EC は Microsoft 365 サービスの使用中に連合データ保護法に違反しました

欧州データ保護監督局(EDPS)によると、欧州委員会は Microsoft 365 サービスの使用中に欧州連合のデータ保護法に基づくいくつかの重要なデータ保護規則を遵守していませんでした。

EDP​​S は、EU 機関内のデータ保護監査の実施を担当する独立機関であり、違反を是正するための是正措置を講じることができます。

EDP​​SのWojciech Wiewiórowski氏は次のように述べています。

調査の主な結果は、EC がマイクロソフトとの契約で、収集できるデータの種類とその目的についての言及を怠ったことを示しています。

さらに、EC は、個人の個人情報の保護を確保する上で重要な、欧州連合域外へのデータ転送に関する適切な保護措置を講じていませんでした。

欧州データ保護監督官は欧州委員会に対し、Microsoft 365 サービスの使用を EU の厳格なデータ保護規制に準拠させるよう命令しました。また、規制に準拠していない Microsoft 365 データ フローが 2024 年 12 月 9 日から停止されることも通知しました。

この侵害は、2021 年 5 月 21 日に始まり、2024 年 3 月 8 日の EDPS 決定までの 3 年間にわたって発生しました。

欧州データ保護監督官は、ECがデータの用途を明確にしていなかったため、ECはMicrosoftとの適切な契約仕様を確保できなかったと述べ、これについてMicrosoftを責めなかったと述べた。

EDP​​S は EU に過失があると認定したため、個人データの処理に関する EU 規制 2018/1725 を施行しました。これは、特に外部サービスプロバイダーと連携する場合、堅牢なデータ保護対策がいかに重要であるかを示しています。

この事件は、ヨーロッパでビジネスを行う人々に、将来の問題を回避するために、契約上のあらゆる細かい詳細に注意を払い、規制の枠組みを遵守するよう思い出させます。

この件についてどう思いますか？以下のコメントセクションでご意見をお聞かせください。

クラウドベースのサービスを含め、EU/EEA 域外および域内での個人データの処理に堅牢なデータ保護措置が講じられていることを確認するのは、EU の機関、団体、官庁および機関 (EUI) の責任です。そして対策。これは、個人のデータが EU によって、または EU に代わって処理される場合は常に、規制 (EU) 2018/1725 の要求に従って、個人の情報が確実に保護されるようにするために不可欠です。