欧州委員会でのMicrosoft 365の使用についてプライバシー監視機関が個人情報保護規則違反だと指摘、欧州委員会に是正措置が課される
ヨーロッパデータ保護監察官(EDPS)が2024年3月11日、欧州連合(EU)における欧州委員会がMicrosoftのサブスクリプションサービス「Microsoft 365」を使用していることについて、「EUの個人情報保護規則に違反している」と指摘しました。
EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN
(PDFファイル)https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf
European Commission’s use of Microsoft 365 infringes data protection law for EU institutions and bodies | European Data Protection Supervisor
https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en
In its investigation, the #EDPS @W_Wiewiorowski has found that the @EU_Commission has infringed several key data protection rules when using Microsoft 365. In its decision, the EDPS imposes corrective measures on the Commission. Read Press Release:https://t.co/XsMDnsfSGk pic.twitter.com/shvufa3KUx
— EDPS (@EU_EDPS) March 11, 2024
EU Commission's use of Microsoft software breached privacy rules, watchdog says | Reuters
https://www.reuters.com/technology/eu-commissions-use-microsoft-software-breached-privacy-rules-watchdog-says-2024-03-11/
European Commission broke data protection law with Microsoft • The Register
https://www.theregister.com/2024/03/11/european_commission_infringed_data_protection/
EDPSによると、欧州委員会はEUや欧州経済領域(EEA)外への個人データの転送に関する規則を含む、複数のデータ保護規制に違反しているとのこと。EDPSは「欧州委員会は、EUおよびEEA外に転送される個人データが同領域内で保証されているのと本質的に同等のレベルの保護を受けられるようにするための適切な保護措置を提供していません」「さらに、Microsoftとの契約において、欧州委員会はMicrosoft 365を使用する際に、どのような種類の個人データを収集しているのか、また、どのような目的で収集しているのかを十分に規定していません」と指摘しました。
さらにEDPSは2024年12月9日までに、Microsoftや、EUと個人情報保護協定を結んでいない第三国に拠点を置く関連企業に対し、Microsoft 365の使用によって生じる全てのデータフローを停止するよう命じました。また、欧州委員会に対しては個人情報保護規則を順守するための措置を講じ、Microsoftにデータを転送することを停止するよう是正措置を課しました。
EDPSのヴォイチェフ・ヴィエヴィオロフスキ監督官は「クラウドベースのサービスを含むEUおよびEEA内外での個人データの処理に、強固なデータ保護措置と対策が伴うことを保証するのは、EUの機関や団体、事務所の責任で、個人情報を確実に保護するために不可欠な命令でした」と述べています。
EDPSの調査では、「発見された問題の多くは、Microsoft 365を使用する際に欧州委員会および委員会に代わって実行される全ての処理操作に関するものであり、多数の個人に影響を与える」ことが報告されています。Microsoftの広報担当者は「EDPSが提起した懸念は、主にEUの機関にのみ適用される法律『(PDFファイル)EUDPR』の下での透明性の厳格化に関連しています。そのためヨーロッパに住むお客様は、GDPRに完全に準拠したMicrosoft 365を引き続き使用でき、これからもサポートやガイダンスが継続されます」と述べています。
なお、欧州委員会は今回の命令に対してコメントを残していません。
・関連記事
Microsoftが「OfficeとTeamsの抱き合わせ販売は独占禁止法違反」との疑いでEU規制当局の調査を受ける - GIGAZINE
MicrosoftがOfficeとTeamsの抱き合わせ販売を廃止する可能性、Slackからの苦情でEUが独禁法違反調査をしようとしたため - GIGAZINE
Microsoftによる8兆円規模のActivision Blizzard買収作戦についてEUが独占禁止法に関する警告を準備している - GIGAZINE
AppleがEUの独占禁止法違反で800億円超の罰金を科せられる - GIGAZINE
MicrosoftがOneDriveの刷新を発表、AIサービス・Copilotも使えるように - GIGAZINE
・関連コンテンツ
