シュレムスに関する FAQ
この FAQ は、EU から米国へのデータ転送に関わる訴訟(「シュレムス II」判決と呼ばれる)の欧州司法裁判所の最近の判決に従い、国際的なデータ転送に関するよくある質問を取り扱っています。 この判決にて裁判所は、(i) EU から米国への個人データの合法的な転送として同一の可能な転送機構を扱う EUと米国間のプライバシーシールドの法的根拠であった委員会決定 2016/1250(Commission Decision 2016/1250)を無効にし、(ii) 米国 (およびそのほかの国々) へのデータ転送の別の手段となる標準契約条項 (SCC) の有効性を支持し、また、(iii) 国際データ転送の要件に関してさらに一般的記述を作成しました。
次のよくある質問 (FAQ) への当社の回答により、EU からの国際データ転送、およびこの判決からニュアンスと利用者の関係性に与える影響を明確にする所存です。 結果として、シュレムス II の判決は、ニュアンスの製品とサービスを利用者が使用し続けるにあたって支障はございません。
Q1: シュレムス II 判決とは何ですか?
2020 年 7 月 16 日、欧州司法裁判所 (以下「CJEU」とする) は、 Irish Data Protection Commissioner (アイルランドデータ保護委員会) と、Facebook Ireland Limited および Facebook ユーザーの Maximillian Schrems 氏との間の Facebook の国際データ転送に関する紛争にて判決を言い渡しました (「シュレムス II」と呼ばれる判決)。 裁判にて CJEU が行った判決は、Facebook に限られません。つまり、この判決は、場合によってはあらゆる国際組織/企業に関連性があるため、多くの注目を集めています。
シュレムス II は、Facebook と、Maximillian Schrems 氏およびアイルランドデータ保護委員会との間のデータ転送に関する関連裁判 (「シュレムス I」) での CJEU による 2015 年 10 月の裁定に随伴するものです。 内容を通して、EU プライバシー法は、「適切な」プライバシー保護があって転送されない限り、EU 市民のデータを EU 外へ転送することを制限しています。 2000 年 7 月、欧州委員会は、EU と米国間のデータの自由な移動を許可する「セーフハーバー協定」によって、米国企業は 7 つのデータ保護原則で自己証明できることを決定しました。 シュレムス I にて CJEU は、EU の事業体から米国にデータを転送可能としていたセーフハーバーの EUと米国間の同意を無効化しました。セーフハーバーの無効化の後、EU と米国は、データを対象とする権利に焦点を絞った新しい和解を締結しました。これは EU と米国の間のデータ転送を許可するために必要な適切性の評価基準となり、一般的には「プライバシーシールド」と呼ばれ、シュレムス II の裁定の対象でした。
シュレムス II の判決の背景は、EU 内でのデータ処理を統制する法律、EU 一般データ保護規則 (以下「GDPR」とする) です。 GDPR の下では、個人データ (つまり個人に関係するデータ) は、欧州連合および欧州経済領域の加盟国間は国境を越えて流出入することが可能です。 個人データはまた、EU および EEA 外の国々で、EU がその国のデータ保護制度が「適切」、つまり EU のものと同等であると評価して定めた場合に、「自由に」流出入することができます。 EU はそのような評価と判断を、たとえばスイスや日本など、ごくわずかの国にしか行っていません。 EU から「適切」と判断されていない国々にデータが転送される場合、そのような国への個人データの転送を許可するために別途の手段が求められます。 シュレムス II の判決まで、プライバシーシールドにより認可され、かつその規則に準ずる企業に関して、アメリカ合衆国は適切な権限内とみなされていました。 欧州委員会による適切性の判断に加え、GDPR は、標準契約条項を含め他の転送機構に、社則、証明書、行動規範、および制定法上の例外の提出を規定しています。
シュレムス II の判決をもって、CJEU は 米国への転送の理由としての EUと米国間のプライバシーシールドの使用を無効化しましたが、他の手段の使用は引き続き有効です。 特に、標準契約条項に関する EU の判決は依然有効で、CJEU は SCC が引き続き国際的なデータ転送の基礎として機能しても差し支えないことを認めました。 ニュアンスは SCC を使用しています。そのため、利用者からニュアンス、またはニュアンスから他の関係者への国際的なデータ転送は、引き続き可能です。
裁定にて CJEU はまた、米国およびその他の国々への国際的なデータ転送に関する一般的記述をさらに定めました。 CJEU はそのような国際間転送を禁止していませんが、国際的なデータ転送という観点で、企業は一層の分析に着手し、場合によっては一層の対策を講じることを強く求めています。 ニュアンスは徹底的な評価でこれを行っています。
Q2: この判決により、ニュアンスの製品とサービスの使用が妨げられることはありますか?
いいえ、ありません。 ニュアンスのテクノロジーは、ヨーロッパの法律を順守して、引き続き使用可能です。 シュレムス II の判決は、ニュアンスの製品および/またはサービスの使用を法的に制限もしくは妨げることはありません。
ニュアンスは EU の個人データを米国で処理するために転送する機構としてプライバシーシールドを用いていましたが、プライバシーシールドは判決により無効になりました。 しかしながら、ニュアンスは、EU の個人データを転送する別の十分な手段である標準契約条項も整えています。 SCC は判決の下、引き続き有効です (詳細は Q1 を参照)。
欧州のデータ対象となる無数のデータを合法的に処理するためにプライバシーシールドを集合的に用いている 5,300 以上の組織とともに、ニュアンスは EU と米国間のプライバシーシールドの同意を信頼しています。 それでもやはり、一部のお客様のご意向を反映し、また今後のプライバシーシールドに関する判決の観点から、ニュアンスは、プライバシーシールドに加えて、米国へのデータ転送を可能にする方法を整備しており、それが SCC です。
シュレムス II の判決では、CJEU はまた、米国および、EU と同等のデータ保護法を整備していないとみなされるその他の国々への個人データの転送に関して、一般的な懸念を提起しました。 しかし、CJEU は米国およびいずれの他の国々へのデータ転送を禁止していません。 個人データが国際間で転送されるか否か、またどのような状況下で転送されるかをもっと慎重に評価することが企業に求められます。これには、追加的な方法 (たとえば、より強力な暗号化) を講じることができるかどうかといった評価も含まれます。
顧客、ビジネスパートナー、および従業員の個人データの保護は、ニュアンスにとって常に重要です。 たとえば、ニュアンスは厳格な契約上かつ組織的な安全措置と、堅牢な暗号化などの技術的な手法を適用し、また同社の製品は自然人の個人の識別がまったく関わらない方法で使用することができます。 ニュアンスは現在、シュレムス II の判決に従って、他の、あるいは代替となる保護措置を講じることができないか慎重に評価しています。 業界とデータ保護機関は、国際ビジネスが継続して機能でき、またそうでなければならないことに同意しています。 ヘルスケアや金融サービスなど、特に機密性の高いセクターでは、データのやり取りは不可欠です。 ニュアンスは、シュレムス II にも従い、適用可能なデータ保護法に準拠しながら、以前にニュアンスが提供していたと同じハイレベルの製品とサービスを顧客が引き続き享受できることを保証してまいります。
Q3: シュレムス II 判決は、ニュアンスが私の個人データを処理する方法に影響しますか?
ニュアンスの製品とサービスに、この判決による直接的な影響はありません(Q2 参照)。 判決は EUと米国間のプライバシーシールドを無効化しましたが、ニュアンスが使用する他の方法 (たとえば、標準契約条項) は引き続き有効です。
裁定を考慮しながらも一方では、ニュアンスは顧客、ビジネスパートナー、および従業員の個人データの保護をさらに改善できるかどうかを見直しています。 ニュアンスは積極的に現在の展開もモニタリングし、また今後起こりそうな可能性のある安全措置に関する地域の EU データ保護機関による将来的な指針もモニタリングしています。
Q4: 私の個人データは EU 外に転送されますか?
サービスの種類によります。 多くのニュアンスのサービスは、一切の個人データあるいは個人を識別するものを EU 外へまったく転送しない方法でご利用いただけます。 特定のサービス、また特定の状況下で、個人データは EU 外に転送されます。 しかし、これはベストプラクティスに合致し、欧州の法律に従う上で着手されます。
EU、EEA、イギリス、およびスイスを拠点とする顧客の個人データは、EU およびイギリスにあるセキュリティ上の安全が確保されたサーバーに保管されます。 EU、EEA、イギリス、およびスイス以外からのアクセスは、特定のサービスにて、あるいは GDPR および欧州の法律に合法の限られた状況下でのみ発生します。 そのような転送は、シュレムス II の判決によって無効化されていない方法に合法的に基づいているため、引き続き使用可能です (詳細は Q1 および Q2 参照)。
Q5: ニュアンスは、EU とアメリカ合衆国の間で個人データの転送をまだ行えますか?
はい。 データ転送は引き続き許可されます。
EU データ保護法の下、EU から不適切な管轄地域 (以後「第三国」とする) への個人データの転送は、適切な機構が講じられていなければなりません。 この判決まで、企業が EUと米国間のプライバシーシールドの下で認定されている限りは、アメリカ合衆国はデータ転送の適切な権限内とみなされていました。 この決定により、ニュアンスは、上記に詳細をご説明した通り (Q1 と Q2 を参照)、データ転送を継続するために別の適切な機構を用いています。
Q6: ニュアンスは、私の個人データを保護するためにどのようなことをしていますか?
ニュアンスは個人データの保護、および当社の製品とサービスの IT セキュリティを非常に重要に扱っており、絶えずかつ積極的にそれを改善するよう努めています。
当社顧客のパーソナルデータ、およびニュアンスが処理するその他の個人データは、GDPR も含めて適用可能なデータ保護法に従って、世界中で保護されています。 これに関係して、ニュアンスは特に次のことを保証します。
- トップクラスの技術的および組織的な措置を講じることで、機密性と整合性の原則を順守することを保証します。 たとえば、ニュアンスは、暗号化メカニズムを導入し、国際的に認められている暗号化基準とアルゴリズムの使用に対応し、またシステムに適用できる場合はいつでも、個人情報や識別するものを開示することなく、計画的に個人情報保護を実現します。
- トップクラスの IT セキュリティ管理を維持し、ニュアンスの社員が定期的にトレーニングを受け、あらゆるデータ保護要件に順じながら、与えられた責任を適切に遂行することを保証するための手順を整えます。
- ベストプラクティスおよび厳格な企業方針に沿って、データ、アプリケーション、システムインフラストラクチャへのアクセスを管理し、データ最小化、削除、およびアクセス制限といったデータ保護の原則が常に順守されていることを保証します。
- IT およびデータセキュリティを絶えず改善します。
Q7: シュレムス II はイギリスからアメリカ合衆国へのデータ転送に影響を与えますか?
イギリスのデータ保護機関 (以下「ICO」とする) は現在、プライバシーシールドと SCC に関する指針を見直しています。 UK ICO は、現在プライバシーシールドを用いている企業に対し、ICO が今後の指針を提供するまで、その使用を継続するよう指示しています。 しかし、イギリスがプライバシーシールドを無効化するとしても、ニュアンスの製品とサービスは、EU 内と同様に、他の方法に基づいて引き続き使用可能です (詳細は Q1 と Q2 を参照)。
Q8: 他に質問があるときはどこに行けばよいですか?
お客様の担当者にご連絡いただくか、個人情報保護チームにメールにてご連絡ください(privacy@nuance.com)。
本サイトで利用可能なすべての情報、コンテンツ、および資料は、一般的な情報目的でのみ提供されており、いかなる契約もしくは取引の明示的条件、または適用法の下でお客様に適用されうる権利もしくは義務も、修正する、またはこれに取って代わるものではなく、いかなる義務もしくは権利も発生させるものではなく、これら以外のいかなる方法によってもお客様またはニュアンスの責任および義務に影響するものではありません。 コンテンツは「現状有姿」で提供され、その内容が特定のサービス、法域、または場所に該当するかについていかなる表明も行いません。 アカウントに関する情報については、ニュアンスの規約およびニュアンスの個人情報保護方針をご参照ください。