欧州連合司法裁判所(CJEU)がEUと米国間のセーフハーバー協定を無効と判断したのは、この協定が米国の大規模監視からEU市民を保護するための措置を全く講じていなかったためである。その後、欧州委員会は「プライバシー・シールド」と呼ばれる新たな協定を急いで策定し、EU加盟国の市民のプライバシー保護を大幅に強化することを目的とした。
しかし、マクシミリアン・シュレムス氏を含め、当初から多くの人が批判してきた。シュレムス氏の訴訟は最終的にセーフハーバー協定の崩壊につながり、無差別大量監視(欧州連合基本権憲章では違法)が二度と起こらないようにするための十分な強制力がないと批判してきた。
「プライバシーシールド」のリトマス試験
プライバシーシールド協定に対する主な批判の一つは、EU市民の権利が米国企業や政府によるプライバシー侵害から保護されることを保証する責任を欧州当局が負うことすら規定されていないという点です。米国企業のEU法違反を監査する必要があるのは、米国企業の利益保護を担う米国商務省です。この説明に納得できないと感じたら、それは理解できないからです。まるでキツネに鶏小屋の番をさせるようなものです。
もう一つの批判は、大規模監視からどのように保護するのかが明確でないことです。EU加盟国は、米国が約束を守っていないという証拠が見つかった場合、欧州委員会(EC)が適切な行動を取ると信じるしかありません。しかし、米国政府がEU加盟国を違法に監視しているかどうかをECがどのようにして知るのか、米国の情報機関の言葉を信じる以外に、明確ではありません。
ヤフーが、米国の諜報機関に、EU市民を含む自社のユーザーの全メールのスキャンを許可していたと非難する最近のスキャンダルは、プライバシーシールド協定が、米国の大量監視からEU市民を保護するという点(その主な目的)において、本当に効果があるのかどうかを決めるリトマス試験紙となるかもしれない。
Yahoo/NSAのスパイ行為に対する救済メカニズム
プライバシー・シールドは、セーフハーバー協定に比べて2つの主要な改善点をもたらしました。1つ目は、EUがプライバシー・シールドのEU市民の利益保護における有効性を毎年検証し、新たな交渉において協定を修正できるようになったことです。2つ目は、EU市民がスパイ行為を受けた場合、米国政府を提訴できるようになったことです。これは、今年米国で可決された司法救済法によって可能になりました。
しかし、重大な違反がない限り、EUはプライバシーシールド協定を強化するために米国政府との新たな交渉に臨む可能性は低いでしょう。良いニュース、あるいは悪いニュース(見方によっては)は、NSAがすべてのYahoo!ユーザー(EUユーザーを含む)をスパイしていることが、新たな交渉を促すはずだということです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
しかし、これは国民、そしておそらく欧州議会が、欧州委員会(執行機関)に十分な圧力をかけ、交渉を再開させ、今度は正しく行うかどうかに大きく依存するだろう。
司法救済法は、EU 市民である Yahoo ユーザーが、アカウントの無差別監視に対して米国政府を訴える権利も与えるはずであるが、ヨーロッパの Yahoo ユーザーの中にそのような裁判を始める意思があるかどうかはまだ分からない。
ヤフーは告発を「誤解を招く」ものであり、虚偽ではないと主張
ヤフーは、米情報機関が自社のユーザーメールデータベース全体を検索することを許可したという非難が虚偽であるとは言っておらず、当初のロイターの記事が「誤解を招く」ものだと述べただけで、その理由については具体的には説明していない。
少なくとも2つの情報源から裏付けられた最近の別の報告書では、Yahoo!が自社システムに「ルートキットのような」バックドアを許可していたとされています。もしこれが事実であれば、NSAやFBIは当初のロイターの記事で示唆されていたよりも(メールデータベース全体で特定の単語を検索する機能のみ)、Yahoo!システムに対してはるかに自由な権限を持っていた可能性があります。このルートキットのようなバックドアにはかなりの「バグ」があったと報告されており、他の攻撃者がこれを悪用してYahoo!システムに侵入できた可能性があります。
これが、NSAのプログラムが実際に2015年にインストールされたのか、それとも最近発表されたデータ侵害が発生したとされる2014年にインストールされたのかをYahooに確認させた理由の一つです。データ侵害はYahooがバックドアをインストールした後の2015年に発生した可能性がありますが、Yahooは両者を関連付けるのを避けるため、2014年に発生したと発表しました。しかし、データ侵害に関するより詳しい情報が明らかになるまでは、これは単なる推測に過ぎません。
すべてのメールのみを検索するスキャンツールであれ、はるかに広範な機能を備えたルートキットマルウェアであれ、どちらの方法でも、ヨーロッパのユーザーを含むすべてのYahoo!ユーザーを無差別に監視できる可能性があるようです。プライバシーシールド協定がこれを防ぐことができないのであれば、EU市民のプライバシー保護という目的において、この協定は効果を発揮しておらず、依然として大幅な改善が必要なことを認めるべき時が来ているのかもしれません。
私たちはこの問題についてコメントを得るために欧州委員会といくつかの国の個人情報保護当局に連絡を取りました。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
