アイルランド高等裁判所は新たな判決で、Facebookによるプライバシーシールド協定の適用に対するマックス・シュレムス氏とアイルランドデータ保護コミッショナー(DPC)の訴えを欧州連合司法裁判所(CJEU)に付託した。CJEUは、プライバシーシールドが米国の大量監視からEU市民を保護するかどうかを判断する。
プライバシーシールドの不十分さ
マックス・シュレムズ氏が最初にフェイスブック社を訴えたのは、内部告発者のエドワード・スノーデン氏が、NSAがあらゆる人の通信を盗聴しており、そのデータにさらに直接アクセスするために特定のテクノロジー企業や無線通信事業者と契約を結んでいたことを暴露した後のことだ。
彼の訴訟は最終的に欧州司法裁判所に持ち込まれ、同裁判所はEUと米国間のセーフハーバー協定はEU基本権憲章に従って作成されていないため無効であるとの判決を下した。
この判決を受けて、欧州委員会(EC)は米国との間で、プライバシーシールドと呼ばれる新たな協定を迅速に起草・締結しました。これはセーフハーバーの法的改善となるはずでした。しかし、米国がEU市民がEUの大規模監視プログラムの影響を受けないようにするための法律を制定しなかったため、この協定も不十分と思われました。
EUデータの米国による大規模監視
大規模監視は数年前から悪化するばかりだ。FISA法案の再承認と6年間の延長により、NSAだけでなくFBIや米国の他の民間法執行機関も大規模監視の生データにアクセスできるようになるからだ。
アイルランド高等法院は、米国政府が大量のデータを単に「収集」しているだけでなく、大量のデータを「捜索」していることを事実として立証した。これはEUの人権法に違反するだけでなく、米国憲法修正第4条(相当な理由なく捜索や押収は違法)にも違反するはずである。
裁判所は、国民のデータの大量検索は無差別監視であり、したがってEU基本権憲章およびその他の欧州人権法に違反すると判断した。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
米国政府による大規模監視は、FISA第702条および大統領令第12,333号によって可能となり、PRISMやUpstreamなどのプログラムを通じて行われている。
Facebookは米国の大規模監視を擁護
Facebookは、アイルランドのFacebook子会社を通じて、米国以外のすべてのユーザーを登録しています。訴状によると、Facebookはその後、すべてのデータを処理のために米国に転送しています。同社は米国の法律に拘束されているため、NSAなどの機関が様々な国家安全保障プログラムを通じてこれらのデータの多くを処理することを許可しています。
訴訟において、フェイスブック社は米国の大規模監視は「国家安全保障」の問題でありEU法の適用範囲外であり、国家安全保障の問題は加盟国の条約で規定されていると主張して擁護した。
フェイスブックはまた、EU内で行われるか米国などの他国で行われるかにかかわらず、国家安全保障上の問題のためにEU市民のデータを処理することにはEU法は適用されないと主張した。
EU基本権憲章と欧州人権条約は、政府による国民に対する無差別な捜索は認められないと明確に規定しているため、Facebookの主張が認められる可能性は極めて低い。しかしながら、この問題はCJEUの判断を待つことになる。
影響を受けるEU市民に対する実質的な救済策はない
ECはプライバシーシールド協定を起草した際、米国の大規模監視の影響を受けたEU市民に何らかの救済手段を与えることを目的としたオンブズマンの仕組みを追加した。
アイルランド高等裁判所は、オンブズマンはECの管轄下にあるため独立した機関ではなく、常設の役職でもないことから、この仕組みは全く不十分であると判断しました。これは、憲章第47条が司法審査、あるいは少なくとも独立した法廷の設置を義務付けていることを考えると、問題です。
裁判所はまた、米国法では監視対象者に監視のいかなる時点においても通知することを機関に義務付けていないという事実も指摘した。これは、監視対象者が米国の監視対象であることを知ることさえほぼ不可能であることを意味する。
アイルランド高等裁判所は、国家安全保障監視の合法性を判断する基準は、監視が「厳密に必要かつ相応である」かどうかを判断することであると指摘した。米国の大規模監視プログラムは、単一の調査で数十万人、あるいは数百万人を一度に「標的」にすることができることを考慮すると、これらのプログラムは「厳密に必要かつ相応である」という合法性の要件を満たしていない可能性が高い。
プライバシーシールドは、CJEUによる次回の審査で失効する可能性が非常に高くなっています。つまり、ECは以前のように不意を突かれることのないよう、新たなシールドの準備を開始すべきです。さらに、米国の監視法に大きな変更が加えられる可能性も高いため、米国政府との協議も開始する必要があります。CJEUがプライバシーシールドを無効とした場合、米国とEUが次回の協定を長期的なものにするためには、こうした変更が必要となるでしょう。
