EU のデータ越境移転と CJEU 判決に対する Google Cloud のコミットメント
Google Cloud Japan Team
※この投稿は米国時間 2020 年 7 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。
2020 年 7 月 16 日、欧州連合司法裁判所(CJEU)は、EU-U.S. Privacy Shield Framework(EU-US プライバシー シールド フレームワーク)を無効とする判決を下しました。一方、標準契約条項とも呼ばれる EU モデル契約条項(MCC)については有効と宣言しました。これらのメカニズムはどちらも、EU 指令そしてその後の EU の一般データ保護規則(GDPR)に基づき、欧州連合(EU)から EU 域外の国への個人データの合法的な移転を行うために作成されたものです。重要な点は、CJEU が MCC を支持していることから、G Suite と Google Cloud Platform の使用は、EU 域外への個人データの移転に関する GDPR の基準を満たしているということです。
Google Cloud は、2006 年に最初の Google Cloud サービスの提供を開始して以来、常に EU のプライバシー法を遵守するよう取り組んできました。Google Cloud のプロダクトやサービスは最高水準のセキュリティとプライバシーを確保しながら構築されており、ヨーロッパのお客様だけでなく、すべてのお客様が、法律が進化しても規制とコンプライアンスのフレームワークを満たせるように万全を期しています。何百万もの組織が Google のクラウド サービスを利用して事業を運営している中、お客様がグローバルなプライバシーとデータ保護の要請に直接対処できるよう、業界をリードするセキュリティ、第三者監査と証明書、法的コミットメント、コンプライアンスのニーズをサポートするプロダクトやサービスを提供してまいります。
Google Cloud では、2012 年にデータ移転メカニズムとして MCC の提供を開始しました。2017 年には、欧州データ保護会議の前身である第 29 条作業部会により、G Suite と Google Cloud Platform のデータの越境移転に関する Google の規約が欧州委員会の MCC に準拠していることが確認されました。Google のお客様は、Google Cloud の MCC を利用してデータの越境移転を行ってきており、現在もそのことに変わりありません。
データの所在地に関係なく、データ保護は常に Google の優先事項です。Google は今後も ISO 27018 や ISO 27701 などのプライバシーの国際規格に準拠し、認定を取得していく所存です。
Google では、一般データ保護規則(GDPR)の下で許可されるデータ越境移転メカニズムの進化に関する動向を注意深くモニタリングしてきました。判決や関連する動向については現在調査中であり、状況の進展に応じて最新情報をお届けする予定です。
-Google Cloud 政府関連および公共政策担当バイス プレジデント Pablo Chavez