欧州のプライバシーキャンペーングループであるnoybは、欧州連合司法裁判所(CJEU、EU最高裁)が「EUと米国の間の主要データの転送協定を安全ではない」として却下してから1カ月後、GoogleアナリティクスおよびFacebook Connectを介して米国にデータを送信していることを特定した101サイトのウェブサイト運営者を対象に訴えを起こした。
訴状に記載されているのは、Eコマース企業、出版社、放送局、通信事業者、ISP、銀行、大学などだ。具体的には、Airbnb Ireland、Allied Irish Banks、Danske Bank、Fastweb、MTV Internet、Sky Deutschland、Takeaway.com、Tele2などが含まれている。
noybはウェブサイト上で「EUの主要ウェブページのHTMLソースコードを分析すると、多くの企業がEU最高裁による重要な判決から1カ月が経過した今でも、GoogleアナリティクスやFacebook Connectを使用していることがわかります。これらのツールは米国の外国情報監視法であるFISA 702などに明確に該当するものです」(noybプレスリリース)と記載している。
「両社は、データ転送についての法的根拠を持っていないようだ。グーグルは『Privacy Shield』(EU-US Privacy Shield、EUと米国間で商用目的での個人データの交換を規制するためのフレームワーク)が無効になってから1カ月経ったいまでもPrivacy Shieldに頼っていると主張している。Facebook(フェイスブック)は米国の監視法がEUの基本的権利の本質に違反していると裁判所が認めたにもかかわらず『SCCs』(Standard Contractual Clauses、標準契約条項)を使い続けている」とある。
TechCrunchでは、EUと米国間でのデータ転送における両社の法的根拠について質問した。フェイスブックの広報担当者は「フェイスブックは個別のケースについてコメントしていない」と述べたが、米国時間8月17日に投稿されたの同社ブログ記事で「広告や計測製品のデータ転送メカニズムとしてPrivacy Shieldに依存している」ことを明らかにした。同社は「EU最高裁の判決を受けて、当社はこれらの製品のSCCへの移行を進めています。これを反映させるためにそれぞれの条件を更新し、より多くの情報を提供していきます」とコメントした。
プライバシー問題に詳しい人なら、noybの創設者であるMax Schrems(マックス・シュレムス)氏が、2015年にEUと米国のデータ協定であるSafe Harbor(米欧間の越境データ移転に関する二者間協定)の破棄(未訳記事)を実現した最初の訴訟の責任者だった(未訳記事)ことを知っているだろう。そして同氏の最新の訴状により、EUと米国間のPrivacy Shieldも却下された。同氏は実際にはフェイスブックによる別のデータ転送メカニズム(SCC)の利用をターゲットにしており、データ管理者であるアイルランドのDPC(Data Protection Commission、データ保護機関)に介入して同ツールの利用を停止するよう促している。
規制当局は裁判所に出廷することを選択したため、EU-US間のデータ転送協定の合法性に対する懸念が広がった。その結果、EU最高裁は欧州委員会が米国にいわゆる 「妥当性合意」 を与えるべきではなかったと判定し、Privacy Shield下での活動を禁止したわけだ。
この判決は、米国がEUユーザーの情報を処理するための特別な取り決めを持たないまま、データ保護の観点から「第三国」とみなされるようになったことを意味している。
さらにEU裁判所の判決では、EUのデータ監視機関はEUの人々のデータがSCCを介して第三国に転送されることにリスクがあると疑われる場合、介入する責任があることも明確になっている。
欧州のデータ監視当局は、違法となったPrivacy Shieldにいまだに依存している企業には猶予期間がないことを速やかに警告(未訳記事)した。
この件に関連するnoybの最新の訴えは「前述の101サイトのいずれも、各サイトに埋め込まれたGoogleアナリティクスやFacebook Connectを通じてウェブサイト訪問者のデータを米国に転送し続ける有効な法的根拠を持っていない」というものだ。
シュレムス氏は声明で「我々は、各EU加盟国の主要なウェブサイトのフェイスブックとグーグルのコードを検索しました。これらのコードスニペットは、各訪問者のデータをグーグルやフェイスブックに転送しています。両社とも、処理のためにヨーロッパに住む人々のデータを米国に転送していることを認めています。そして、これらの企業には、NSA(米国家安全保障局)のような米国政府機関がデータを利用できるようにする法的義務も負っています。GoogleアナリティクスもFacebook Connectもウェブサイト運営に必要不可欠なツールではありまえん。しかし、両ツールは置き換えられるか、少なくとも無効化できるサービスでもなかった」と述べている。
EU最高裁のいわゆる「Schrems II」裁定以来、実際にはセーフハーバー協定が頓挫して以来、米商務省と欧州委員会は難局に直面している。無効になったPrivacy Shieldを置き換えるために、新たなデータ協定をまとめなければならない(未訳記事)のだ。
しかし、米国の監視法の抜本的な改革がなければ、米国の国家安全保障上の優先事項とEUのプライバシー権との法的な対立を議論するそれぞれの議員による3回目の発議も、同様に失敗する運命にある。
この件に関する高等テクニックとして「データの流れを維持して『通常通りのビジネス』を継続するために、実際には時間を稼ぐことを目的としているだけだ」と皮肉な見方をする人もいるかもしれない。
しかし、現在では、米国の監視法が存在しないかのように振る舞う戦略には、大きな法的リスクが伴う。
これもまたシュレムス氏の発言だが「フェイスブックとグーグルがEUの顧客にデータ責任について積極的に警告しない場合、法的責任の枠内に入る可能性があります」と先月のEU最高裁の判決について指摘している。「裁判所は、米国側のデータ受信者がこれらの集団監視法に該当する場合、SCCを使えないことを明確にしました。米国企業はまだEUの顧客にその逆の論理で説得しようとしているようですが、これは誤っています。SCCの下では、米国でのデータ受信者はEUからのデータ送信者にこれらの法律を通知・警告しなければなりません。これを怠ると、該当する米国企業は実際に金銭的な損害を被った場合に責任を負うことになります」と説明する。
noybのプレスリリースにもあるように、GDPRの罰則制度はEU側のデータ送信者と米国側の受信者の世界的な売上高の4%にもおよぶ可能性がある。
クラウドファンディングで資金を募ったnoybは、EUの規制当局に行動を起こすよう圧力をかけ続けることを約束し、EUのデータ処理業者に米国のデータ転送の取り決めを見直すよう求め、「EU最高裁による明確な判決に適応する」ことを要求している。
ほかのタイプの法的措置も、GDPRの枠組みを利用し始めている。今月初めにオラクルとセールスフォースのトラッキングCookie使用に対する2つの集団訴訟が起こった。この集団訴訟に資金が集まったことに注目だ。TechCrunchがGDPRが2018年に発効されたときに記事にした(未訳記事)ように、訴訟が現実のものになりつつある。
米国の監視法とGDPRでEU最高裁による明確な判決が存在することで、データ処理の面ではすべて問題ないかのように見せかけたいと考えている米国の大手IT企業の利益は減少しそうだ。
なおnoybは、EUの諸機関が迅速な法的秩序の下でデータ処理を行えるようにするためのガイドラインやなども無料で提供(noybプレスリリース)している。
シュレムス氏は最新の訴えについて「我々は、いくつかのことを再調整するために時間が必要であるのは理解していますが、一部の企業が単にEUの最高裁判所の判決を無視しているように見えることは容認できません」とコメントを付け加えた。「この無視しているという事実は、ルールを遵守している企業に対しても不公平です。我々は、GDPRに違反した管理者および処理者、そして休眠状態ともいえるアイルランドのDPCように裁判所の判決を執行しない規制当局に対して、徐々に措置を講じていくつもりです」と続けた。
TechCrunchでは、アイルランドに拠点を置く法人が運営している思われるウェブサイトを対象とした最新のnoybの訴えに対してどのような措置を取るかを尋ねるため、アイルランドのDPCに連絡を取った。
フェイスブックのSCCの使用に対するシュレム氏の2013年の最初の訴えもまた、アイルランドで起こされた。米国のテック企業大手は同国にEU本部を設置することが多い。同氏がDPCにフェイスブックのSCC使用停止を命じるよう求めた要求は、約7年が経過しているほか5件の苦情が出ているにもかかわらず、いまだに実現していない。フェイスブックやグーグルのようなテック大手に対する国境を越えたGDPRの訴えが増加していることを考えると、当局は依然として何もしていないという非難に直面している。
アイルランドのDPCは、これらの主要なGDPRの訴えに対して、いまだに最終的な決定を下していない。しかし、規制当局が怠ってきたことを問い正す集団訴訟が準備されていることからも、DPCとすべてのEU規制当局がGDPRに準拠することを求める法的圧力は高まるばかりだ。
今夏の初め、欧州委員会はGDPRの運用開始から2年間のレビューの中で、GDPRの施行が一様に「積極的」に行われていないことを認めた(未訳記事)。
「欧州データ保護委員会(EDPB)とデータ保護当局は、より首尾一貫した、より実践的なガイダンスを提供することで、真の意味で共通の欧州文化を創造するための作業を強化しなければならない」と欧州委員会の価値観・透明性担当副会長であるVěra Jourová(ヴィエラ・ジョウロヴァ)氏は述べ、GDPRが機能しているかどうかについて、欧州委員会として初めて公開評価を実施した。
TechCrunchは、フランスの個人情報規制当局であるCNILにも連絡を取り、noybの訴えを受けてどのような行動を取るのかを尋ねた。
7月の判決を受けて、フランス当局はEDPBとともに「正確な分析を行っている」(CNILプレスリリース)と述べ、「判決がEUから米国へのデータ転送におよぼす影響について、できるだけ早く結論を出す」ことを目指していると述べた。
その後、EDPBのガイダンスが発表された。明らかなのはPrivacy Shieldに基づくデータ転送は「違法である」こと。そして、EU最高裁の判決はSCCの使用を無効にするものではないが、その裁定は、使用を継続するための非常に適切な許可を与えたにすぎない。
Techcrunchが先月報告したように、SCCを使用してデータを米国に転送できるかどうかは、データ管理者が「米国の法律が転送されたデータの適切な保護レベルに影響を与えない」という法的保証を提供できるかどうかにかかっている(未訳記事)。
「SCCに基づいて個人データを移転できるかどうかは、移転の状況を考慮した評価の結果、および実施することができる補足的な措置に依存する」とEDPBは付け加えた。
画像クレジット:Artur Debat / Getty Images
[原文へ]
(翻訳:TechCrunch Japan)