「米国はプライバシー保護不適合」EU判決でネット騒然

この協定が無効になると、フェイスブック、グーグルなどのシリコンバレー企業は、EU域内ユーザーのデータを、米国に持ち出せなくなる。

米国はプライバシー保護不適切につき、米国への個人データの移転協定は無効――欧州連合(EU)司法裁判所が6日に下した判決で、ネットが騒然となっている。

問題視されたのはいわゆるスノーデン事件で明らかになった米NSA(国家安全保障局)によるネット監視。ドイツのメルケル首相の携帯盗聴まで取り沙汰されたこの事件の余波で、これまで欧米間の個人データ移転を保障していた枠組み「セーフハーバー協定」を、無効と断じたのだ

この協定が無効になると、例えばEUを含めてグローバルにサービスを展開しているフェイスブック、グーグルなどのシリコンバレー企業は、EU域内ユーザーのデータを、米国にこれまでのようには持ち出せなくなる。

それだけでなく、米国でもサービス展開するEU企業にも影響するため、EU内からも懸念の声が出るなど、動揺が広がっている。

●欧米のプライバシー保護の基盤

「セーフハーバー協定」とは、EUと米国との間で2000年に締結された個人データの移転に関する特別協定だ。

EUのプライバシー保護法制は官民通した包括的な建て付けで、オムニバス方式(統合方式)と呼ばれている。一方、米国には、基本法のような包括的な保護法制はなく、特定分野のみの対応のため、セクトラル方式(個別分野別方式)と呼ばれている。ちなみに日本は、EUとも米国とも違い、個人情報保護法(基本法+民間規制)と行政機関個人情報保護法が分かれた、官民分離のセグメント方式(分離方式)だ。

EUは1995年に制定した「(個人)データ保護指令」によって、十分な保護措置が取られている(十分性)と認められていない第三国には個人データを移転できない、と定めている。

この十分性の認定基準のレベルは高く、2003年制定の「個人情報保護法」を持つ日本は、これまでEUとの個人データ流通が認められてこなかった

今年9月に成立した改正個人情報保護法は、この「EU十分性」のクリアも大きな狙いの一つでもあった。

ところが米国の場合、プライバシー保護に関する一般法はなく、自主規制がベースになる。

それでも、米商務省が承認した米国企業に対してはプライバシー保護が担保されていると見なすという、アクロバティックな「セーフハーバー協定」によって、EUは米国への個人データ移転を認めてきたのだ。

「セーフハーバー協定」は、EUと米国のプライバシー保護を介した外交戦略「プライバシー外交」(堀部政男・一橋大名誉教授)を象徴する、特例的な取り決めだった。

●プライバシー活動家の訴え

そこに2013年、米NSAがインターネットを通じ、ネット企業などが保有する個人データを含む膨大な監視活動を行っていたことを暴露する、スノーデン事件発覚する

これを受けて、オーストリアのプライバシー保護活動家でフェイスブックのユーザーであるマクシミリアン・シュレムスさんが2014年、フェイスブックを相手取り、自身のプライバシー情報が米当局の監視から保護されるべきだとして、同社の欧州本社があるアイルランドのデータ保護当局に訴えた

アイルランドの保護当局は訴えを退けた。

だが、シュレムスさんはさらにアイルランドの最高裁に対し、「セーフハーバー協定」はもはやEUの個人データ保護基準を満たしていないとして、フェイスブックによる個人データの米国への移転を中止するよう求めた。

この訴えも退けられたのだが、EU加盟国全体に影響のある「セーフハーバー協定」の扱いについては、EU司法裁判所に判断が委ねられることになった

●「セーフハーバー協定」は無効

EU司法裁判所は6日「セーフハーバー協定」は無効だとし、アイルランド当局に実際の情報の移転中止については、米国の個人データ保護の実態を調査の上、判断するよう求めた

判決はこう述べている。

米国の国家安全保障、公益、法執行機関の要求が、セーフハーバーの枠組みより優先されており、セーフハーバーとの間で衝突が起きる場合には、米国側の要求は、個人データ保護の枠組みを無制限に無視する状態になっている。

まさに、NSAによる情報監視が、EUの個人データ保護指令とは相いれないものである、と認定しているわけだ。

この判決を受け、シュレムスさんはフィナンシャル・タイムズの取材に、こうコメントしている

オンラインプライバシーにとっての画期的な判決だ。(中略)米国のビジネス界は、欧州人の基本的人権を侵害するような米政府のスパイ行為に、安易に加担できない、ということを判決が明らかにしたわけだ。

そのきっかけとなった当のエドワード・スノーデンさん本人も、ツイッターで「おめでとう、マックス・シュレムス。君は世界はいい方に変えたよ」と祝意を述べた。

●動転するIT業界

これに慌てたのは、米国政府およびIT業界などの米国企業だ。

米国商務省のペニー・プリツカー長官は、早速、遺憾の声明を発表した。

本日のEU司法裁判所の判決には大変失望した。判決は米国とEU双方の企業、消費者に極めて不安定な状況を生み出し、大西洋をはさんだデジタル経済の繁栄を危険にさらすことになる。

また、訴訟の当事者であるフェイスブックは、政府に対応を求めている

合法的なデータ移転についての確実な方策を引き続き提供し、国家安全保障に関わる問題を解決するよう取り組むことは、EUと米国政府の責務である。

フィナンシャル・タイムズによれば、セーフハーバー協定に基づいて米・EU間の個人データの移転を行っている企業は約4400社にも及ぶという。

この枠組みが崩れれば、EUから米国へのデータ移転にはその都度、承認手続きが必要になり、フェイスブックだけでなく、グーグルやアップルといったシリコンバレー企業は軒並み打撃を受ける。

動揺は、欧州産業界にも広がっている。在欧米国商工会議所や在欧日系ビジネス協議会も含む23の業界団体は13日、早急な対応を求める公開書簡を、欧州委員会に提出している。書簡はこう述べる。

(セーフハーバー)協定には、数千に上る企業が、EU米国間でビジネスのデータ移転の枠組みとして依存しており、その無効化は深刻で破壊的な影響をもたらす。ビジネスデータの流通は、大西洋を挟んだ貿易の促進と、データドリブンな欧州経済の発展の中核を担うものだ。

EUのプライバシー保護当局の代表者が集まる「EUデータ保護指令第29条作業部会」は16日付で声明を発表。判決に基づき、EUの保護基準を満たす個人データ移転について、期限まで明示して米国側に対応を迫っている

2016年1月末までに米当局との間に適切な解決策が見いだせず、さらに当作業部会による(対米)データ移転についての影響評価の結果によっては、EUの個人データ保護当局は、共同での強制執行を含む、必要で適切な対応策を取ることになる。

EU司法裁判決の実務的な結果として、当作業部会はEUから米国への個人データの移転は、もはや2000年の欧州委員会決定(セーフハーバー協定)の枠組みを根拠とはできないことは明らかだと考える。いかなる場合であっても、EU司法裁判決以降に、セーフハーバー協定に基づいて(個人テータ)移転を継続していれば、それは違法である。

●改正法が成立したばかりの日本

一方で、周回遅れを取り戻すはずの改正個人情報保護法が成立したばかりで、マイナンバー導入に浮足立つ日本。

改正個人情報保護法によって、EUの十分性認定に動きだそうというタイミングでの、この大騒動だ。

あまりこじれると、日本がさほどの検証もなく米国に個人データを移転してることも、問題視されかねない。

この騒ぎに、どう絡んでいったらいいのだろう。

(2015年10月17日「新聞紙学的」より転載)

注目記事