headless 曰く、

やや旧聞であるが、ドイツのデータ保護機関 (DSK) が Microsoft 365 は欧州の一般データ保護規則 (GDPR) に違反するとの報告書を 11 月 25 日に公開したところ、Microsoft が即日反論している (DSK の報告書概要: PDF、 Microsoft のニュース記事、 heise online の記事、 Ghacks の記事)。

報告書では Microsoft が 2022 年 9 月に更新したデータ保護追加契約(DPA)について、いくらかの改善はみられるものの Microsoft がどのような場面で個人データの処理者となるのか明確にされておらず、処理の目的も具体的でないと指摘。また、米国へデータを送信することなく Microsoft 365 を使用することはできず、Schrems II 判決により EU 域内で合法的に使用することが困難であるとし、Microsoft は 2022 年 12 月からEU域内の顧客のデータを原則として EU 域内で保存・処理するようになるが、実施状況は今後評価していく必要があるなどと結論付けている。なお、ジョー・バイデン米大統領は 10 月 7 日に米国と EU 間でのデータ保護の枠組みを作るよう命ずる大統領令に署名しているが、具体的に実施されていないことから報告書では考慮されていない。

一方、Microsoft は顧客データを顧客の所在地域内にとどめる Advanced Data Residencyやデジタル主権ソリューション Microsoft Cloud for Sovereignty、2022 年末までに EU 域内の顧客のデータをすべて EU 域内で保存・処理できるようにする EU Data Boundary を挙げ、Microsoft 365 が GDPR に準拠するだけでなくそれを上回る個人データ保護を提供していると反論する。Microsoft は米国と EU 間のデータ保護の枠組みを支持しており、米国では個人監視に関する法令が改正されて個人情報の保護も改善されている。そのため、2023 年には欧州委員会が GDPR に基づいて適切な判断を下すことを期待しているとのことだ。