65
欧州委員会、批判にもかかわらず米国との「プライバシーシールド」協定を採択

欧州委員会(EC)は、米国企業がEU市民のデータを米国に転送することを許可する「プライバシーシールド」協定を正式に採択したと発表した。この協定は、EU市民のプライバシー権を保護するには不十分であり、欧州司法裁判所の要件に準拠していない可能性があるとして、多くの人々から批判されている。

セーフハーバーの後継

昨年、欧州連合司法裁判所(CJEU)は、EUと米国間のデータ移転協定であるセーフハーバー協定を無効とする判決を下しました。この判決の理由は、米国がEU法と「本質的に同等」なプライバシー保護を自国の法律で規定していないためです。特にスノーデン氏の暴露を踏まえ、裁判所はEU市民のデータが米国国内ではEU域内ほど保護されないのではないかと懸念しました。

EU域内の米国企業への過度な混乱を避けるため、欧州委員会は、CJEUの判決にさらに準拠しつつも、米国企業がEU市民のデータを2大陸間で転送できる柔軟性も備えた新たな協定を急いで起草した。

新しいプライバシー シールド契約は、次の 4 つの原則に基づいています。

  1. 米国商務省によるプライバシー審査。協定のプライバシー要件を遵守しない企業には制裁が科せられるか、EUからデータを転送できる企業のリストから除外される。
  2. 米国政府が、米国に転送されたEUのデータを大規模なスパイ活動に使用しないという「保証」と、諜報機関がこのデータへのアクセスを乱用していると考えるEU市民のための救済メカニズム。
  3. 個人の権利のより効果的な保護: EU 市民は、データを収集している企業や米国政府などの当事者によるデータの不正使用に異議を申し立てる複数の方法の恩恵を受けることになります。
  4. 欧州委員会、米国商務省、米国諜報機関および欧州データ保護当局の代表者による年次共同レビュー。

批判

セーフハーバー協定と比較すると、新協定はあらゆる点で大幅な改善のように見えます。しかし、まだ完璧には程遠く、CJEUが求める「本質的に同等」なプライバシー保護要件を満たしていない可能性さえあります。つまり、プライバシーシールドがCJEUに持ち込まれた場合、無効と判断される可能性があります。

新協定で採用された第一原則は、最も問題視されているようにも思えます。米国企業がEUのプライバシー法を遵守しなければならないという状況において、通常は米国企業利益に有利な機関である米国商務省が、プライバシーシールド協定の遵守が必要な米国企業の審査・検証を行うのは、ほとんど意味がありません。EUの機関が企業の遵守状況を直接評価する方が、はるかに理にかなったはずです。なぜなら、ここで問題となっているのはEU市民のデータだからです。

2 番目の原則は、米国政府による大規模監視目的でのデータの使用に対する一定の制限に基づいており、主に 2014 年にオバマ大統領によって可決された大統領政策指令 28 に基づいているようですが、次期大統領によって変更または削除される可能性があります。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

PPD-28や、EU市民に対する大量監視を制限するその他の行政政策、あるいは法的政策が施行されているにもかかわらず、制限は「優先」されているように見えるものの、諜報機関は国家安全保障上必要だと判断した場合、例外を行使してこれらの制限を回避することができます。また、諜報機関は特定の法律用語を、おそらくほとんどの人が予想するよりもはるかに広範な意味に解釈することがよくあることも分かっています。したがって、EUデータの大量監視を制限するためのこれらの保証は、実際にはあまり意味を持たない可能性があります。

米国は最近、EU市民が米国の諜報機関による違法なスパイ行為を受けたと信じる場合に司法救済を認める法律を可決した。これは、米国企業から米国に転送されるEU市民のデータを米国の諜報機関が悪用し始めた場合に役立つ可能性がある。

プライバシーシールドの最も優れた点は、EU市民のプライバシー権保護におけるその有効性が毎年検証されることでしょう。報告書は公開され、欧州議会にも提出されます。これは、現行の協定が不適切と判断された場合、15年も経たないうちに廃止され、その過程で改善が加えられることを意味するかもしれません。また、将来の米国大統領がEU市民のデータに対するプライバシー保護を撤回することに対する防御策としても機能する可能性があります。もしそうなれば、少なくとも理論上は、EUはプライバシーシールド協定をより容易に撤回できる可能性があります。

プライバシーシールドを「運用」するのは米国商務省であるため、米国企業は、フレームワークが連邦官報で公開された後の8月1日から、プライバシーシールドの認証を受けることができるようになる。

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Tips
Posted by Lorlink