欧州議会(EP)は、米国政府が新たな法律を通じて大規模監視プログラムのもとでEU市民のプライバシー権が侵害されないことを保証できない限り、9月1日までに欧州連合(EU)と米国間のプライバシーシールドデータ移転協定の停止を求める決議を可決した。
米国の大規模監視時代におけるプライバシーシールド
2015年、オーストリアのプライバシー活動家で、現在は非営利団体「None Of Your Business (noyb)」の創設者であるマックス・シュレムスは、Facebookに対する訴訟を通じて、EUと米国間の15年間続いたデータ転送協定を単独で破棄することに成功した。
しかし、国家安全保障に関する内部告発者エドワード・スノーデンが暴露した文書の恩恵を受けていなかったら、彼の訴訟はそれほど進展しなかったかもしれない。これらの文書は、米国政府が米国のインターネットケーブルを通過するすべてのデータを傍受するプログラムと、諜報機関がテクノロジー企業のサーバーに直接アクセスできるようにするプログラムを導入していたことを証明していた。
これらのプログラムのほとんどは、今年1月にさらに6年間延長されたFISA第702条と、レーガン政権時代の大統領令12333によって可能になった。これらの法律と命令が施行され、EU市民のデータがアメリカ人や他の外国人のデータと一緒に収集されないことを保証する新しい法律がない限り、EU基本権憲章の下でEU市民のプライバシー権は侵害されることになる。
欧州司法裁判所は以前、他国とその企業がEU市民のデータを処理するためには、そのデータがEU域内で保証されているものと「同等の」プライバシー保護を受けなければならないとの判決を下しました。これは、GDPRのような法律を制定するだけでなく、米国政府の大規模監視プログラムから市民を保護する法律も制定する必要があることを意味します。
欧州議会議員(MEP)は、最近のケンブリッジ・アナリティカのスキャンダルにも言及し、Facebookとケンブリッジ・アナリティカの両社がプライバシーシールド協定の対象であるにもかかわらず、関係当局(この場合はFTC)による両社への監視が不十分であったことを指摘しました。決議に賛成票を投じたMEPは、企業のコンプライアンスをより適切に監視するために、プライバシーシールド協定を改訂する必要があると考えています。
欧州議会議員らはまた、法執行機関と大手テクノロジー企業の双方から支持されている最近可決されたCLOUD法についても懸念を示した。同法は、ユーザーのデータがEU内に保管されている場合でも、米国政府がユーザーのデータを自由に取得できる権限を与えるものだからだ。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
国家安全保障監視委員会 PCLOB も最近トランプ政権によって解体されたという事実も欧州議会議員にとってもう一つの懸念材料だ。これは米国の諜報機関が EU 市民と米国人のデータをどのように扱っているかに対する監視が弱まることを意味するからだ。
プライバシーシールドは最後の息吹を帯びている
現在の形のプライバシー シールド協定は、欧州連合司法裁判所 (CJEU) の判決から数か月以内に欧州委員会によって急いで制定されただけでなく、以前のセーフ ハーバー協定を破棄した CJEU の判決で最も重要な点、つまり EU のデータは他国で処理される際には同等のプライバシー法の下で保護される必要があるという事実に準拠していないため、存続できるとは到底思えませんでした。
プライバシーシールドは、米国政府に対し、セーフハーバー条項の該当部分を適切に遵守することを要求したことはありません。プライバシーシールドが米国政府に要求したのは、EU市民が米国の大規模監視プログラムに巻き込まれたという証拠がある場合に米国政府を訴えることができるようにすることだけです。しかし、米国の監視プログラムが秘密裏に行われていることを考えると、これは容易なことではありません。
さらに、プライバシーシールド協定により、米国政府が自国の企業によるEUのプライバシー法違反の監視をEU機関ではなく自ら行うことが許可された。
公民権委員会委員長兼報告者のクロード・モラエス氏(S&D、英国)は次のように述べた。
この決議は、現行のプライバシーシールドでは、EUデータ保護法およびEU憲章で求められる適切なレベルの保護が提供されていないことを明確にしています。セーフハーバー協定の改善は進展していますが、個人データの移転に必要な法的確実性を確保するには不十分です。
Facebookやケンブリッジ・アナリティカのスキャンダルのようなデータ漏洩事件を受けて、データ保護という基本的な権利を守り、消費者の信頼を確保することがこれまで以上に重要になっています。法律は明確であり、GDPRに定められているように、合意が不十分で、米国当局がその条項を遵守しない場合は、遵守するまでその合意は停止されなければなりません。
米国政府が自国の機関の監視権限を制限する新たな法律を可決しない限り、欧州議会が9月1日にプライバシーシールドを停止するかどうかは、最終的には重要ではないかもしれない。なぜなら、プライバシーシールド協定も間もなく欧州司法裁判所(CJEU)に持ち込まれる予定であり、CJEUがセーフハーバー協定を無効と判断したのと同じ理由、つまり米国法がEUのプライバシー法と一致していないという理由で、プライバシーシールド協定を無効と判断する可能性が高いからだ。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
