英国のEU離脱を受けFacebookが同国の個人データをEU個人情報保護法の管轄外へ移転

英国の欧州連合(EU)離脱による取引条件の変更が迫る中、Facebook(フェイスブック)は、先行したGoogle(グーグル)に倣って(未訳記事)、英国の数千万人にのぼるユーザーの個人データを、EUの個人情報保護法の管轄外となる米国(そのような包括的な個人情報保護の枠組みを持たない)に2021年に移動させることになっていると、米国時間12月15日にReuters(ロイター)が報じた

この切り替えを認めたフェイスブックは、ロイターに次のように述べている。「他の企業と同様に、フェイスブックはBrexit(英国のEU離脱)に対応するための変更を行う必要があったので、フェイスブックアイルランドから(米国の)Facebook Inc.(フェイスブック・インク)に、英国のユーザーのための法的責任と義務を移転することになります」。

「プライバシー管理やフェイスブックが英国の人々に提供するサービスに変更はありません」とフェイスブックは付け加え、EUから米国への移行は、データとプライバシーの法的保護において大幅な格下げを必然的に伴うという事実を無視した表現を用いている。

ロイターによると、フェイスブックは今後6カ月以内にこの切り替えについてユーザーに通知するという。この法的な変更に不満がある場合、ユーザーはInstagram(インスタグラム)やWhatsApp(ワッツアップ)も含むフェイスブックが提供するサービスの使用を停止する「選択肢」が与えられる。

グーグルが2月に(未訳記事)英国のユーザーに関して同様の法的移行を発表したときにお伝えしたように、EU子会社から米国に移動させるという動きは、EUの基準から離れることを決めた英国の国民投票の結果を受けてのものだ。そのEUの基準の中には、長年維持されてきたデータ保護の枠組みも含まれる。

Brexit移行期間の終了まであと数日となった現在、英国がEUとの貿易協定を得るのか、それとも協定なしで離脱するのかはまだ不明だ。後者の場合、英国はEUからデータの適切性に関する協定も得られない可能性が高まり、データ保護基準に関する将来の乖離が生じやすくなる(EU・英国間における摩擦のないデータフローの維持に向け、継続的な協力を行うための「ニンジン」がないため)。

英国はまた、データを活用した経済復興を望んでいることを明らかにし、9月に(未訳記事)「国家データ戦略」を発表した。これは新型コロナウイルス感染拡大時におけるデータ共有を、復興後の新たな基準とするものだ。

この文書で、英国政府は「国内のベストプラクティスを推進し、国際的なパートナーと協力して、データが国境や分断された規制体制によって不適切な制約を受けないようにして、その潜在能力を最大限に活用できるようにする」ことを計画していると述べている。これはデータ保護の概念全体に影を落とすものだ。

それ以来、プライバシーの専門家たちは、(EU離脱後の)日英貿易協定が英国の既存のデータ保護体制(これはいまのところ、転換されたEUの規定に基づいている)を弱体化させており、Open Rights Group(オープン・ライツ・グループ)が2020年11月に警告した(Open Rights Groupブログ)ように、「データ保護の取り決めが弱い、または自主的に行っている」国への個人データの流出を可能にするおそれがあると、懸念を表明している(Open Rights Groupブログ)。

米国は、データ保護のための包括的な枠組みを欠いている国の1つだ。カリフォルニア州は独自の消費者プライバシー法を可決し、11月には住民投票でこの制度を強化することを決めている。しかし、連邦レベルではGDPR(EU一般データ保護規則)に相当するものはまだない。

英国のEU離脱後の基準がどこに向かっているのかという不確実性が非常に強いため、グーグルやフェイスブックのような大手テック企業が、EUのプライバシー規則の下における責任を軽減する機会を得ようとしていることは不思議ではない。フェイスブックの場合、ダブリンにある子会社の管轄から4500万以上の英国ユーザーを削除することになる。

ヨーロッパの最高裁判所が下した最近の「シュレムスII」判決(未訳記事)もまた、個人データをEUから米国へ転送することに関する法的リスクと不確実性を増大(未訳記事)させており、フェイスブックにその英国における契約条件を再構築するためのもう1つの潜在的な理由を与えている。

もちろん、英国のユーザーが失うプライバシー保護を考えれば、これはあまり良いことではない。

しかし、今回問題なのは、巨大テック企業ではなくBrexitの方だ。Brexitはこの場合、英国のユーザーは2021年から、自分たちの政府が米国のような国と貿易取引を結ぶために、国家のプライバシー基準を廃棄すると決めないように祈らなければならないことを意味する。フェイスブックが自分たちのプライバシーの利益に気を配ってくれると信じつつ(未訳紀伊J)。

そう、英国のデータ保護法は適用され続ける。幸運(未訳記事)にも英国個人情報保護監督機関(未訳記事)があなたの権利のために立ち上がってくれたらだが。

しかし、EUの法律によって定められている包括的な保証は2021年に消え失せる。

2018年に成立した米国のクラウド法(未訳記事)では、すでにインターネットサービスの利用者に関するデータを、捜査目的などで英米の機関が容易にやり取りできるようになっている。

その一方で英国政府には、監視社会(未訳記事)や暗号化への攻撃(未訳記事)に対する憂慮を巻き起こした実績もある。

英国が新たに打ち出した、インターネットサービスを規制する「子供の安全に焦点を当てた(未訳記事)」計画では、コンテンツ監視やIDチェックを義務づけるため、強力な暗号化を使用しないようにデジタルサービスに圧力をかけているようにも見える。

つまり、Brexitとは、簡単にいえば、英国人のプライバシーとオンラインの自由を速やかに減らし、データの分野におけるコントロールを取り戻すことの反対を意味するようになっているということだ。

関連記事
カリフォルニア州消費者プライバシー法が1月1日に発効
英国のデータ保護監視当局がアドテック業界に「冷静に法を守る」よう要請

カテゴリー:ネットサービス
タグ:イギリスEUFacebookGoogleプライバシー個人情報GDRPBrexit

画像クレジット:Justin Sullivan / Getty Images

原文へ

(翻訳:TechCrunch Japan)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。