背景

ミャンマー市民は、通信大手のテレノールグループに対し、ミャンマーでの事業売却に伴う機密ユーザーデータの管理権の危険な移行を止めるよう、ノルウェーのデータ保護当局に申し立てた。

SOMOの支援を受けたSANDS法律事務所がミャンマー・テレノールの顧客を代表して提出されたこの申立書では、ノルウェー企業のテレノール社がミャンマー子会社を売却することで、ミャンマーにいる1800万人超のテレノール社顧客のプライバシーが侵害され、ノルウェーが準拠しているEU一般データ保護規則（GDPR）違反に当たると主張している。

テレノール社はミャンマー事業をレバノン企業のM1グループに売却することになっており、活動家たちは懸念を示している。報道によると、この売却には、電気通信会社の経営経験がなく、宝飾品・石油を取り扱う国軍系企業、シュエビャインピュー社率いる企業連合も関与している。また、メディアの報道によると、売却は2月15日までに完了する見通しである。

SANDSのプライバシーおよびデータセキュリティ法専門家、Ketil Sellæg Ramberg氏は次のように述べている。「本申立てでは、テレノール社のミャンマー子会社売却にもGDPRが適用されることを主張している。非常に深刻な結果を招く恐れがあるため、ノルウェーのデータ保護当局には、本件を緊急に調査し、テレノール・ミャンマー顧客の権利が侵害されないよう、権限を行使するよう要請する。」

[...]

高額な「賭け」

テレノール・ミャンマーの売却により、テレノールグループは1億500万米ドルを獲得することになる。しかしながら申立てでは、個人情報の移転もこの獲得額に含まれていることから、この売却はGDPRの重大な侵害に該当すると主張されている。テレノール社は、前会計年度からの全世界年間収益、最大4％（いずれかの高い方）の罰金を課される可能性がある。テレノール社の2020年売上高、130億米ドルに基づくと、罰金は5億米ドルを超える計算である。

テレノール・ミャンマー売却にGDPRはどのように適用されるのか

GDPR第3条は、処理がEU圏外で行われている場合でもGDPRが適用される場合の条件を以下のように示している。

本規則は、その取扱いがEU 域内で行われるものであるか否かを問わず、EU 域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。

テレノールグループがミャンマーで行われたデータ処理に責任があるというのが、以下の点に基づく申立人の見解である。

• テレノールグループはEU域内の管理者に該当するため、GDPRの適用対象となる。
• テレノールグループは、その子会社であるテレノール・ミャンマーが顧客データをどのように処理するかに関して現実的かつ効果的な影響を及ぼす

さらに、テレノール・ミャンマーの売却を決定したのはテレノールグループ自身であり、売却による収益を受け取ることになる。テレノールグループが顧客データを含む子会社を売却する場合、データのプライバシー権を適切に確保する必要がある。

OECDへの苦情

今回のGDPR申立ては、2021年7月にSOMOがミャンマーの市民社会組織474団体を代表して提出したOECDガイドラインの苦情申立てに続くものである。テレノール社がミャンマーから撤退する際、顧客に対する深刻な人権リスクを十分に軽減できなかったため、本売却はOECDガイドラインに違反すると主張している。OECDガイドラインのノルウェー窓口は、ユーザーの深刻なセキュリティリスクに関する議論を解決するために調停を申し出ているが、実現には至っていない。