<aside>
このページは、Notionのお客様が移行影響評価を完了するための情報とリソースを提供します。
このページは情報提供のみを目的としています。Notionはいつでもこのページを更新または変更する権利を有し、更新または変更が行われた場合は下記の最終更新日を変更します。
</aside>
欧州司法裁判所(CJEU)は「シュレムスII」事件(データ保護コミッショナー対フェイスブック・アイルランド及びマクシミリアン・シュレムス事件、 事件番号C-311/18)において、欧州連合司法裁判所(CJEU)は、米国政府の監視関連法がEU基準を満たすプライバシー保護を提供していないことを理由に、国境を越えたデータ移転メカニズムとしてのEU-米国プライバシーシールドを無効とした。
欧州司法裁判所(CJEU)はまた、EU標準契約条項に基づくEEA個人データの第三国への移転については、受入国の政府監視法がEU基準を満たすプライバシー保護を提供しているかどうかの評価が必要であると判断した。現地法に基づく保護のみが不十分と判断された場合、データ輸出者はEU基準を満たすのに十分な個人データ保護のための補完的措置を特定することが求められる。欧州データ保護委員会は、企業に対し、影響評価の実施を含むこうした補完的措置の実施を指示する勧告を発出している。
欧州司法裁判所(CJEU)は、米国で処理されるEU個人データの保護を損なうとして、米国政府の監視関連法2件を特定した:FISA 702条と大統領令12333号である。
外国情報監視法(FISA)第702条(「FISA 702」)は、外国情報収集を目的として、連邦政府が企業に対し米国外に所在する個人に関するデータの開示を要求することを可能とする米国の法令である。FISA 702は、外国情報監視裁判所と呼ばれる独立した裁判所を設置し、データ収集要求に関する政府命令を審査・承認する。
大統領令12333(「E.O. 12333」)は、米国政府情報機関に対し情報収集活動を実施するよう指示する指令である。E.O. 12333自体は、米国政府機関がデータの開示を強制することを許可するものではない。E.O. 12333は、FISA 702などの法令に基づいてデータを収集しなければならない。
FISA 702は「電子通信サービスプロバイダー」に適用される。この用語は広く定義され、リモートコンピューティングサービスプロバイダーも含まれる。この広範な定義のため、技術的にはNotionもFISA 702の対象となり得る可能性があり、米国に拠点を置くほとんどのSaaS企業も同様である。
しかし、ホワイトハウスが2020年に発表したホワイトペーパーによると、米国政府はFISA 702に基づく情報要求を通信データに集中させている。同白書は、大半の企業が米国政府が関心を持つ種類のデータを処理していないと述べている。また、ほとんどの企業はFISA 702に基づくデータ開示命令を受けたことがなく、米国情報機関にデータを提供したこともないと記されている。
実際には、FISA 702がNotionに適用される可能性は低い。Notionは通信データを処理せず、電気通信事業者でもない。Notionはサービスを利用する顧客に関連するデータのみを転送する。
大統領令12333号がNotionにデータ開示を要求する可能性も低い。同令は米国政府機関によるデータ開示の強制を認めていない。そのような開示要求は、外国情報監視法(FISA)702条のような法令に基づいて処理される必要がある。
下記の最終更新日現在、Notionは米国政府機関から個人データの提供を求める要請を一切受けておりません。これにはFISA 702に基づく国家安全保障上の要請、裁判所命令による要請、緊急要請も含まれます。