクロソフトが活動できるのは、偶然ではありません。

 

マイクロソフトは、本日の法的判決が下される可能性を認識し、マイクロソフトの企業顧客のために不測の事態への対応策を整備していました。
これは、マイクロソフトが 4 年以上にわたってお客様保護を強化すると同時に、マイクロソフトのクラウドへ移動する際に法規制を確実に遵守できるよう作業を推し進めてきた結果です。
マイクロソフトが実施してきた措置のいくつかを以下に示します。

  • マイクロソフトは、技術、運用、法律に絡む大規模な作業に着手し、その結果として2011 年からマイクロソフトのクラウド契約に EU モデル契約条項を盛り込むことができました。さらに今年 (2015 年) に入り、マイクロソフトはクラウド プロバイダーとして世界で初めてクラウドのプライバシー保護に関する世界初の国際規格 ISO 27018 を導入しました。
  • 2014 年 4 月、マイクロソフトは、自社の契約書に EU モデル契約条項の規定を導入したことについて、第 29 条作業部会の厳しい要件を満足しているものとして欧州で同作業部会の承認を得ました。
    同作業部会は、欧州連合のすべてのデータ保護機関を代表するもので、このような問題の第一人者が集まっています。マイクロソフトは、承認された最初の技術系企業でした。2015 年 4 月に発表した通り、この承認の下、マイクロソフトのクラウドサービスを利用するお客様は、当該保護に基づいて引き続きアメリカなどへデータを移転することができます。
  • マイクロソフトは、マイクロソフトの企業向けクラウドを利用するすべてのお客様が確実にその恩恵を受けるようにするため、2014 年の始め、マイクロソフトの主要な企業向けクラウドサービスについて各お客様と結ぶ契約書の標準条項の 1 つとして EU モデル契約条項の遵守を盛り込みました。このように保護されるので、マイクロソフトのクラウドを利用するお客様は何もする必要がありません。

 

マイクロソフトのプライバシーへの取り組みは、マイクロソフトのクラウド サービスが EU モデル契約条項を確実に遵守するという困難な作業にとどまりません。

  • 2013 年 12 月、マイクロソフトは、お客様データの保護を強化する追加措置をいくつか発表しました。その中には、マイクロソフトが提供するサービス全体に及ぶ暗号化の大幅な拡大、マイクロソフトの規約の強化、および政府からのお客様情報開示要請に対するお客様の法的保護の強化が含まれていました。
  • どこかの政府がマイクロソフトのお客様データへのアクセスを希望する場合、その政府は特定のアカウントまたは識別子に割り当てられた適切な法的手続きを通じてアクセスしなければなりません。
    マイクロソフトが公開しているデータが示すとおり、マイクロソフトのお客様の中で政府によるデータ開示要請の影響を受けるのはほんの一握りです。
  • マイクロソフトは、このように特定の対象に影響を及ぼす法的な裁判所命令に対して適宜異議を申し立てを行い認められてきました。
  • マイクロソフトは、できる限り消費者の近くにデータを保管するという方針もあり、世界中のデータセンターに大規模な投資を行ってきました。マイクロソフトは、19 の地域と 40 の国々に100以上のデータセンターを持っています。

 

本日の判決によって重要なポイントが浮き彫りになることは間違いなく、欧州委員会とアメリカ政府が先へ進むことについて合意することがますます重要になります。マイクロソフトは、その取り組みを支持します。

 

また、世界中のデジタル プライバシー法を大幅に改正し、個人のプライバシーと公衆の安全のバランスを良くしなければならないことが明確になります。これは、マイクロソフトが以前から主張してきたことです。

 

またアメリカには、ECPA 修正法、LEADS 法、司法救済法を可決するなど、迅速に実施できる一連の措置があります。こうした措置はすべて効果があるでしょう。

 

マイクロソフトは、大西洋両岸の政府が同じ着地点に向かって進むことを望んでいます。現在、欧州諸国の多くが自国の監視法の改正について検討しています。
一部の人たちが実施を検討しているように政府の監視権限を拡大するだけでなく、セキュリティとプライバシーのいずれか一方を犠牲にして他方をとるようなことなく、バランスを正しく保つよう尽力すべきです。

 

現在、マイクロソフトのクラウドを利用するお客様は引き続きビジネスを行えますが、EU とアメリカの間で協定が一新 (および改正) されれば、世界中が恩恵を受けることは間違いありません。

 

マイクロソフトは、業界の各方面と緊密に連携し、データ保護機関と政府をサポートすることで ECJ の判決に盛り込まれた目標の達成に協力する方針です。人々は、信用できないテクノロジーは利用しません。
私たちは、クラウド サービスの信用を築くために、力を合わせる必要があるのです。

この記事は 2015 年 10 月 6 日に Microsoft On The Issues に投稿された記事 A message to our customers about EU - US Safe Harbor の翻訳です。最新情報については、翻訳元の記事をご参照ください。