昨年、欧州連合司法裁判所(CJEU)は、EU市民のデータが米国のサーバーに転送される際に保護されることになっていた米国とEU間の「セーフハーバー」協定は無効であるとの判決を下した。
ほとんどの場合、米国政府は自国民に対してさえ、これほど強力な保護を与えていません。例えば、ごく最近まで、米国政府は10年以上にわたり、事実上すべての米国人の通話記録を一括収集することを許可されていました。これは米国自由法の成立によりある程度制限されましたが、米国政府がどのようにして国内のインターネット光ファイバーケーブルにアクセスしているかについては、依然として疑問が残っています。
また、つい最近、米国政府は予算包括法案の修正案として、新たな「サイバー愛国者法」であるCISAを可決しました。CISAには実質的にプライバシー保護がなく、NSAが直接または国土安全保障省(DHS)を通じてデータを大量に収集することが可能です。
司法救済
米国政府は、自国民に関するあらゆる種類の情報を引き続き大量に収集できるし、またそうすべきだと主張しているにもかかわらず、米国の監視によって被害を受けたと考えるEU市民に対し、司法上の救済措置を与えることに同意した。これは欧州委員会との交渉において重要な部分であった。
この一環として、プライバシー侵害の苦情が申し立てられた企業は、一定の回答期限を遵守する必要があります。各国のデータ保護当局(DPA)は、米国連邦取引委員会(FTC)と連携して紛争解決を図ることができます。苦情がNSAに向けられた場合、新たなオンブズマンが設置され、ユーザーと米国およびEU政府の間の独立した調停者となります。いつ、どのような状況で裁判に持ち込まれるかは明らかではありません。
小さな監督の改善
旧セーフハーバーは、企業に対する強力な監督体制が欠如していること、そして企業がEU市民に対して適切なプライバシーを提供していることを実質的に自己証明できることを認められていたことなどから、しばしば批判を受けてきました。明白な理由から、これは決して容認されるべきではありませんでした。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
この状況は新たな合意によっていくらか改善されたようだ。米国商務省とFTC(連邦取引委員会)による企業監視がより厳しくなるからだ。問題は、これら2つの米国政府機関が、米国企業がEUのプライバシー法を遵守することを確保する責任を負うことになる点だ。しかし、すべての違反を発見するための適切なインセンティブやツールが彼らに備わっているとは考えにくいため、実際にこれがどれほどうまく機能するかを見守る必要がある。
米国企業が人事データを扱う場合にのみ、欧州のデータ保護当局の決定に従わなければなりません。
透明性がやや向上
セーフハーバー協定においては、EUは米国企業と米国政府がその保護措置を遵守していると単純に想定していたように見えましたが、新たな「プライバシー・シールド」では、協定の有効性を評価するための年次共同レビューが実施されます。レビューには、国家安全保障へのアクセス問題も含まれます。
米国政府はまた、欧州委員会に対し、EU市民のデータへのアクセスは「明確な制限、安全策、監視メカニズム」の下でのみ法執行機関と諜報機関に許可するとの書面による保証を与えた。
しかし、ここで問題となるのは、それが具体的に何を意味するのかが不明瞭であるということです。米国政府は、NSAやその他の法執行機関に対してこれまで主張してきた、かつての「監視」について言及している可能性がありますが、それは多くの人が望むほど強力ではありません。たとえその監視が強化されたとしても、それは法律ではなくホワイトハウスの政策を通じて行われるでしょう。つまり、この合意は、あまり尊重されない可能性のある、不安定な前提に基づいているということです。
外部からの批判
欧州版EFFとも言える欧州デジタル権利団体(EDRi)によると、EU議会議員たちは米国が交渉を真剣に受け止めていないと批判している。EDRiもこの評価に同意し、米国はEU市民と米国市民双方のプライバシーを強固に保護するための新たな法律を制定していない。むしろ、CISAのような法律を制定するなど、その逆の方向に進んでいる。EUは、米国政府が大規模監視権力を乱用していないという米国大統領の書面による約束に頼らざるを得ない。
「皇帝は新しい服を試着しているところです。今日の発表は、大西洋の両岸のヨーロッパ市民と企業が、この新たな暫定的な解決策が失敗するのを待つ間、長期間にわたる不確実な状況に直面することを意味します」と、欧州デジタル権利局のエグゼクティブディレクター、ジョー・マクナミー氏は述べています。
エドワード・スノーデン氏も、新たな合意は予想よりもはるかに弱いという結論に同意しているようだ。
EUと米国間のこのような合意の核心にある最大の問題は、この合意がCJEUによる更なる精査に耐え得るためには、米国はEUのデータが米国に移転される際にEU市民に対して「本質的に同等の」プライバシー保護を保証しなければならないという点です。米国政府はそれを保証するための強力なプライバシー法を制定する意欲がないため、新たな「プライバシーシールド」協定が新たな訴訟を乗り越えられるかどうかは非常に不透明です。
ルシアン・アルマスはTom's Hardwareの寄稿ライターです。@lucian_armasuでフォローできます。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
