欧州連合司法裁判所(CJEU)が米国と欧州連合(EU)間のデータ移転に関する以前の協定は無効であるとの判決を下した後、欧州委員会はすぐに「プライバシーシールド」と呼ばれる新たな協定を策定した。
プライバシーシールド批判
プライバシーシールド協定を批判している人は多く、その中にはエドワード・スノーデン氏や、元々のセーフハーバー協定が無効とされる訴訟を起こしたオーストリアの弁護士マックス・シュレムス氏もいる。
主な懸念は、米国がEUのプライバシー保護と「本質的に同等」なプライバシー保護を提供できない限り、新しいプライバシーシールド協定は有効にならないというものでした。欧州司法裁判所は、EU市民のデータがEU域外に移転される場合、EUと同等のプライバシー保護が適用されるべきであると明確にしました。しかし、米国とのプライバシーシールド協定が締結された当時、米国の法律はほとんど変わっていませんでした。このため、プライバシーシールド協定も、訴訟一つで無効と判断される可能性があるという結論に至りました。
法廷におけるプライバシーシールド
アイルランドのデータ保護コミッショナー(DPC)は、EU域外へのデータ転送に使用されている現在のメカニズムがEU基本権憲章の第7条、第8条、および第47条に準拠していないと判断し、Facebookに対して新たな訴訟を起こした。
アイルランドの裁判所は、米国におけるデータに対する強力なプライバシー保護が欠如しているため、データが米国のサーバーに転送される際にEU市民の権利が侵害される可能性もあるというDPCの見解に同意した。
裁判官は証拠を検討した後、大統領令12333号およびFISA第702条で認可されている「PRISM」および「Upstream」プログラムを使用して、米国のケーブルを通過するデータの「大量かつ無差別な処理」を米国政府機関が行っていることは「明らか」であると結論付けた。
Facebookのデータ転送を停止
アイルランド裁判所はまた、DPCがFacebookを含む特定の企業について、EUと米国間のデータフローを停止する権限を有する可能性があると判断しました。しかし、DPCはFacebookのような企業をEUから排除する責任を単独で負うことを望んでいないようで、既存のデータ移転協定は破綻しており、見直す必要があると主張しています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
DPCにそのような権限があったとしても、DPCは国家レベルでしか活動できないため、おそらくあまり効果的ではないでしょう。したがって、Facebookが本社を他のEU加盟国に移転した場合、Facebookは再びその場所から全ユーザーのデータを移転できる可能性があります。
同様のケースは既にある。ベルギーのデータ保護当局(DPA)がFacebookに罰金を科そうとしたのだが、裁判所はFacebookのEU本部がアイルランドにありDPAの管轄権がないため罰金を科すことはできないとの判決を下した。
アイルランド高等法院の判決を受け、シュレムズ氏は次のように述べた。「アイルランド高等法院の判決を歓迎します。米国外の中立的な裁判所が、5週間にわたる審理で4万5000ページを超える文書を精査した後、米国による監視に関する事実を判決でまとめたことは重要です。Facebookは、あらゆる主張において敗訴したように思われます。」
次は何?
訴訟当事者は10月11日までに、CJEUへの質問事項を準備する予定です。その後、CJEUによる判決が出るまで約18か月かかると予想されています。前回この訴訟がCJEUに持ち込まれた際は、1年3か月を要しました。
プライバシーシールドの最初の年次見直しにおいて、改善案が提案されるはずだった際、欧州委員会は協定の成果を自画自賛した。これは、国民と29カ国のデータ保護当局からの批判にもかかわらずである。
同団体は、アメリカの機関によって違法に監視されてきたEU市民に救済を与えるのに効果的なオンブズマン制度の強化、および米国国家情報長官室(ODNI)からの具体的な保証を期待していた。
プライバシーシールド協定が無効と判断されるリスクがあるため、欧州委員会は近いうちに協定の実質的な改善に着手する可能性がある。しかし、これらの改善がどの程度まで進むのか、そしてプライバシーシールドの維持を欧州司法裁判所に納得させるのに十分かどうかは、今後見守る必要がある。
この協定には 2 つのパートナーがいるので、プライバシー シールドの改善は、米国政府が EU 市民のデータを保護するためにどのような保証や追加のプライバシー保護を (法律を通じて) 提供する意思があるかによっても左右されます。
FISA法は年末までに失効しますが、米国の両党および現政権の多くの政治家は、プライバシー保護の観点から、変更を加えずに更新するか、あるいはさらに悪化させるかのどちらかを望んでいるようです。しかし、これは欧州委員会にとって、データ移転協定の失効を防ぐためのプライバシー保護の改善策を提案する良い機会にもなります。
データ移転協定は、EUと米国双方に経済的利益をもたらす(米国で処理されるのは欧州人のデータなので、米国の方がより利益をもたらすとも言える)ため、プライバシーシールドを維持することは双方の利益となるはずだ。
