欧州データ保護監督機関(EDPS)は3月11日、欧州委員会に対し、EU規則2018/1725に違反していると判断。欧州委員会に12月9日までに同規則に準拠することを命じた。
今回の事案は、欧州委員会がマイクロソフトの「Microsoft 365」を使用していることに関し、同サービスが、同規則が規定している「EU/EEA域外に移転される個人データが、EU/EEA域内で保証されるのと本質的に同等のレベルの保護を受けられるようにするための適切な保護措置の提供」を満たしていないと判断されたもの。具体的には、個人情報の収集目的が十分に明示されていないと判定した。
EU規則2018/1725は、2016年に制定されたEU一般データ保護規則(GDPR)の内容を、EU機関としても履行するために2018年に制定された。EU規則2018/1725は、個人情報の取扱についてかなり厳格に規定しており、また同規則に基づき、欧州データ保護監督機関(EDPS)が創設されている。
今回の命令では、12月9日までに、同規則の規定を準拠していないサービスに対するデータフローを全て停止するよう伝えた。これにより、Microsoft 365が同規則に対応できない限り、欧州委員会での同サービスの使用ができなくなる。また、他のサービスに切り替える場合にも、同規則への遵守が求められるため、代替手段が見つからない場合には、クラウド型の業務アプリが使用できなくなる。