EU最高裁顧問がドイツの大規模データ保持法は違法と指摘

国民のデータを(曖昧かつ包括的な「セキュリティ」目的のために)保持したい欧州加盟国政府の欲求と、無差別な大規模監視はEU法の基本原則(プロポーショナリティー、プライバシー尊重など)と相容れないとする主張を繰り返し、基本的権利の擁護を続けるEUの最高司法機関である欧州司法裁判所(CJEU)との戦いは、大規模データ保持に関する国内法令に対する辛辣な法的批判を再度呼び込んだ。

今回矢面に立たされたのはドイツのデータ保持法で、CJEUは、ISP(インターネット・サービス提供者)のSpaceNet(スペースネット)とTelekom Deutchland(テレコム・ドイチュラント)が提起した顧客の通信トラフィックデータを保持する義務に異議を唱える複数の訴訟に続いて裁定する。

判決はまだ出ていないが、現地時間11月18日、CJEU顧問から影響力のある意見として、トラフィックおよび位置データの概略的で無差別な保持は、例外的(国家安全に対する脅威に関連するもの)にのみ認められるものであり、データは永続的に保持されてはならないという見解が示された。

EU司法裁判所のManuel Campos Sánchez-Bordona(マヌエル・カンボス・サンチェス-ボルドナ)法務官の意見を発表したプレスリリースで裁判所は、同法務官は「言及されたどの論点に対する答えも、すでに同裁判所の判例法に含まれているか、そこから容易に推測できると考えています」と述べ、ドイツ法の「極めて広範囲のトラフィックおよび位置データを対象とする」「概略的で無差別な保持義務」は、データを一括収集するものであり、対象を絞った方法(特定の国家安全保障目的など)ではないことから、保管に課せられた制限時間内にEU法と合致させることはできない、とする司法官の見解を明確に提示した。

同司法官は、無差別な一括収集は個人データの漏洩あるいは不正アクセスなど「深刻なリスク」を生むと指摘している。そして、市民のプライベートな家族生活と個人データ保護の基本的権利に対する「重大な干渉」をもたらすと繰り返した。

この見解に法的拘束力はないものの、CJEUの裁定はアドバイザーに合わせられる傾向にある。ただし、この訴訟の最終裁決が下されるのはまだ数カ月先のことだ。

CJEUは、類似の事例を1年前に裁定している。複数のデジタル権利団体が、英国およびフランス法に基づいて行われた国の大規模データ収集および保持に対して異議を申し立てた訴訟で、当時裁判所は限定的なデータ収集および一時的な保持のみが許されるという裁定を下した。

(しかしPoliticoによると、その後フランスは判決の回避方法を探っている。同紙は去る3月に、政府は最高裁判所に裁定に従わないよう要求したと報じた。)

2014年の画期的判決でCJEUは、圏内でデータ保持規則を調和させることを目的とした2006年のEU司令を却下し、この制度は市民の権利に対する過度の介入を構成すると裁定した。それなら加盟国はこれまでにそのメッセージを受け取っているはずだと思うだろう。

しかし、この法的衝突が一段落する見込みはなさそうだ。とりわけ、各国政府の間で汎EUデータ保持法を復活させようとする新たな動きがあることを示す漏洩した討議資料Netzpolitik(ネッツポリティック)が入手し、この夏に報道してたことを踏まえると。

画像クレジット:Vicente Méndez / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nob Takahashi / facebook

EU諸機関によるAWSとマイクロソフトの各クラウドサービス利用について同プライバシー責任者が調査を開始

欧州の主要データ保護規制当局は、EU機関による米国クラウド大手Amazon(アマゾン)とMicrosoft(マイクロソフト)のそれぞれのクラウドサービス利用について、調査を開始した。欧州の団体、機関、官公庁は、AWSおよびMicrosoftの間でいわゆる「Cloud II」契約を締結している。

欧州データ保護監察機関(EDPS)によると、欧州委員会によるMicrosoftのOffice 365の使用についても、以前の勧告への準拠状況を評価するための独立した調査が開始されたという。

Wojciech Wiewiórowski(ヴォイチェフ・ヴィヴィオロフスキ)氏は、2020年10月に発表されたより広範なコンプライアンス戦略の一環として、EUのクラウドサービスの利用を調査している。当該戦略は、欧州司法裁判所(CJEU)による画期的な裁定(通称Schrems II)を受けたものだ。この裁定は、EU-米国間の「Privacy Shield」データ移転協定を無効にし、EUユーザーの個人データが大規模監視体制によって危険にさらされる可能性のある第三国に流出している場合の、代替的なデータ移転メカニズムの実行可能性に疑問を投げかけるものだった。

EUの最高プライバシー規制当局は去る2020年10月、EU加盟国以外の国への個人データの移転について報告するようEU加盟国の機関に要請した。EDPSが米国時間5月27日の発表したところによると、この分析によってデータが第三国に流れていることが確認されたという。また、特に米国への流入が顕著であり、その理由として、EU機関が大手クラウドサービスプロバイダ(その多くは米国を拠点としている)への依存を高めていることが挙げられる。

驚くことではない。しかしEDPSは、Schrems II判決以前に署名された2社との契約がCJEUの判断に沿っているかどうかを見極めたいと考えており、次のステップは非常に興味深いものになるだろう。

実際、EDPSはその準拠性について懸念を示しており、将来的にはEU諸機関に対して代替のクラウドサービスプロバイダ(法的な不確実性を回避するためにEU内に設置されている可能性が高い)を探すことを要請する可能性もある。今回の調査は、規制当局主導による、EUの米国クラウド大手からの移行の始まりとなるかもしれない。

ヴィヴィオロフスキ氏は声明で次のように述べている。「EUの機関や団体からの報告の結果を受けて、私たちは両社との契約が特別な注意を要するものであることを特定しました。それが今回の2つの調査を開始することにした理由です。『Cloud II契約』は『Schrems II』判決前の2020年初めに署名されたこと、そしてAmazon(アマゾン)とMicrosoftの両方がその判決に沿うことを目的とした新たな措置を発表したことを認識しています。しかし、これらの措置はEUのデータ保護法を完全に遵守するのに十分ではない可能性があり、適切に調査する必要があります」。

AmazonとMicrosoftは、EU機関とのCloud II 契約に適用した特別措置に関する問い合わせに応じているところだ。

【更新1】現在、Microsoftの広報担当者が次のような声明を出している。

当社は、欧州データ保護監督機関から提起された質問に答えるために、EU機関を積極的に支援し、いかなる懸念にも迅速に対応する自信があります。EUのデータ保護要件を確実に遵守し、それ以上の成果を上げるための当社のアプローチに変更はありません。当社の「Defending Your Data」イニシアチブの一環として、EUの公共部門または商業部門のお客様のデータを求める政府の要請に対し、我々に合法的な根拠がある場合はすべて異議を申し立てることを約束しています。また、適用される個人情報保護法に違反してデータを開示し、損害を与えた場合には、ユーザーに金銭的な補償を行います。当社は今後も規制当局の指導に対応し、顧客のプライバシー保護の強化を継続的に図っていきます。

【更新2】Amazonからも次の声明が届いている。

EUの機関は、Schrems IIの要件に準拠してAWSサービスを利用することができ、お客様が欧州データ保護監察機関(EDPS)にそのことを実証してくださることをうれしく思います。顧客データを保護するための当社の強化された契約上のコミットメントは、Schrems II判決で要求されている以上のものであり、法執行機関の要求に挑戦してきた当社の長年の実績に基づいています」と述べている。

EDPSは、EUの機関に模範的な主導を求めていると表明した。欧州データ保護委員会(EDPB)は2020年、Schrems IIの判決の意味するところを実行するための規制猶予期間はないと公に警鐘を鳴らしたが、未だにデータ移転に関する本格的な取り組みがなされていないことを考えると、今回の動きは重要に思える。

対応が遅れていた理由として最も可能性が高いのは、法的基準を満たすことを期待して契約に加えられた、かなりの量の向こう見ずな反応や表面的な変更だろう(ただし規制当局による審査はまだ行われていない)。

EDPBからの最終的なガイダンスも保留中だが、当委員会は2020年秋に詳細な勧告を提示している。

CJEUの判決は、当該領域のEU法は看過されるべきではないことを明確に示した。EUのデータ規制当局がEUのデータを外部へ持ち出している契約を精査し始めることで、必然的にこれらの取り決めのいくつかは不十分であると判断され、関連するデータフローは停止を命じられることになるだろう。

ちなみに、長期戦となっているFacebook(フェイスブック)によるEU-米国間データ移転をめぐる苦情申し立ては、まさにそのような可能性に向けての歩みを遅らせている。申し立ての発端は、EUのプライバシー活動家で弁護士でもあるMax Schrems(マックス・シュレムス)氏によって2013年に提起された訴えにある。

2020年秋のSchrems II判決を受けて、アイルランドの規制当局はFacebookに対し、欧州の人々のデータを海を越えて移動させることはできないとする仮命令を出していた。Facebookはアイルランドの裁判所でこれに異議を唱えたが、今月初めにはその手続きを阻止する試みに失敗した。そのため、数カ月以内に業務停止命令を受ける可能性がある。

Facebookがどう反応するかは誰もが予想しているところだが、シュレムス氏は2020年夏TechCrunchに対し、同社は最終的にEUユーザーのデータをEU内に保存し、サービスをフェデレートする必要があると示唆している。

Schrems IIの判決は、法的な不確実性の問題を解決するために自らを位置づけることができるEUベースのクラウドサービスプロバイダにとって、一般的には朗報になりそうだ(米国ベースのクラウド大手ほど競争力のある価格や拡張性がない場合であっても)。

一方、CJEUの裁判官が繰り返し指摘しているように、EUの人々のデータへの脅威とみなされないようにする目的において、米国の監視法を独立した監督下に置き、市民以外の人々が利用可能な救済メカニズムを確立するには「数カ月」よりもはるかに長い時間がかかる可能性が高いだろう。それも米国当局が自らのアプローチを改革する必要性を確信することができるのならではあるが。

それでも、EUの規制当局が最終的にSchrems IIに対して行動を起こすようになれば、米国の政策立案者の意識を監視改革に集中させるのに役立つかもしれない。そうでなければ、ローカルストレージが将来の新しい標準になることもあり得る。

関連記事
フェイスブックのEU米国間データ転送問題の決着が近い
EUがゲイツ氏のBreakthrough Energyと提携、クリーンテックの開発・浸透加速へ
不正なやり方でCookie同意を求めるウェブサイトの粛清が欧州で始まる
EUの新型コロナワクチン「デジタルパス」が稼働、ドイツなど7カ国が先行導入
【コラム】欧州のAIに必要なのは過剰な規制ではなく、戦略的なリーダーシップだ
英国は大手テック企業を規制するにあたり画一的なアプローチを採用しない方針

カテゴリー:パブリック / ダイバーシティ
タグ:EUAWSAmazonMicrosoftMicrosoft Azureプライバシー欧州データ保護監察機関 / EDPS欧州司法裁判所 / CJEU

画像クレジット:Jason Alden / Bloomberg / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

フェイスブックのEU米国間データ転送問題の決着が近い

アイルランドのデータ保護委員会(DPC)は、長期戦となっているFacebook(フェイスブック)による国際的な個人データ転送をめぐる訴訟を直ちに解決させることに合意した。これにより数カ月後には、FacebookはEU域内から米国へのデータ転送を停止せざるを得なくなる可能性がある。

プライバシー活動家であるMax Schrems(マックス・シュレムス)氏が2013年に提出した同訴状は、NSAの内部告発者Edward Snowden(エドワード・スノーデン)氏によって暴露された、米政府の知的機関が大規模な情報監視プログラムの下、Facebookユーザーのデータにアクセスしているという事実とEUのプライバシー権の衝突が発端にある。

シュレムス氏が率いるプライバシー保護団体であるNoybは、同氏の申し立てを中断して新たな訴訟手続きを開始するという決定に対して2020年に提訴したが、やっとのことでその司法審査のプロセスを最終化させ、迅速にシュレムス氏の申し立てを解決すべくDPCは取り組むこととなった。

Noybによると、アイルランド高等裁判所が調査の開始を許可した場合、和解という条件下でDPCの「独自の決断」による手続きとしてシュレムス氏のヒアリングが行われ、また同氏はFacebookによるすべての提出物にアクセスすることが可能となる。

当初の申し立てを再検討する以前にFacebook独自の司法審査の高裁判決を待つとDPCが決定した場合には、さらなる中断が起きる可能性があるとNoybは認識しているものの、シュレムス氏は7年半という長期にわたる訴訟は最終章に向かっており、今後数カ月以内に決着がつくのではないかと予測している。

シュレムス氏は現状を「もどかしいが最大限の可能性がある」と表現し「アイルランドの裁判所は期限の設定に消極的ですが、DPCはそれを利用してタイムラインが見えないと言い続けていました【略】アイルランドの法の範囲内で最大限に強い『迅速な』解決という決断を今回得ることができました」と同氏はテッククランチに語ってくれた。

この訴訟に対する最終的な決定がいつ下されると思うかと質問すると、早ければ2021年の夏だが、現実的には秋頃になるだろうと同氏は答えている。

シュレムス氏は自身の申し立てに対するDPCの対処方法や、さらにはペースの速い巨大テック企業と対照的なスピード感に欠ける政府の執行力に対して声高に非難し、アイルランドの規制当局は、シュレムス氏が申し立ての中で要求したように単にFacebookにデータ転送を停止するよう命じるのではなく、EU域内から米国へのデータ転送の仕組みの合法性についてより幅広く提起している。

この一連の訴訟はすでに莫大な影響力を及ぼしている。2020年の夏、欧州司法裁判所は、個人情報保護においてEUと同等の基準を米国が満たしていないと判断し、EUと米国間のデータ転送の取り決めを取り消すという画期的な判決を下している。

また欧州司法裁判所はデータが危険にさらされている場合にはEUのデータ保護規制当局が介入して第三国への転送を停止させる義務があることを明確にしており、アイルランドの法廷に事態を正すよう促している。

DPCに最新の進展についてコメントを求めると、本日中に回答するという答えが返ってきたため、それについてはまた更新したいと思う。

EUの一般データ保護規則(GDPR)に基づくFacebookのデータ規制当局であるDPCは、欧州司法裁判所による画期的な判決を受けて、2020年9月には同社に対してデータ転送を一時停止するよう予備命令を出している。

しかしFacebookは即座に反撃し、7年以上続く訴訟であるのに関わらず、DPCによる命令は時期尚早だとしている。

Noybは本日、Facebookが今後もアイルランド高等裁判所を利用してEU法の施行を遅らせようとするだろうと述べている。またFacebookは2020年、EUと米国間でデータ転送を行なっている数多くの企業に影響を与える問題の政治的解決策を考え出すために、また米国の新政権がこの問題に対処するための時間稼ぎのために、法廷を使って議員に「合図を送って」いることを認めている

しかし、Zuckerberg(ザッカーバーグ)氏が場当たり的なこの規制ゲームをいつまで続けることができるのかといえば時間の問題だ。今後半年以内に、EUのデータ流出問題は解決を迎えようとしているのだ。

EUと米国政府間の今はなきプライバシーシールドの代替案をめぐり、EUと米国の議員はかなりタイトなスケジュールで交渉を進めて行かなければならない。

欧州委員会は2020年秋、米国の監視法の改正なしには代替案を実現することは不可能だと述べている。米国企業が必要な変更をもたらすため働き掛け、大規模な努力をしない限り、ここまで抜本的な法改正が夏か秋までに実現するとは考え難い。

Facebookは2020年、DPCに予備命令を受けた際に提出した法廷文書の中で、データ転送に対してEUの法案が施行された場合、欧州でのサービス運用を停止しなければならない場合もあると述べている。

しかし同社のPRチーフであるNick Clegg(ニック・クレッグ)氏はすぐにそれを撤回。その代わりに「パーソナライズド広告」はEUにおけるポストコロナの経済回復に必要不可欠であると主張し、データに深く依存したビジネスモデルに対して好意的に見るようEUの議員らに呼び掛けた。

しかし、巨大テック企業にはさらなる規制が必要であり、緩和は必要ないというのが欧州連合の議員間の総意であった。

それとは別に、現在、Bobek(ボベック)法務官の意見に沿ったものであれば、欧州司法裁判所にとって影響力の強いアドバイザーの意見が今後の欧州でのGDPRの施行スピードに影響を与え得る可能性がある。国際的なケースを扱うためのGDPRのワンストップショップメカニズムの結果として起きている、アイルランドのような主要な管轄区域での障害に同氏が目をつけているとも受け取れるからだ。

ボベック法務官は国際的なケースを調査する主管規制当局に能力があるとする一方で「データ保護における主管当局は国際的なケースにおいてはGDPRの唯一の執行者とはみなされず、GDPRが定める関連規則と期限を遵守して、この分野でその意見が重要とされる関連する他のデータ保護当局と緊密に協力しなければならない」と記している。

同氏はまた「緊急措置」の採用を目的とする場合や「データ保護当局が事案を取り扱わないことを決定した後」に介入する場合など、各国のDPAが独自の訴訟を起こすための具体的な条件を提示している。

法務官の意見を受け、DPCのGraham Doyl(グレアム・ドイル)副長官は次のように述べている。「我々と協力関係にあるEUのDPAとともに、我々は法務官の意見に留意し、関連するワンストップショップ規則の解釈という点で裁判所の最終判決を待つこととします」。

アムステルダム大学でデータプライバシーのポスドク研究者を務めるJef Ausloos(ジェフ・オースルース)氏に法務官の発言についての見解を求めたところ、この意見は「実際の保護と執行がワンストップショップメカニズムによって損なわれる可能性があることを明確に認識したもの」だという。

しかし同氏によると、DPAが主管規制当局を回避するための新たな道が法務官の意見から見て取れたとしても、短期的には何の影響力もないとのことだ。「長期的な場合に限って、変化に向けた道は開けていると思います」と同氏はいう。

カテゴリー:ネットサービス
タグ:FacebookEUプライバシーアイルランド欧州司法裁判所

画像クレジット:TechCrunch

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)