EU諸機関によるAWSとマイクロソフトの各クラウドサービス利用について同プライバシー責任者が調査を開始

今回は「EU諸機関によるAWSとマイクロソフトの各クラウドサービス利用について同プライバシー責任者が調査を開始」についてご紹介します。

関連ワード （Amazon、AWS、EU、Microsoft、Microsoft Azure、プライバシー、欧州データ保護監察機関 / EDPS、欧州司法裁判所 / CJEU等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

欧州の主要データ保護規制当局は、EU機関による米国クラウド大手Amazon（アマゾン）とMicrosoft（マイクロソフト）のそれぞれのクラウドサービス利用について、調査を開始した。欧州の団体、機関、官公庁は、AWSおよびMicrosoftの間でいわゆる「Cloud II」契約を締結している。

欧州データ保護監察機関（EDPS）によると、欧州委員会によるMicrosoftのOffice 365の使用についても、以前の勧告への準拠状況を評価するための独立した調査が開始されたという。

Wojciech Wiewiórowski（ヴォイチェフ・ヴィヴィオロフスキ）氏は、2020年10月に発表されたより広範なコンプライアンス戦略の一環として、EUのクラウドサービスの利用を調査している。当該戦略は、欧州司法裁判所（CJEU）による画期的な裁定（通称Schrems II）を受けたものだ。この裁定は、EU-米国間の「Privacy Shield」データ移転協定を無効にし、EUユーザーの個人データが大規模監視体制によって危険にさらされる可能性のある第三国に流出している場合の、代替的なデータ移転メカニズムの実行可能性に疑問を投げかけるものだった。

EUの最高プライバシー規制当局は去る2020年10月、EU加盟国以外の国への個人データの移転について報告するようEU加盟国の機関に要請した。EDPSが米国時間5月27日の発表したところによると、この分析によってデータが第三国に流れていることが確認されたという。また、特に米国への流入が顕著であり、その理由として、EU機関が大手クラウドサービスプロバイダ（その多くは米国を拠点としている）への依存を高めていることが挙げられる。

驚くことではない。しかしEDPSは、Schrems II判決以前に署名された2社との契約がCJEUの判断に沿っているかどうかを見極めたいと考えており、次のステップは非常に興味深いものになるだろう。

実際、EDPSはその準拠性について懸念を示しており、将来的にはEU諸機関に対して代替のクラウドサービスプロバイダ（法的な不確実性を回避するためにEU内に設置されている可能性が高い）を探すことを要請する可能性もある。今回の調査は、規制当局主導による、EUの米国クラウド大手からの移行の始まりとなるかもしれない。

ヴィヴィオロフスキ氏は声明で次のように述べている。「EUの機関や団体からの報告の結果を受けて、私たちは両社との契約が特別な注意を要するものであることを特定しました。それが今回の2つの調査を開始することにした理由です。『Cloud II契約』は『Schrems II』判決前の2020年初めに署名されたこと、そしてAmazon（アマゾン）とMicrosoftの両方がその判決に沿うことを目的とした新たな措置を発表したことを認識しています。しかし、これらの措置はEUのデータ保護法を完全に遵守するのに十分ではない可能性があり、適切に調査する必要があります」。

AmazonとMicrosoftは、EU機関とのCloud II 契約に適用した特別措置に関する問い合わせに応じているところだ。

【更新1】現在、Microsoftの広報担当者が次のような声明を出している。

当社は、欧州データ保護監督機関から提起された質問に答えるために、EU機関を積極的に支援し、いかなる懸念にも迅速に対応する自信があります。EUのデータ保護要件を確実に遵守し、それ以上の成果を上げるための当社のアプローチに変更はありません。当社の「Defending Your Data」イニシアチブの一環として、EUの公共部門または商業部門のお客様のデータを求める政府の要請に対し、我々に合法的な根拠がある場合はすべて異議を申し立てることを約束しています。また、適用される個人情報保護法に違反してデータを開示し、損害を与えた場合には、ユーザーに金銭的な補償を行います。当社は今後も規制当局の指導に対応し、顧客のプライバシー保護の強化を継続的に図っていきます。

【更新2】Amazonからも次の声明が届いている。

EUの機関は、Schrems IIの要件に準拠してAWSサービスを利用することができ、お客様が欧州データ保護監察機関（EDPS）にそのことを実証してくださることをうれしく思います。顧客データを保護するための当社の強化された契約上のコミットメントは、Schrems II判決で要求されている以上のものであり、法執行機関の要求に挑戦してきた当社の長年の実績に基づいています」と述べている。

EDPSは、EUの機関に模範的な主導を求めていると表明した。欧州データ保護委員会（EDPB）は2020年、Schrems IIの判決の意味するところを実行するための規制猶予期間はないと公に警鐘を鳴らしたが、未だにデータ移転に関する本格的な取り組みがなされていないことを考えると、今回の動きは重要に思える。

対応が遅れていた理由として最も可能性が高いのは、法的基準を満たすことを期待して契約に加えられた、かなりの量の向こう見ずな反応や表面的な変更だろう（ただし規制当局による審査はまだ行われていない）。

EDPBからの最終的なガイダンスも保留中だが、当委員会は2020年秋に詳細な勧告を提示している。

CJEUの判決は、当該領域のEU法は看過されるべきではないことを明確に示した。EUのデータ規制当局がEUのデータを外部へ持ち出している契約を精査し始めることで、必然的にこれらの取り決めのいくつかは不十分であると判断され、関連するデータフローは停止を命じられることになるだろう。

ちなみに、長期戦となっているFacebook（フェイスブック）によるEU-米国間データ移転をめぐる苦情申し立ては、まさにそのような可能性に向けての歩みを遅らせている。申し立ての発端は、EUのプライバシー活動家で弁護士でもあるMax Schrems（マックス・シュレムス）氏によって2013年に提起された訴えにある。

2020年秋のSchrems II判決を受けて、アイルランドの規制当局はFacebookに対し、欧州の人々のデータを海を越えて移動させることはできないとする仮命令を出していた。Facebookはアイルランドの裁判所でこれに異議を唱えたが、今月初めにはその手続きを阻止する試みに失敗した。そのため、数カ月以内に業務停止命令を受ける可能性がある。

Facebookがどう反応するかは誰もが予想しているところだが、シュレムス氏は2020年夏TechCrunchに対し、同社は最終的にEUユーザーのデータをEU内に保存し、サービスをフェデレートする必要があると示唆している。

Schrems IIの判決は、法的な不確実性の問題を解決するために自らを位置づけることができるEUベースのクラウドサービスプロバイダにとって、一般的には朗報になりそうだ（米国ベースのクラウド大手ほど競争力のある価格や拡張性がない場合であっても）。

一方、CJEUの裁判官が繰り返し指摘しているように、EUの人々のデータへの脅威とみなされないようにする目的において、米国の監視法を独立した監督下に置き、市民以外の人々が利用可能な救済メカニズムを確立するには「数カ月」よりもはるかに長い時間がかかる可能性が高いだろう。それも米国当局が自らのアプローチを改革する必要性を確信することができるのならではあるが。

それでも、EUの規制当局が最終的にSchrems IIに対して行動を起こすようになれば、米国の政策立案者の意識を監視改革に集中させるのに役立つかもしれない。そうでなければ、ローカルストレージが将来の新しい標準になることもあり得る。

関連記事
・フェイスブックのEU米国間データ転送問題の決着が近い
・EUがゲイツ氏のBreakthrough Energyと提携、クリーンテックの開発・浸透加速へ
・不正なやり方でCookie同意を求めるウェブサイトの粛清が欧州で始まる
・EUの新型コロナワクチン「デジタルパス」が稼働、ドイツなど7カ国が先行導入
・【コラム】欧州のAIに必要なのは過剰な規制ではなく、戦略的なリーダーシップだ
・英国は大手テック企業を規制するにあたり画一的なアプローチを採用しない方針

画像クレジット：Jason Alden / Bloomberg / Getty Images

【原文】

Europe’s lead data protection regulator has opened two investigations into EU institutions’ use of cloud services from U.S. cloud giants, Amazon and Microsoft, under so called Cloud II contracts inked earlier between European bodies, institutions and agencies and AWS and Microsoft.

A separate investigation has also been opened into the European Commission’s use of Microsoft Office 365 to assess compliance with earlier recommendations, the European Data Protection Supervisor (EDPS) said today.

Wojciech Wiewiórowski is probing the EU’s use of U.S. cloud services as part of a wider compliance strategy announced last October following a landmark ruling by the Court of Justice (CJEU) — aka, Schrems II — which struck down the EU-US Privacy Shield data transfer agreement and cast doubt upon the viability of alternative data transfer mechanisms in cases where EU users’ personal data is flowing to third countries where it may be at risk from mass surveillance regimes.

In October, the EU’s chief privacy regulator asked the bloc’s institutions to report on their transfers of personal data to non-EU countries. This analysis confirmed that data is flowing to third countries, the EDPS said today. And that it’s flowing to the U.S. in particular — on account of EU bodies’ reliance on large cloud service providers (many of which are U.S.-based).

That’s hardly a surprise. But the next step could be very interesting as the EDPS wants to determine whether those historical contracts (which were signed before the Schrems II ruling) align with the CJEU judgement or not.

Indeed, the EDPS warned today that they may not — which could thus require EU bodies to find alternative cloud service providers in the future (most likely ones located within the EU, to avoid any legal uncertainty). So this investigation could be the start of a regulator-induced migration in the EU away from U.S. cloud giants.

Commenting in a statement, Wiewiórowski said: “Following the outcome of the reporting exercise by the EU institutions and bodies, we identified certain types of contracts that require particular attention and this is why we have decided to launch these two investigations. I am aware that the ‘Cloud II contracts’ were signed in early 2020 before the ‘Schrems II’ judgement and that both Amazon and Microsoft have announced new measures with the aim to align themselves with the judgement. Nevertheless, these announced measures may not be sufficient to ensure full compliance with EU data protection law and hence the need to investigate this properly.”

Amazon and Microsoft have been contacted with questions regarding any special measures they have applied to these Cloud II contracts with EU bodies.

Update: A Microsoft spokesperson has now sent this statement:

“We will actively support the EU institutions to answer questions raised by the European Data Protection Supervisor and are confident to address any concerns swiftly. Our approach to ensuring we comply with and exceed EU data protection requirements remains unchanged. As part of our Defending Your Data initiative we’ve committed to challenge every government request for an EU public sector or commercial customer’s data where we have a lawful basis for doing so. And we will provide monetary compensation to our customers’ users if we disclose data in violation of the applicable privacy laws that causes harm. We remain committed to responding to guidance from regulators and will continuously seek to strengthen customer privacy protections.”

Update II: Amazon has also now sent us this statement:

“EU Institutions are able to use AWS services in compliance with Schrems II requirements and we are happy to support our customers as they demonstrate this to the European Data Protection Supervisor (EDPS). Our strengthened contractual commitments to protect customer data go beyond what’s required by the Schrems II ruling, building on our long track record of challenging law enforcement requests.”

The EDPS said it wants EU institutions to lead by example. And that looks important given how, despite a public warning from the European Data Protection Board (EDPB) last year — saying there would be no regulatory grace period for implementing the implications of the Schrems II judgement — there hasn’t been any major data transfer fireworks yet.

The most likely reason for that is a fair amount of head-in-the-sand reaction and/or superficial tweaks made to contracts in the hopes of meeting the legal bar (but which haven’t yet been tested by regulatory scrutiny).

Final guidance from the EDPB is also still pending, although the Board put out detailed advice last fall.

The CJEU ruling made it plain that EU law in this area cannot simply be ignored. So as the bloc’s data regulators start scrutinizing contracts that are taking data out of the EU some of these arrangement are, inevitably, going to be found wanting — and their associated data flows ordered to stop.

To wit: A long-running complaint against Facebook’s EU-US data transfers — filed by the eponymous Max Schrems, a long-time EU privacy campaigners and lawyer, all the way back in 2013 — is slowing winding toward just such a possibility.

Last fall, following the Schrems II ruling, the Irish regulator gave Facebook a preliminary order to stop moving Europeans’ data over the pond. Facebook sought to challenge that in the Irish courts but lost its attempt to block the proceeding earlier this month. So it could now face a suspension order within months.

How Facebook might respond is anyone’s guess but Schrems suggested to TechCrunch last summer that the company will ultimately need to federate its service, storing EU users’ data inside the EU.

The Schrems II ruling does generally look like it will be good news for EU-based cloud service providers which can position themselves to solve the legal uncertainty issue (even if they aren’t as competitively priced and/or scalable as the dominant US-based cloud giants).

Fixing U.S. surveillance law, meanwhile — so that it gets independent oversight and accessible redress mechanisms for non-citizens in order to no longer be considered a threat to EU people’s data, as the CJEU judges have repeatedly found — is certainly likely to take a lot longer than ‘months’. If indeed the US authorities can ever be convinced of the need to reform their approach.

Still, if EU regulators finally start taking action on Schrems II — by ordering high profile EU-US data transfers to stop — that might help concentrate US policymakers’ minds toward surveillance reform. Otherwise local storage may be the new future normal.

（文：Natasha Lomas、翻訳：Dragonfly）

Amazon | 本, ファッション, 家電から食品まで | アマゾン

Amazon.co.jp 公式サイト。アマゾンで本, 日用品, ファッション, 食品, ベビー用品, カー用品ほか一億種の商品をいつでもお安く。通常配送無料(一部を除く)

Amazon.co.jp: プライム・ビデオ: Prime Video

Amazon.co.jp：プライム・ビデオ 全品無料配送(一部を除く)。当日お急ぎ便なら注文当日にお届け。コンビニ、ATM、代引きでのお支払いもOK。豊富な品揃えから毎日お安くお買い求めいただけます。

Amazon Music Unlimited | 7,000万曲の楽曲とポッドキャスト

ウェブプレイヤーで、お気に入りの楽曲やポッドキャストを見つけよう。Amazon Music Unlimitedでは、7,000万曲の豊富な楽曲をもとにセレクトしたプレイリストをお楽しみいただけます。

Amazonビジネス|法人・個人事業主様向け通販サービス

Amazonビジネスは、個人向けのAmazon.co.jpに、ビジネス向けの機能やサービスを追加した、あらゆる業種の調達・購買ニーズに対応する、法人・個人事業主様向けのEコマースです。ご登録は無料。ぜひ一度、お試しください。

‎「Amazon ショッピングアプリ」をApp Storeで

‎「Amazon ショッピングアプリ」のレビューをチェック、カスタマー評価を比較、スクリーンショットと詳細情報を確認することができます。「Amazon ショッピングアプリ」をダウンロードしてiPhone、iPad、iPod touchでお楽しみください。

Amazon Pay | 簡単で安心なオンライン決済を | アマゾンペイ

Amazonが提供する決済サービス「Amazon Pay(アマゾンペイ)」は簡単で安心・安全なオンライン決済を提供します。amazonpay とは、ECサイトに導入すれば、カート離脱率を改善し、コンバージョン率を高めるだけでなく、新規会員の獲得にもつながります。

Amazonに出品する | ECビジネスを始める

Amazonでの出品をお考えですか？何百万ものカスタマーにリーチし、AmazonでのECビジネスの拡大と共に、収益を上げ続ける方法をご覧ください。

お問い合わせ — 購入者様 | Amazon Pay ヘルプ

Amazon Payのサービス改善にご協力いただき、ありがとうございます。 FAQ お問い合わせ ヘルプ 採用情報 ©2020 Amazon.com, Inc. or its Affiliates 利用規約 プライバシー規約 マーケットプレイス保証 ...

アマゾン - Wikipedia

Amazon.com - アメリカ合衆国のネット通販サイト Amazon.co.jp - 上記Amazon.comの日本法人 人物あるいは映像 アマゾーン - ギリシア神話に登場する女性だけの部族 仮面ライダーアマゾン - 日本の特撮ドラマ、およびその主役ヒーロー

Amazon

続行することで、 Amazon の利用規約およびプライバシー規約に同意するものとみなされます。 ログインしたままにする 詳細 今すぐ、ご登録ください。 Amazon出品サービス フルフィルメント by Amazon Amazon Advertising 北米全体での ...

日本マイクロソフト - Official Home Page

マイクロソフトは、世界中のすべての人々とビジネスの持つ可能性を最大限に引き出すための支援をさせていただくことを使命として、Surface などのデバイスからクラウドサービスまで多種多様な製品・サービスの開発・提供により、様々な分野で事業を展開しています。

Microsoft アカウント | サインインするか、今すぐアカウントを ...

Sign In with your Microsoft account. One account. One place to manage it all. Welcome to your account dashboard.

Microsoft ダウンロード センター: Windows、Office、Xbox、そ …

最新版の Windows、Windows アプリ、Office、Xbox、Skype、Windows 10、Edge と Internet Explorer、開発ツールなどをダウンロードできます。Microsoft 365 最新版のOffice アプリ、クラウド 追加ストレージ、高度なセキュリティなど 1 つのサブスクリプションでご利用いただけます。

Microsoft サポート

Microsoft は、Office、Windows、Surface などの製品を支援するためにここにいます。記事、ビデオ、トレーニング、チュートリアルなどを検索します。

Office 365 login

Collaborate for free with online versions of Microsoft Word, PowerPoint, Excel, and OneNote. Save documents, spreadsheets, and presentations online, in OneDrive. Share them with others and work together at the same time.

Microsoft 365

Microsoft アカウントは、Microsoft 365 または Office で行うすべての作業に使用します。Outlook.com、OneDrive、Xbox Live、Skype などの Microsoft サービスを利用している場合は、既にアカウントをお持ちです。

マイクロソフト - Wikipedia

マイクロソフト（英: Microsoft Corporation ）は、アメリカ合衆国 ワシントン州に本社を置く、ソフトウェアを開発、販売する会社である。 1975年にビル・ゲイツとポール・アレンによって創業された [注釈 1]。 1985年にパソコン用OSのWindowsを開発。

適切なアプリが見つかります | Microsoft AppSource

Microsoft AppSource に関するサポートが必要ですか? 必要なヘルプをご提供します。ヘルプとサポートが必要な場合は、Microsoft サポートにお問い合わせください。 問い合わせ 最新情報 Surface Laptop 4 Surface Laptop Go Surface Go ...

My Account

You need to enable JavaScript to run this app. My Account. You need to enable JavaScript to run this app

Microsoft Support

Microsoft is here to help you with products including Office, Windows, Surface, and more. Find articles, videos, training, tutorials, and more.