TechCrunchが得た情報によると、Facebook(フェイスブック)は、EUのプライバシー規制当局から、ユーザーデータを引き続き米国へ転送できるかどうかに影響を与える「修正された」予備的決定案を受け取ったという。
「Meta(メタ、旧Facebook)には28日以内にこの予備的決定に対する意見を提出する権限が与えられており、その時点で他の関係監督機関向けに第60条の決定案を作成する予定です。これは4月中に行われると予想しています」と、アイルランドのデータ保護委員会(DPC)のGraham Doyle(グレアム・ドイル)副委員長は筆者に語った。
ドイル氏は、予備決定の内容については詳細を語らなかった。
しかし、2020年9月に関係者の発言を引用した当時のWall Street Journalの報道によれば、DPCは、Facebookにデータ移転の停止を指示する仮命令を出している。
最近そのデータマイニング帝国の名称を(Facebookから)変更したMetaは、投資家との電話会談で、EU-US間のデータ転送には継続的なリスクがあることを警告している。
同社は直ちに先のDPCの仮命令に異議を唱えようともしたが、2021年5月にアイルランド高等裁判所がDPCのやり方に対する異議を棄却する判決を下したため、この法的手段は頓挫していた。
欧州のデータ保護法と米国の監視権限との衝突を争点とするこの訴訟では、同社にデータ転送の一時停止を指示した先の仮命令以降、規制当局が今回は異なる結論を出すことになるような、事実関係に重大な変化があったかどうかは不明だ。
さらに、ここ数カ月の間に、欧州の他のデータ保護機関は、Google Analytics(グーグル・アナリティクス)など、米国へ個人データの転送を行う他の米国のサービスに対して「違法」との決定を下しており、少なくとも一般的な観点からは、DPCがMetaに対して最終的な決定を下す方向へ圧力が高まっている。
この規制当局はまた、当初の申し立て人であるMax Schrems(マックス・シュレムス)氏による手続き上の課題にも直面している。同氏は2021年1月に、長年の申し立てを速やかに最終決定するという合意を引き出している。つまり、もう1つの準期限があるということだ。
関連記事:フェイスブックのEU米国間データ転送問題の決着が近い
この合意条件に基づき、DPCはシュレムス氏が(並行して)「自らの意思」で行う手続きでも審理を受けることに合意した。これはシュレムス氏の最初の(2013年の)苦情に関する調査に加えて開始されたもので、現在はMetaに出されたこの新しい予備的決定を通して進められている。
シュレムス氏は、DPCから決定書が送られてきたことを認めたものの、それ以上のコメントはしなかった。
(さらにややこしいことに、2021年11月には、シュレムス氏が設立したプライバシー擁護団体が、他の苦情草案の公表を阻止しようとしたことに関連して、DPCが「手続き上の脅迫」を行ったとして、この規制当局に対して刑事上の汚職の訴えを起こしている……)
Metaにデータ転送の停止を命じる可能性のある最終的な決定が下されるまで、この数年にわたるデータ転送問題が、具体的にあとどれくらい続きそうであるかは、依然として不明だ。
しかし、もはや数年というよりは数カ月に近いはずだ。
第60条のプロセスには、利害関係のある他のデータ保護機関も加わることになる。これらの機関は、主導する機関の決定案に対して、まず1カ月の期間内に理由のある異議を唱えることができる。ただし、延長も可能だ。仮決定に対してデータ保護当局間で大きな意見の相違があった場合には、最終的な決定を下すプロセスに数カ月を要することになり、最後には欧州データ保護委員会が介入して最終的な決定を下すことになるかもしれない。
これらはまだ先の話だ。今のところ、ボールはMetaのコートに戻り、同社の弁護士がどんな新しい言い訳を思いつくか、見守る段階となっている。
この最新の進展についてMetaにコメントを求めたところ、同社の広報担当者は、次のように筆者に返答した。
「これは最終決定ではなく、アイルランドデータ保護委員会はさらなる法的提出を求めています。データ転送の一時停止は、当社のサービスを利用しているEU域内の何百万人もの人々、慈善団体、企業だけでなく、グローバルなサービスを提供するためにEU-US間のデータ転送に依存している他の何千もの企業にも損害を与えることになります。人々、企業、経済のつながりを維持するためには、EU-US間のデータ転送における長期的な解決策が必要です」。
この終わりの見えない物語には、もう1つ別の動きがある。それは、欧州委員会と米国の間で、無効となった「プライバシーシールド」に代わるデータ移転の取り決めについての交渉が続いていることだ。
ここ数カ月、FacebookとGoogleは、大西洋をまたぐ新たなデータ転送協定の合意を公に求めており、米国の数多くのクラウドサービス(少なくとも、個人データへの明確なアクセスを自ら放棄しないサービス)が直面している法的な不確実性を高レベルで修正するよう訴えている。
しかし欧州委員会は、今回は「迅速な解決」はないと以前から警告しており、欧州司法裁判所が2020年7月にプライバシーシールドを無効とする判決で指摘したすべての問題が解決された場合にのみ、代替案が可能になると述べている(これは、欧州の人々に合法的かつ簡単に利用可能な救済手段を提供すること、そしてインターネット通信の一括傍受に頼る米国の過度な監視力に対処することの両方を意味する)。
要するに、プライバシーシールド3.0の実現は、難しい注文のように思われる。Metaの通常時の要求のような、すぐにできる注文でないことは確かだ。同社の主任ロビイストであるNick Clegg(ニック・クレッグ)氏は、確かに難しい仕事を抱えている。
画像クレジット:Muhammed Selim Korkutata/Anadolu Agency / Getty Images (Image has been modified)
[原文へ]
(文:Natasha Lomas、翻訳:Hirokazu Kusakabe)
