UK-EU間データフローのSchrems IIコンプライアンス対策
欧州司法裁判所によるSchrems II判決(2020年7月)は、米国の監視法、特にFISA 702および大統領令12333がEUデータ主体の基本的権利を十分に保護していないと判断し、EU-USプライバシーシールドを無効としました。この判決の直接的な影響は米国企業に及びましたが、英国とEU間でデータフローを管理する英国組織にも重大な影響を与えています。英国はBrexit後の2021年6月、欧州委員会から十分性認定を受けましたが、プライバシーシールドを崩壊させたのと同じ構造的な脆弱性を抱えています。すなわち、米国のクラウドプロバイダーが暗号鍵にアクセスできる場合、契約上の保護では対応できない技術的経路から米国による監視が可能となるのです。
英国組織が米国拠点のクラウドプロバイダーを利用しつつ、EU組織と大規模なデータ交換を行う場合、Schrems IIは厳しい現実を突きつけます。英国とEU間のデータ移転の主要な法的手段である標準契約条項(SCC)は、監視法に問題のある国への移転時には追加の技術的・組織的措置を求めています。欧州データ保護委員会(EDPB)の勧告01/2020は、これらの追加措置が政府当局に対してデータを「判読不能」にする必要があると明記しています。しかし、ほとんどの英国組織は、プロバイダーが暗号鍵にアクセスできるクラウドアーキテクチャに依存しており、データがどこに保存されていても、どのような契約上の保護があっても、米国当局が法的強制力によってデータを判読可能にできてしまいます。
この脅威は、コンプライアンスの問題を超えて、英国とEU間のデータフロー自体の維持にも関わります。英国組織がEU個人データへの米国による監視を可能にするクラウドアーキテクチャを広く採用すれば、プライバシー擁護団体がSchrems IIと同じ論理で英国の十分性認定に異議を唱えることになります。異議申し立てが認められれば、英国はEUデータ移転の特権的地位を失い、十分性認定のない国への移転と同様の煩雑な手続きを強いられます。したがって、英国組織は、クラウドプロバイダーとの関係が現行の移転要件だけでなく、効率的な英国-EUデータ交換を可能にする十分性フレームワークを維持するためのアーキテクチャ基準も満たしているか評価する必要があります。
エグゼクティブサマリー
主旨: Schrems IIは、米国の監視法(FISA 702、大統領令12333)がEUデータ主体に対する十分な保護を欠いているため、プライバシーシールドを無効としました。
なぜ重要か: 米国クラウドプロバイダーを利用する英国組織は、英国-EU間のデータフローを保護し、英国の十分性認定を維持するために、特に顧客管理型暗号鍵などの追加技術的措置を実装する必要があります。
主なポイント
- 欧州司法裁判所は、米国の監視法がEU個人データへのアクセスを十分に制限しておらず、権利侵害時の司法的救済も提供していないとして、プライバシーシールドを無効としました(FISA 702および大統領令12333)。
- 英国の十分性認定も、米国クラウドプロバイダーが暗号鍵にアクセスできる場合、プライバシーシールドを崩壊させたのと同じ脆弱性を抱えています。これにより、英国インフラを通じて流れるEU個人データが米国による監視の技術的経路となります。
- 標準契約条項は、EDPB勧告01/2020に従い、データを政府当局に対して判読不能にする追加技術的措置を要求しています。しかし、プロバイダー管理の暗号化(クラウドベンダーが鍵を保持)はこの要件を満たさず、米国当局がプロバイダーに復号を強制できてしまいます。
- 移転影響評価(TIA)は、追加措置の実効性を理論設計だけでなく実際に評価する必要があります。多くのTIAは、プロバイダーの暗号鍵アクセスが技術的保護を損なう点を過小評価しています。
- プロバイダーが復号能力を一切持たない顧客管理型暗号鍵は、EDPBの追加措置要件を満たします。これにより、政府がクラウドプロバイダーに情報開示を強制してもデータは判読不能のままとなり、契約ではなく数学的にデータ保護が実現します。
- 英国の十分性認定を維持するには、英国組織がEU個人データを米国監視から保護していることを示す必要があります。米国政府によるアクセスを可能にするクラウドアーキテクチャの普及は、十分性認定の根拠を脅かす可能性があります。
Schrems IIとプライバシーシールド無効化
Schrems IIとは? Schrems II事件(C-311/18、2020年7月16日判決)は、欧州司法裁判所がEU-USプライバシーシールドを無効とし、標準契約条項による移転には追加の技術的措置が必要であるとした判決です。
Schrems II事件(正式名称:データ保護監督官対Facebook Ireland LimitedおよびMaximillian Schrems、C-311/18)は、オーストリアのプライバシー擁護者Max SchremsによるEU-USデータ移転メカニズムへの2度目の異議申し立てです。欧州司法裁判所は2020年7月16日、EU-USプライバシーシールドを無効とし、標準契約条項は有効な移転手段と認めつつも、移転先国のリスクに対応する追加の保護措置が必要であるとしました。
プライバシーシールドが基本権テストに失敗した理由
裁判所は、米国の監視プログラム、特に外国情報監視法(FISA)702条および大統領令12333が、国家安全保障保護に「厳密に必要」かつ比例的な範囲を超えてEU個人データへアクセスできると認定しました。これらのプログラムは、個別の疑いがなくても通信の大量収集を認め、非米国人に対する実質的な司法監督がなく、違法な監視に対してEUデータ主体が異議申し立てできる効果的な司法的救済手段もありません。
FISA 702は、米国政府が米国外の非米国人の通信にアクセスするため、米国のテクノロジー企業に情報提供を強制する権限を与えています。FISA裁判所は、個別の令状ではなく、広範な情報収集対象カテゴリーをカバーする年次認証を承認します。702条の下で通信が傍受されたEUデータ主体は、監視の事実を知る手段も、米国の裁判所で合法性を争う手段もありません。
大統領令12333は、米国外での情報収集を規定し、さらに制限が緩いものです。この命令は、海底ケーブルやネットワーク交換ポイントなどのインターネットインフラから直接通信を収集することを認めており、702条に適用されるFISA裁判所の監督すらありません。EU個人データが米国のネットワークインフラを経由したり、米国企業に保存されたりする場合、これらの監視プログラムはEUのプライバシー・データ保護の基本権と両立しないと裁判所は判断しました。
契約上の制限の問題
裁判所は、EU-USプライバシーシールドのような契約メカニズムでは、移転先国の法律による政府アクセスの問題を克服できないと認定しました。米国はプライバシーシールドを通じてデータアクセスを必要かつ比例的な範囲に制限することを約束しましたが、これらの契約上の約束は、米国企業にデータ提供を強制する国家安全保障法に優先できません。
この「契約では法的義務を上書きできない」という原則が、Schrems IIの継続的な影響の基礎となっています。もし契約だけで政府アクセスからデータを守れるなら、プライバシーシールドは存続していたはずです。裁判所がこのアプローチを否定したことで、追加の技術的措置なしに標準契約条項だけに依拠する組織は、プライバシーシールドを崩壊させたのと同じ脆弱性を抱えることになります。
クラウドサービスプロバイダーへの影響
Schrems II判決はクラウドプロバイダーを名指ししていませんが、米国拠点のクラウドインフラへの影響は明白です。AWS、Microsoft Azure、Google Cloudなどの米国クラウドプロバイダーは、裁判所がEU基本権と両立しないとしたFISA 702および大統領令12333の対象です。これらのプロバイダーは、米国政府からのデータアクセス要求に従わなければならず、顧客への契約上の約束では法的義務を上書きできません。
英国組織にとって、これは即座に複雑な状況を生み出します。米国クラウドプロバイダーに保存されたデータは、欧州司法裁判所が不十分と判断した法的メカニズムによって、米国情報機関がアクセス可能なままです。そのデータがEU企業の従業員や顧客など、EU GDPRで保護される個人情報を含む場合、英国組織が米国クラウドプロバイダーを利用することで、EU法が根本的に認めない監視を可能にしてしまうのです。
英国の十分性認定とSchrems II判例
英国の十分性認定: 欧州委員会は2021年6月28日、英国に十分性認定を付与し、EUから英国へのデータフローを無制限に認めました。しかし、英国組織が不十分なクラウドアーキテクチャを通じてEU個人データへの米国監視を可能にした場合、この認定は異議申し立てのリスクにさらされます。
Brexit後、英国はEUデータ保護法上「第三国」となり、EUからのデータフローを無制限に行うには欧州委員会の十分性認定が必要となりました。2021年6月28日、英国は十分性認定を受け、英国のデータ保護法がEU GDPRと本質的に同等の保護を提供していると認められました。
英国十分性認定の脆弱性
英国の十分性認定は、EU-USプライバシーシールドを崩壊させたのと同じ構造的脆弱性を抱えています。英国組織がEU個人データへの米国監視を可能にする技術的アーキテクチャを広く採用した場合、プライバシー擁護団体はSchrems IIの論理で十分性認定に異議を唱えることができます。十分性認定は、英国に移転されたデータが英国GDPRおよび2018年データ保護法の基準で保護されることを前提としていますが、そのデータが即座にFISA 702の対象となる米国クラウドプロバイダーに再移転される場合、実質的な保護はなされているのでしょうか?
欧州委員会の十分性認定は、英国のデータ保護基準が基本権保護に影響を与える形で変更された場合、再評価が必要であると明記しています。英国で米国監視を可能にするクラウドアーキテクチャが広く普及すれば、立法措置によらずとも技術的保護の実質的な形骸化となり得ます。EU個人データが英国に移転された直後に、米国情報機関がアクセス可能な米国クラウドインフラに保存される場合、十分性認定はSchrems IIの保護を骨抜きにする技術的抜け道となってしまいます。
オンワードトランスファーの問題
英国の十分性認定は、英国から第三国への再移転(オンワードトランスファー)には自動的に適用されません。英国組織がEU個人データを米国クラウドプロバイダーに移転する場合、UK GDPR第46条の適切な保護措置が必要です。標準契約条項はこれらの移転の法的根拠となり得ますが、Schrems II以降、監視法に問題のある国への移転ではSCCだけでは不十分です。
これにより、コンプライアンス要件が連鎖的に発生します。EU組織が英国受領者にデータを移転する際、受領者がオンワードトランスファーに適切な保護措置を講じているか確認しなければなりません。英国組織は、米国クラウドプロバイダーとのSCCが米国監視法のもとで十分な保護を提供できるかを評価する移転影響評価(TIA)を実施する必要があります。契約条項で対応できないリスクが特定された場合、追加の技術的措置が必須となります。
問題は、ほとんどの追加措置(転送時の暗号化、保存時の暗号化、契約上の監査権など)が根本的な脆弱性を解決できないことです。米国クラウドプロバイダーが暗号鍵にアクセスできる限り、米国当局は法的強制力でデータを取得でき、データの保存場所や契約上の保護があってもアクセスが可能です。
技術アーキテクチャによる十分性維持
英国の十分性認定維持には、英国組織がEU個人データを米国監視から実質的に保護していることを示すことが一部求められます。これは個々の企業のコンプライアンス義務にとどまらず、十分性の恩恵を受けるすべての英国企業に関わる集団的責任です。英国組織が不適切なクラウドアーキテクチャによってEU個人データへの米国監視を常態化させているとプライバシー擁護団体が示せば、十分性認定は存続の危機に直面します。
解決策は契約上の約束ではなく技術アーキテクチャにあります。プロバイダーが一切アクセスできない顧客管理型暗号鍵は、米国クラウドプロバイダーが法的強制力を受けてもデータアクセスが不可能となる数学的保証を提供します。EU個人データを英国インフラに限定するソブリン展開オプションは、オンワードトランスファー問題自体を完全に排除します。これらのアーキテクチャ的アプローチこそが、Schrems IIの根本的な懸念(契約では防げない政府アクセス経路)に対応します。
Schrems II文脈における暗号鍵の問題
重要ポイント: Schrems II準拠には、データが政府当局に対して「判読不能」であることが求められます。プロバイダー管理型暗号化は、クラウドベンダーが復号できるため、この要件を満たしません。プロバイダーが復号能力を一切持たない顧客管理型暗号鍵がEDPBの追加措置要件を満たします。
Schrems IIの本質は政府によるデータアクセスにあり、暗号鍵の管理権限がアクセスの可否を決定します。クラウドプロバイダーが顧客データを復号できる場合、政府当局は契約上の禁止があってもプロバイダーに復号を強制できます。プロバイダーが鍵を一切保持していない場合、政府が要求しても判読不能な暗号文しか得られません。
プロバイダー管理型暗号化と判読不能性基準
EDPB勧告01/2020は、追加技術措置として、政府当局を含む権限のない者に対してデータを「判読不能」にする必要があると定めています。プロバイダー管理型暗号化(クラウドベンダーがKMSで鍵を管理)は、プロバイダーが米国当局に復号を強制されるため、この基準を満たしません。
多くのクラウド暗号化実装は、プロバイダー管理のハードウェアセキュリティモジュール(HSM)に暗号鍵を保存します。これらのHSMは外部攻撃者には強力な保護を提供しますが、HSMを管理するプロバイダーへの政府要求には無力です。米国当局がFISA 702命令や国家安全保障書簡を発行した場合、プロバイダーが鍵にアクセスできれば、技術的には安全でもSchrems IIの観点では法的に無意味となります。
一部のプロバイダーは「顧客管理型鍵」を提供していますが、バックアップ鍵やリカバリ機構、運用上必要な管理者権限などを通じてプロバイダーが鍵にアクセスできる場合が多くあります。プロバイダーが従業員の協力や政府の強制力の下でも復号できないよう、すべてのプロバイダーアクセスを明示的かつアーキテクチャ的に排除しない限り、EDPBの判読不能性要件は満たせません。
EDPBの技術的措置ガイダンス
EDPB勧告01/2020は、さまざまな移転シナリオに適した追加技術措置の詳細なガイダンスを提供しています。データ輸出者が暗号鍵を管理し、輸入者(クラウドプロバイダー)が平文データにアクセスできない場合、EDPBはこれを政府アクセスを防ぐ有効な追加措置とみなします。
重要な要件は、暗号鍵がデータ輸出者の完全な管理下にあり、プロバイダーインフラやシステムを通じて一切アクセスできないことです。鍵はプロバイダー環境外で生成・保存され、顧客管理のHSMや鍵管理サーバーに保管され、プロバイダーがアクセス・変更できないシステム内でのみ使用されます。このアーキテクチャ分離により、クラウドプロバイダーへの政府要求があっても、復号鍵や平文データは得られません。
英国組織が、米国クラウドプロバイダーに保存するEU個人データについてこのアーキテクチャを実装すれば、SCC要件とSchrems IIの追加措置義務の両方を満たせます。契約条項が法的義務を定め、技術アーキテクチャが米国当局からのアクセス要求にもその義務を実質的に守れるようにします。プロバイダーは合法的な米国政府要求に暗号化データを開示できますが、鍵がなければデータは判読不能のままであり、データプライバシー保護の契約上の約束も同時に守られます。
英国-EUデータフローへの影響
英国組織がEU個人データを受領し、その後十分な追加措置なしに米国クラウドプロバイダーへ移転する場合、自社とEU側双方に法的リスクを生じさせます。EU組織は、英国受領者がオンワードトランスファーに適切な保護措置を講じているか確認しなければなりません。英国のクラウドアーキテクチャがSchrems II要件を満たさなければ、EU組織はそのような英国受領者へのデータ移転が正当化できません。
これは競争上の影響も生みます。Schrems II対策が不十分な英国企業は、EUの顧客やパートナーからデータ共有を敬遠され、追加措置要件を満たす競合他社に顧客を奪われかねません。金融サービス、法律事務所、医療機関、テクノロジー企業など、EU個人データフローに依存する業種は、EUのデータ保護責任者が移転影響評価で承認できるクラウドインフラを構築する必要があります。
移転影響評価(TIA)と追加措置
TIA要件: 英国組織は、標準契約条項だけで十分な保護が提供できるかどうかを評価する移転影響評価(TIA)を実施しなければなりません。TIAは、保護措置の実効性を契約文言だけでなく実際に評価する必要があります。
Schrems IIは標準契約条項自体を無効としたわけではありませんが、監視法に問題のある国への移転ではSCCだけでは不十分であるとしました。データ輸出者は、移転先国の法的・技術的現実がSCCの契約上の保護を実質的に守れるかどうかを評価するTIAを実施しなければなりません。
移転影響評価で評価すべき事項
TIAはチェックリスト的な作業ではありません。EDPBは、TIAが保護措置の理論設計だけでなく実効性を評価すべきだと明言しています。英国組織がEU個人データを米国クラウドプロバイダーに移転する場合、TIAでは以下を評価する必要があります:
- 暗号化が有効な保護を提供しているか。プロバイダーが暗号鍵を保持している場合、政府当局が鍵開示や復号を強制できるため、暗号化は技術的には安全でも法的には無意味です。
- 契約上の約束が政府アクセスを防げるか。米国の国家安全保障法は契約義務より優先されるため、米国プロバイダーの契約上の約束では法的強制力による開示を防げません。
- 透明性メカニズムが政府アクセスの検出を可能にしているか。国家安全保障書簡やFISA命令は開示禁止を伴うため、プロバイダーが顧客に通知できず、検出や説明責任が実質的に不可能です。
- 違法アクセスに対する法的救済が存在するか。Schrems II判決は、FISA 702監視下の非米国人には米国裁判所での実効的な司法的救済がないと認定しています。
米国クラウドプロバイダーとの関係について誠実なTIAを実施した組織は、実際にはSchrems IIが指摘した根本的なアクセス経路に対処できていないことを認識せざるを得ません。
追加措置要件
TIAでSCCだけでは不十分と判断された場合、追加の技術的・組織的措置が必須となります。EDPB勧告01/2020は、状況に応じたさまざまな追加措置を示していますが、すべてがSchrems IIの監視リスクに対応できるわけではありません。
組織的措置(契約上の監査権、透明性コミットメント、データ最小化など)は、政府アクセス権限を克服できません。米国法が監視を認めている場合、監視を行わないという契約上の約束は法的に無意味です。監査では非公開要件付きの政府アクセスを検出できません。データ最小化はリスクを減らしますが、残存データへの政府アクセス経路を排除できません。
技術的措置はより有効ですが、プロバイダーによる平文データアクセスをアーキテクチャ的に防ぐものに限られます。転送時暗号化(TLS)は転送中の保護にはなりますが、プロバイダーインフラ内での保存時には無力です。プロバイダー管理型鍵による保存時暗号化も、プロバイダーが復号できるため不十分です。仮名化や匿名化は、実運用上不可逆でなければ効果がありません。
Schrems IIの懸念に確実に対応できる追加措置は、暗号学的分離を伴う顧客管理型暗号化です。鍵がプロバイダーインフラ外で生成・保存・管理され、プロバイダーが平文データにアクセスできないようアーキテクチャ的に設計されている場合のみ、政府強制力によるアクセス経路を排除できます。この措置は、契約や法的保護に依存せず、政府強制力でも判読不能な暗号文しか得られない数学的確実性を提供します。
よくあるTIAの失敗例
多くの英国組織は、Schrems IIリスクを過小評価したり、追加措置の効果を過大評価したりするTIAを実施しています。よくある失敗例は以下の通りです:
- プロバイダーの「顧客管理型鍵」提供を、プロバイダーがバックアップやリカバリ、管理者権限で鍵にアクセスできないか検証せずに真の顧客管理とみなす。
- データが英国やEUリージョンに保存されていれば米国監視リスクがないと誤認し、米国親会社がFISA 702の対象であることを見落とす。
- プロバイダーの透明性レポートを政府アクセスの限定証拠とみなすが、機密監視命令は開示禁止のため透明性レポート自体が不完全であることを認識しない。
- 転送時暗号化を追加措置としつつ、保存や処理のために復号される際にプロバイダー管理システムが平文アクセスできる点を見落とす。
- データレジデンシー(地理的保存)とデータ主権(アクセス制御)を混同し、英国保存だけで十分と誤認し、米国親会社によるアクセス経路を評価しない。
これらのTIAの失敗は、個別組織のコンプライアンスリスクにとどまらず、英国全体でEU個人データを扱う企業が広範に実施すれば、Schrems II論理による英国十分性認定への異議申し立てを強化することになります。
標準契約条項だけでは不十分な理由
要点: 標準契約条項(SCC)は必要な法的基盤を提供しますが、契約上の約束を上書きする米国監視法には対抗できません。Schrems II準拠には、特にプロバイダー鍵アクセスを排除した顧客管理型暗号化などの追加技術的措置が必須です。
欧州委員会が2021年に承認した標準契約条項は、国際データ移転のための詳細な契約義務を規定しています。しかし、Schrems IIは、移転先国の法律がEU基本権と両立しない政府アクセスを認めている場合、これらの契約上の保護では不十分であるとしました。これは、FISA 702の対象となる米国クラウドプロバイダーを明示的に含みます。
法的優先権の問題
SCCは、政府要求などで条項を遵守できない場合、データ輸入者が輸出者に通知することを求めています。しかし、米国の国家安全保障法はしばしば通知を禁止します。18 U.S.C. § 2709に基づく国家安全保障書簡は、受領者にその存在すら開示できない非公開条項を含みます。FISA命令も同様に開示を制限します。これらの法的禁止は、顧客への通知義務など契約上の約束を上書きします。
このため、米国クラウドプロバイダーは、国家安全保障法で通知が禁止されている場合、SCCの通知義務を守れません。政府要求を拒否すれば米国刑法違反となり、政府要求に応じれば契約上のプライバシー義務に違反します。両立不可能な義務が発生します。
Schrems II判決はこの矛盾を認識し、移転先国の法律が契約上の約束を上書きする場合、契約措置だけでは十分な保護を提供できないと結論付けました。英国組織にとって、これは米国クラウドプロバイダーとのSCCには、政府要求下でも有効な技術的措置を必ず追加しなければならないことを意味します。
モジュールごとの脆弱性
2021年版標準契約条項には、異なる移転シナリオに対応する4つのモジュールがあります。クラウドサービスプロバイダーとの関係では、英国組織がデータ管理者、クラウドプロバイダーが処理者となるモジュール2(管理者から処理者)が一般的です。
モジュール2は、処理者に対し、データセキュリティを確保する適切な技術的・組織的措置の実施を求めています。しかし、これらの措置は契約要件だけでなく、Schrems IIが定めた実効性基準も満たさなければなりません。プロバイダー管理型暗号化は「個人データの暗号化」という契約文言は満たしますが、プロバイダーが鍵を管理している限り、政府当局に復号を強制されればSchrems IIの判読不能性要件を満たしません。
SCCはまた、処理者がデータ主体からの要求対応やデータ保護影響評価、データセキュリティ義務の遵守を支援することも求めています。プロバイダーが鍵を管理していれば、これらの運用支援は可能ですが、同時に政府当局からのデータアクセス要求にも応じられる脆弱性となります。運用機能を可能にするアーキテクチャが、Schrems IIが問題視した脆弱性を生み出します。
追加措置は必須要件
EDPBガイダンスは、追加措置が任意の強化策ではなく、SCCだけでリスクに対応できない場合は必須要件であると明確にしています。米国への移転では、FISA 702などの監視権限が存在するため、原則として追加措置が必要です。SCCだけで十分な保護を提供できると主張する場合、米国監視法が追加措置を必要としない理由を説明しなければなりませんが、Schrems II以降これは非常に困難です。
欧州データ保護監督官はさらに踏み込み、米国への一部移転では、追加措置を講じても十分な保護が得られない場合があると示唆しています。これはEDPBの推奨よりも厳格な解釈ですが、Schrems II以降のEU当局による米国監視リスクへの深刻な認識を示しています。
英国組織にとって、メッセージは明確です。SCCは米国クラウドプロバイダーとの関係に必要な法的基盤を提供しますが、Schrems II要件を満たすかどうかは技術アーキテクチャで決まります。暗号化やセキュリティ措置、政府アクセス通知に関する契約文言は、プロバイダーが平文データにアクセスできない暗号学的アーキテクチャの代わりにはなりません。
実例:Schrems II下の英国-EUデータフロー
英国法律事務所:国境を越えた特権保護
マンチェスター拠点の法律事務所が、欧州各国のクライアントの商事訴訟や競争法案件、規制調査を担当しています。同事務所は以前、文書管理とクライアントコミュニケーションにMicrosoft 365を利用し、データレジデンシーはAzureのEUリージョンに依存していました。ドイツの製薬会社を米国規制当局が関心を持つ可能性のある案件で助言する際、クライアントのデータ保護責任者がSchrems IIの追加措置要件を満たしているか疑問を呈しました。
データ保護責任者の懸念は明確でした。MicrosoftはFISA 702の対象となる米国企業であり、EUリージョンに保存されたクライアント文書への米国当局のアクセスを強制される可能性があります。標準契約条項やAzureの契約上のデータ保護約束があっても、米国監視法がこれらを上書きします。ドイツ法やEU憲章上の法的職業特権も、同事務所のクラウドアーキテクチャによる米国監視で損なわれる可能性があります。
同事務所はAzure環境の移転影響評価を実施し、Microsoftの暗号鍵アクセスがデータ保護責任者の指摘通りの脆弱性を生んでいると結論付けました。データはEUリージョンに保存されていても、Microsoftの米国親会社がFISA 702の下で復号・開示できる技術的能力を維持していました。MicrosoftとのSCCは、米国監視法で上書きされる契約上の保護しか提供できませんでした。
同事務所は、英国データセンターにオンプレミスでKiteworksを導入し、暗号鍵を英国管理のHSMに保存する顧客管理型暗号化を実装しました。EUクライアントデータは米国インフラに一切流れず、暗号鍵は事務所が独占管理し、ジオフェンシングで米国IPからの認証も遮断します。ドイツの製薬会社のデータ保護責任者は、この新アーキテクチャがSchrems IIの追加措置要件を満たしていると承認しました。技術アーキテクチャがMicrosoftや米国当局、その他事務所の英国管理暗号鍵を持たない者すべてに対してデータを判読不能にしたためです。
英国金融サービス企業:EU顧客データの保護
ロンドン拠点のウェルスマネジメント企業は、英国およびEU全域の富裕層やファミリーオフィスにサービスを提供しています。同社は以前、顧客管理にSalesforce、業務コミュニケーションにGoogle Workspaceを利用し、契約上の約束や認証でEU顧客情報の十分な保護が得られると考えていました。
ドイツやフランス市場への進出を目指す際、見込み顧客のコンプライアンスアドバイザーがSchrems IIの懸念を指摘しました。FISA 702の対象となる米国クラウドプロバイダーにEU顧客の金融情報を保存することで、米国監視のリスクが生じます。たとえ監視が正当な国家安全保障目的であっても、その大量収集の性質上、EU顧客データが偶発的に収集・保存される可能性があり、これはSchrems II判決が基本権と両立しないとした問題そのものです。
同社はまず、SalesforceおよびGoogleとのSCC締結、TIA実施、データがEUリージョンに保存されていることの文書化などで対応しました。しかし、見込み顧客のアドバイザーは、これらの措置が根本的な問題(米国親会社による暗号鍵アクセスと政府強制開示)に対応していないと指摘しました。SCCは米国監視法で上書きされ、TIAはリスクを文書化するだけで十分な対策にはなっていませんでした。
同社は、顧客データ管理と機密コミュニケーションにKiteworksを導入し、英国管理インフラで生成・保存される顧客管理型暗号鍵による暗号化を実装しました。EU顧客個人データは米国クラウドではなく、このソブリンアーキテクチャを通じて流れます。同社のTIAは、EDPB勧告01/2020を満たす追加技術措置(プロバイダーがデータを判読不能にする暗号化と鍵管理)を文書化できるようになりました。
このアーキテクチャにより、Schrems II準拠を求めるドイツ・フランスの顧客のデータ保護責任者から承認を得られました。十分性認定の定期見直し時にも、英国組織がEU個人データを堅牢に保護できることを示す根拠となります。
英国医療機関:国境を越えた研究協力
英国NHSトラストは、ドイツ・スウェーデンの研究機関と患者データを共有する多国間臨床研究に参加しています。以前はMicrosoft TeamsやSharePointを利用し、MicrosoftのEUリージョンとSCCで法的要件を満たしていました。しかし、ドイツ側研究機関のデータ保護責任者がSchrems II観点で国際協力をレビューした際、英国側のクラウドアーキテクチャに懸念が生じました。
研究対象データは、英国GDPR第9条やEU GDPRの特別カテゴリーデータ規定で保護される健康データです。ドイツ側のデータ保護責任者は、Microsoftの米国親会社による管理と暗号鍵アクセスが、SCCだけでは対応できないリスクを生むと指摘しました。米国当局がFISA 702命令をMicrosoftに出せば、研究対象者が国家安全保障上関係する場合、EU健康データへのアクセスが強制される可能性があります。
ドイツ側の倫理委員会は、追加技術措置がなければSchrems IIの基本権と両立しないリスクがあると判断し、十分な対策がなければ研究協力から撤退する方針を示しました。
NHSトラストは追加措置の選択肢を検討しました。仮名化だけでは研究上個人識別が必要なため不十分、Microsoft管理の暗号化も復号能力があるため不十分、組織的措置(監査や透明性コミットメント)も契約上の保護を上書きする米国法には無力でした。
同トラストは、研究データ管理にKiteworksを導入し、NHS管理インフラにのみ保存される顧客管理型暗号鍵で暗号化を実装しました。EU機関からの研究データは、米国クラウドや米国当局が平文アクセスできない英国ソブリンアーキテクチャを通じて流れます。ドイツ側のデータ保護責任者は、このアーキテクチャがSchrems IIの追加措置要件を満たしていると承認し、研究協力が継続できました。
英国テクノロジー企業:EU顧客向けSaaSプラットフォーム
英国のソフトウェア企業は、欧州全域の顧客向けに人事管理SaaSプラットフォームを提供しています。以前はAWSのEUリージョンで運用し、欧州の競合他社として自社を位置付けていました。顧客からSchrems II準拠の証明を求められた際、AWSアーキテクチャが顧客の懸念通りの脆弱性を生んでいることが判明しました。
EU顧客のデータ保護責任者は、AWSがFISA 702の対象となる米国企業であり、EUリージョンのデータレジデンシーがあっても暗号鍵アクセスを通じて政府強制開示が可能であると指摘しました。英国企業のSCCには無断アクセス防止の約束がありましたが、インフラプロバイダーが米国当局にデータアクセスを強制されれば、その約束は守れません。
欧州競合他社としての差別化は、米国監視からEU顧客データを実質的に守れるかにかかっていました。しかし、AWSインフラでは、顧客データは米国競合他社と同様にFISA 702のリスクにさらされていました。欧州データ保護を謳うマーケティングメッセージは、米国政府アクセスを実際に防ぐ技術アーキテクチャで裏付けられていませんでした。
同社はプラットフォーム展開を再設計し、英国拠点のソブリンクラウドインフラと顧客管理型暗号鍵に移行しました。EU顧客データは、AWS管理外で生成・管理・保存される鍵で暗号化されます。これにより、顧客のデータ保護責任者に対し、Schrems IIの追加措置要件(米国クラウドや米国当局に判読不能なデータ保存)を満たしていることを技術的に証明できるようになりました。
比較:Kiteworks vs. 米国ハイパースケールクラウドプロバイダー
| Schrems IIの観点 | Kiteworks | 米国ハイパースケールクラウドプロバイダー |
|---|---|---|
| 暗号鍵管理 | 顧客管理型鍵(Kiteworksは一切アクセス不可)・鍵はプロバイダーインフラに存在しない | プロバイダー管理KMS(プロバイダーが鍵にアクセス可能)・顧客管理型鍵でもプロバイダーによるリカバリ機能あり |
| FISA 702リスク | オンプレミスまたは英国ソブリンクラウド展開時はリスクなし・KiteworksはFISA 702の強制対象外 | 米国親会社はデータ保存場所やリージョンに関係なくFISA 702の強制対象 |
| 政府への判読性 | データは米国当局に判読不能・顧客管理鍵がなければ暗号文のみ | プロバイダー鍵アクセスにより米国当局に判読可能・政府強制で平文開示 |
| SCC準拠 | 技術アーキテクチャがSCCの約束を支援・契約義務と米国法の矛盾なし | SCC契約義務と米国国家安全保障法によるデータ開示義務が矛盾 |
| 追加措置 | 顧客管理型暗号化がEDPB勧告01/2020の技術要件を満たす | プロバイダー管理型暗号化はEDPBの判読不能性要件を満たさず、追加措置として不十分 |
| 移転影響評価 | 米国監視を防ぐ有効な技術的保護をTIAで文書化可能 | プロバイダー鍵アクセスと米国監視法適用による未解決リスクをTIAで特定する必要あり |
| 英国-EUデータフロー保護 | アーキテクチャが米国監視からEU個人データを保護し、英国十分性認定維持を支援 | アーキテクチャが英国システムを通じたEUデータの米国監視を可能にし、十分性認定を脅かす |
| 非公開命令 | 該当なし・プロバイダーは政府強制でアクセス可能なデータを持たない | 国家安全保障書簡やFISAの非公開条項の対象・顧客通知不可 |
| 法的救済 | Kiteworksが米国監視法の対象外であるため、EUデータ主体の権利が損なわれない | EUデータ主体はFISA 702監視に対する実効的救済手段を持たない(Schrems IIの核心) |
| オンワードトランスファー負担 | 英国組織はオンワードトランスファーに十分な保護措置を実装可能 | 英国組織が不十分な米国クラウドアーキテクチャを利用すると、EU側にオンワードトランスファー問題を生じさせる |
結論:技術アーキテクチャがSchrems II準拠を決定する
Schrems IIは、契約上の保護だけでは移転先国の政府監視に対応できないことを明確にし、国際データ移転コンプライアンスのあり方を根本から変えました。英国とEU間のデータフローを管理しつつ米国クラウドプロバイダーを利用する英国組織にとって、この判決は契約文言では解決できない法的・運用的・戦略的課題を生み出します。
欧州司法裁判所は米国への移転を全面的に禁止したわけではなく、「米国当局に判読不能なデータ」にする追加措置を必須としました。この技術的要件は、契約上の約束や認証、組織的措置では満たせません。クラウドプロバイダーが法的強制力を受けても暗号鍵を一切保持しない暗号学的アーキテクチャが必要です。
欧州委員会の英国十分性認定は、英国-EUデータフローの円滑化を実現しますが、英国組織が不十分なクラウドアーキテクチャでEU個人データへの米国監視を可能にすれば、この特権的地位は脆弱となります。プライバシー擁護団体はSchrems IIの論理でEU-USプライバシーシールドを無効化しました。同じ論理で、英国企業が監視を可能にする技術アーキテクチャを広く採用すれば、英国十分性認定も異議申し立ての対象となり得ます。
英国組織にとって、今後の道筋は契約上の楽観論ではなく、技術アーキテクチャの構築にあります。プロバイダーアクセスを排除した顧客管理型暗号鍵は、政府強制力でも破れない数学的保証を提供し、EDPBの追加措置要件を満たします。EU個人データを英国インフラに限定するソブリン展開オプションは、オンワードトランスファーの複雑さ自体を排除します。これらのアーキテクチャ的アプローチは、単なるコンプライアンス義務への対応にとどまらず、英国-EU間の効率的なデータ交換を可能にする十分性フレームワークの維持に直結します。
Schrems II準拠は文書化で達成できるものではなく、アーキテクチャで実現されます。この違いを認識した英国組織は、EU個人データを実質的に保護しつつ、運用効率も維持できるクラウドインフラを構築できます。一方、暗号鍵アクセスを保持する米国プロバイダーの契約上の約束に依存する組織は、自社・EUパートナー・ひいては英国の十分性認定自体にリスクを生じさせます。
Kiteworksが英国組織のSchrems II準拠を支援する方法
Kiteworksは、EDPB勧告01/2020を満たすアーキテクチャ設計により、Schrems IIの追加措置要件に対応します。顧客所有の暗号鍵(ベンダーアクセスゼロ)により、FISA 702の強制があっても米国当局にデータを判読不能に保ちます。FIPS 140-3レベル1認証暗号、S/MIME、OpenPGP、TLS 1.3の組み合わせでデータライフサイクル全体を保護し、暗号鍵管理によって法的要求に関係なく政府アクセスを数学的に不可能にします。
柔軟かつ安全な展開オプション(オンプレミス、英国ソブリンクラウド、エアギャップ環境)は、米国法域リスクを完全に排除します。米国外インフラで運用する場合、KiteworksはFISA 702や国家安全保障書簡、その他の域外監視権限の強制対象外です。詳細なジオフェンシングで米国IPからの認証を遮断し、法域コントロールで英国またはEUの認可担当者のみがEU個人データにアクセスできます。
Kiteworksの統合プライベートデータネットワークは、すべてのコンテンツコミュニケーションチャネル(セキュアメール、セキュアなファイル共有、セキュアMFT
セキュアなウェブフォーム、SFTPなど)にSchrems II準拠を拡張します。包括的な監査ログで全データアクセスを記録し、TIAの根拠や追加措置の有効性を証明できます。SIEM連携によりEU個人データのリアルタイム監視も可能です。
Kiteworksは、英国組織が標準契約条項要件とEDPBの技術的追加措置の両方を満たし、英国-EUデータフローを保護しつつ、米国監視を防ぐ実証可能な技術的保護によって英国の十分性認定維持を支援します。
GDPR
およびその他の規制コンプライアンス要件に準拠したEU個人データ保護の詳細は、カスタムデモを今すぐご予約ください。
よくあるご質問
Schrems IIは、欧州司法裁判所が米国の監視法(特にFISA 702および大統領令12333)がEU個人データへの政府アクセスを十分な保護なしに可能にしていると認定し、2020年7月16日にEU-USプライバシーシールドを無効としました。この判決は、英国組織がEU個人データを米国クラウドプロバイダーに移転する際にも同様のコンプライアンス要件が課されるため、重要です。標準契約条項(SCC)は有効ですが、米国当局にデータを判読不能にする追加技術的措置が必要です。暗号鍵アクセスを持つ米国クラウドプロバイダーを利用する英国組織の多くはこの要件を満たせず、法的リスクや英国-EUデータフローの正当性を脅かしています。
標準契約条項(SCC)は、データ輸出者と輸入者間の二者間契約で具体的なデータ保護義務を定めます。一方、EU-USプライバシーシールドは、認定を受けた米国組織への無制限移転を可能にするフレームワークレベルの十分性認定でした。Schrems IIはSCCを有効な法的手段と認めつつも、契約上の保護だけでは移転先国の政府監視(EU基本権と両立しないもの)に対応できないとしました。米国の国家安全保障法は契約上の約束を上書きし、SCCの政府アクセス通知や法的救済に関する条項を実質的に無効化します。追加技術的措置、特にプロバイダーアクセスを排除した顧客管理型暗号化が必須となり、契約条項だけでは防げない政府アクセスリスクに対応します。
EDPB勧告01/2020は、標準契約条項(SCC)だけでは十分な保護が得られない国際データ移転における追加措置の詳細なガイダンスです。勧告では、技術的措置が移転先国政府当局を含む権限のない者に対してデータを「判読不能」にする必要があると定めています。米国クラウドプロバイダーが関与する移転では、データ輸出者が鍵を管理し、輸入者が平文データに一切アクセスできない暗号化が求められます。クラウドベンダーが鍵を保持するプロバイダー管理型暗号化はこの要件を満たさず、米国当局がプロバイダーに復号を強制できてしまいます。勧告は、Schrems II準拠に実際何が必要かをEUデータ保護当局が示した拘束力ある指針です。
TIAプロセス: 移転影響評価は、契約文言だけでなく保護措置の実効性を評価する必要があります。主な確認事項:クラウドプロバイダーが暗号鍵アクセスを持つか?米国当局が復号を強制できるか?非公開法令で顧客通知が阻害されるか?顧客管理型暗号化はこれらのリスクに対応しますが、プロバイダー管理型鍵は対応できません。
移転影響評価は、保護措置の理論設計や契約文言だけでなく、実際の有効性を評価しなければなりません。英国組織は、クラウドプロバイダーが米国当局に復号を強制される暗号鍵アクセスを保持していないか評価する必要があります。SCCの契約上の約束が、米国監視法で実際に守られるかどうかも評価対象です。国家安全保障法の非公開条項で、プロバイダーが政府アクセスを顧客に通知できない場合も考慮しなければなりません。最後に、特定されたリスクに対応する追加技術的措置(プロバイダー鍵アクセスを排除した顧客管理型暗号化など)を文書化する必要があります。監査権や透明性コミットメントなどの組織的措置は、契約条項だけでは防げない政府アクセス権限には対応できません。
はい―十分性リスク: 英国組織が不十分なクラウドアーキテクチャでEU個人データへの米国監視を可能にしているとプライバシー擁護団体が示せば、Schrems IIと同じ論理で英国の十分性認定も異議申し立ての対象となり得ます。
英国の十分性認定は、EUから英国に移転された個人データがその後米国クラウドプロバイダーに流れ、Schrems IIが基本権と両立しないとした監視を可能にしているとプライバシー擁護団体が示せば、異議申し立てのリスクがあります。十分性認定は、英国GDPRと2018年データ保護法がEU基準と本質的に同等の保護を提供していることを前提としていますが、米国監視を可能にするクラウドアーキテクチャが広く普及すれば、実質的な保護は損なわれます。プライバシー擁護団体は、米国監視への十分な対策がないことを示してEU-USプライバシーシールドを無効化しました。同様の論理で、英国組織がSchrems IIで否定された監視を可能にしている場合、十分性認定も異議申し立ての対象となります。十分性維持には、EU個人データが米国政府アクセスから実質的に保護されていることを示す必要があり、英国企業の技術アーキテクチャ選択が集団的に重要となります。
実装ステップ: 1) クラウドプロバイダーが暗号鍵アクセスを持つか評価。2) プロバイダーインフラ外で鍵を生成・保存する顧客管理型暗号化を実装。3) EU個人データにはソブリン展開(オンプレミスや英国プライベートクラウド)を検討。4) 技術的措置を移転影響評価で文書化。5) 米国法域からのEUデータアクセスを防ぐジオフェンシングを実装。
効果的な追加措置の実装には、単なる文書化ではなく技術アーキテクチャの変更が必要です。英国組織は、クラウドプロバイダーが暗号鍵アクセスを保持していないか評価し、保持している場合は完全にプロバイダーインフラ外で生成・保存・管理される顧客管理型暗号化を導入すべきです。EU個人データには、米国法域リスクを完全に排除できるソブリン展開(オンプレミスや英国拠点プライベートクラウド)も検討してください。移転影響評価では、これら技術的措置が米国当局にデータを判読不能にする有効性を文書化し、EDPB勧告01/2020の要件を満たすことを示しましょう。最後に、ジオフェンシングやアクセス制御でEU個人データが米国法域からアクセスされないようにし、運用アクセス・政府監視の両面で米国からのリスクを排除します。これらの技術的措置が、Schrems IIが求める追加保護を提供し、契約条項だけでは実現できない安全性を確保します。
追加リソース
- ブログ記事
データ主権:ベストプラクティスか規制要件か? - eBook
データ主権とGDPR - ブログ記事
データ主権で避けるべき落とし穴 - ブログ記事
データ主権ベストプラクティス - ブログ記事
データ主権とGDPR【データセキュリティの理解】