欧州連合(EU)は、大西洋を横断するデータの移転に関する協定の復活について、米国と基本合意に達したと発表した。2020年7月にEU・米国間の「プライバシーシールド」を無効とする画期的な判決が出た後、クラウドサービスを悩ませた何カ月にも及ぶ法的不確実性に終止符を打つ可能性を示している。
欧州委員会のUrsula von der Leyen(ウルズラ・フォン・デア・ライエン)委員長は現地時間3月25日、Joe Biden(ジョー・バイデン)米国大統領との共同記者会見で「我々は大西洋を越えるデータの移転に関する新たな枠組みについて、基本的合意を見出した」と述べた。
「これにより、プライバシーと市民の自由を守りながら、EUと米国の間で予見可能で信頼できるデータの移転が可能になる」と述べた。
Our cooperation on the sanctions against Russia has been exceptional.
It shows that when we act together, we are stronger and can make a difference.
We are now reinforcing our cooperation in:
• Humanitarian aid to
• Energy
• Protecting our democracies pic.twitter.com/mjrQcpb8wB— Ursula von der Leyen (@vonderleyen) March 25, 2022
EU・米国間のデータ移転に漂う法的不確実性はここ数カ月で、欧州のデータ保護機関がGoogle Analytics、Google Fonts、Stripeなどの製品を経由する個人データの移転を阻止する命令を出す事態を引き起こした。
Facebookの主要EU規制当局も、複数年にわたって同社のEU・米国間のデータの移転に苦情を言い、そして同社が2020年秋の予備的停止命令に対する法的措置に疲れ果てた後、先月ようやく改訂された決定草案をMeta(メタ)に送付した。
SNSの巨人は、まだ実際にEUと米国のデータ移転を停止するよう命じられてはいない。そして、プライバシーシールドの原則合意時と同様に、米国との政治的合意が成立した現在、データ移転の執行を停止することにEUの規制当局が同意すれば、EUと米国の新しいデータ移転協定が最終合意して採用されるまで、何カ月間でも執行停止の猶予期間を設けることができ、この弾丸は完全にかわすことができる。
これは、先の執行を遅らせようとしたMetaが望んでいたことであることは間違いないだろう。
EUと米国が原則的に合意した内容の詳細や、まったく異なる方向性を持つ2つの法体系の間の溝を両者がどのように埋めたのかについては明らかではない。そして、この協定の持続可能性はまさにその細部に左右されるため、今日の発表から政治的ジェスチャー以上のものを得ることはほとんどない。
EUと米国のデータ移転をめぐる不確実性は、実際は2020年よりも前にさかのぼる。「セーフハーバー」と呼ばれる、より長い歴史を持つ先の協定は、EUのプライバシー権と米国の監視法の間の同じ核心的な衝突をめぐって、2015年に欧州の最高裁判所によって無効とされた。
このような動きは、EU市民のデータが米国に流れる際にその権利が適切に保護されることを保証する上で、代替となる協定がどれだけ強固なものであるかを試す新たな法的課題という困難な見通しに直面することを意味する。
「安全保障とプライバシーやデータ保護の権利のバランスを取ることができた」と、フォン・デア・ライエン委員長はさまざまな件についての記者会見の中で短い言葉で示唆した。また、同委員長は今回の合意について「バランスがとれており、効果的だ」という表現を用いたが、実際に何が決まったのか具体的な内容は示さなかった。
欧州委員会は、プライバシーシールド(およびセーフハーバー)に関して、裁判所がまったく異なる見解を示すまでは非常に似たようなことを言っていた。なので、完全かつ最終的な評価は、EUの委員や米国の関係者が行うことではなく、またできないことを理解することが重要だ。
欧州司法裁判所だけが介入できる。
プライバシーを専門とする弁護士で、大西洋を横断するデータ移転取引(通称シュレムスIとシュレムスII)を無効にしたことでその名を知られるようになった運動家のMax Schrems(マックス・シュレムス)氏は、すぐに懐疑的な意見を述べた。
フォン・デア・ライエン委員長の発表を受けて、シュレムス氏は次のようにツイートした。「特にある点で、またプライバシー・シールドが行われるようです。法律や基本的権利よりも政治が優先されています」。
「これは過去に2回失敗しています。私たちが聞いたのは、別の『パッチワーク』アプローチで、米国側には実質的な改革はありません。詳細を待つことにしましょう。しかし私は、それが再び失敗する方に賭けます」。
Seems we do another #PrivacyShield especially in one respect: Poltics over law and fundamental rights.
This failed twice before. What we hear is another "patchwork" approach but no substantial reform on the US side. Let's wait for a text, but my frist bet is it will fail again. https://t.co/y6RFUyB8eG
— Max Schrems (@maxschrems) March 25, 2022
シュレムス氏は、プライバシーシールドを豚の口紅と呼んだことで有名であるが、それは正しい。したがって、内容に対する同氏の評価は、それが明らかになったとき、間違いなく欧州委員会の評価よりも重みを持つことになる。
シュレムス氏はまた、自身のプライバシー擁護のための非営利団体noybを通じて、EU法の要件を満たさない新しい協定は、民事訴訟と仮処分によって「数カ月のうちに」欧州司法裁判所に差し戻すことができるだろうとも述べている。
「最終文書が届いたら、米国の法律専門家とともに徹底的に分析します。もし、EUの法律に沿っていないのであれば、私たちか他のグループが異議を唱えることになるでしょう。最終的には、司法裁判所が3度目の判断を下すことになります。最終決定から数カ月以内に裁判所に戻されるものと思われます」と声明で指摘し「EUと米国がこの状況を利用して、同じ考えを持つ民主主義国家間で基本保証をともなう『スパイ禁止』の合意に至らなかったことは残念です。顧客や企業は、さらに何年も法的不確実性に直面することになります」と述べた。
Unless there is a significant change to US Surveillance law underpinning this, it is hard to see how it could survive a challenge. In that scenario, the role of the Commission lawyer before the CJEU is not an enviable one! https://t.co/aIbOdHkK7N
— Gerard Rudden (@GerardARudden) March 25, 2022
データ移転協定がまたもや復活したというニュースに対するテック業界の反応は、予想通り好意的なものだった。
Metaとともに実行可能な妥協点を見出すよう、ここ数カ月間強く求めてきたGoogle(グーグル)はこの発表をすぐに歓迎した。
同社の広報担当者は、声明の中で次のように語っている。
「人々は、世界のどこからでもデジタルサービスを利用できることを望み、国境を越えて通信する際に自分の情報が安全に保護されていることを知りたいと願っています。新しい枠組みに合意し、大西洋を越えたデータ移転を保護するためのEUと米国の作業を賞賛します」
プライバシーシールドの代替案を強く求めて活動してきたCCIAテック産業協会も、今日の発表を「良いニュースだ」と歓迎した。しかし、CCIAのディレクターAlexandre Roure(アレクサンダー・ルル)氏は、今後導入される産業用機器や接続機器のデータ再利用に関するEUの規則について、新たな「データ制限」を導入することになるとして、わずかに不快感を示すコメントを発表した。
画像クレジット:Suebsiri / Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Nariko Mizoguchi)