ドイツ当局が「Microsoft 365」から“あの国”へのデータ流出を懸念か：独の学校で「Microsoft 365」使用禁止、なぜ？【第2回】

教育機関で「Microsoft 365」の使用を禁止しているドイツ。その背景には、個人情報保護に関する欧州特有の考えがある。どのようなものなのか。

[Sebastian Klovig Skelton，TechTarget]

　ドイツ連邦と16州のデータ保護監督機関で構成されるドイツデータ保護会議（DSK）は、Microsoftのサブスクリプション形式のオフィススイート「Microsoft 365」（Office 365）を、ドイツの教育機関が使用することを禁止している。その背景には、個人情報の保護に厳しい欧州の動きがある。

“あの国”へのデータ転送を問題視

併せて読みたいお薦め記事

連載：独の学校で「Microsoft 365」使用禁止、なぜ？

• 第1回：ドイツの学校では「Microsoft 365」が“使用禁止”に　その理由は？

教育現場でのIT活用

• 公立学校がストレージ刷新で実感した「安さ」だけじゃないメリットとは？
• 公立学校は“遅いVDI”をどう解消？　最大900ミリ秒の遅延が1ミリ秒以下に

　Microsoft 365は「本質的に透明性に欠けている」というのが、DSKの見方だ。規制当局が、Microsoftがどのような情報を収集し、何のために使用しているかを正確に評価することができないと、DSKは主張する。そのためEU（欧州連合）の個人情報保護規則「一般データ保護規則」（GDPR）の下ではMicrosoft 365の使用は「不正だ」と、DSKは結論付けている。

　特にDSKが問題視しているのは、Microsoft 365を利用する際、常に個人情報が米国にあるMicrosoftのデータセンターに転送されることだ。DSKはMicrosoftに協力を求め、米国へのデータ転送を確認したという。「米国へのデータ転送がなくならない限り、教育機関でMicrosoft 365を使用することは不可能だ」とDSKは述べる。

　欧州司法裁判所（ECJ）は2020年7月、欧州連合（EU）と米国の間のデータ共有に関する協定「プライバシーシールド」が無効だという判決を下した。米国家安全保障局（NSA）や他の米国情報機関がデータを収集した場合、EU市民のプライバシーが十分に保たれない可能性があるからだという。

　この判決は、オーストリアの弁護士がECJに提訴したことにちなみ、同弁護士の名字（シュレムス）をとって通称「シュレムスII」と呼ばれる。判決では国際データ転送に際し、EUが定めたデータ移転契約のひな型「SCC」（Standard Contractual Clauses：標準契約条項）が法的根拠として十分であるかどうかの疑問も呈した。企業はデータ転送先に対し、EUの法律と同等のプライバシー保護を保証する責任があると、ECJは判断している。

---

　第3回は、ドイツの規制当局はいつからMicrosoft 365を問題視しているかを見る。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。