EUと米国のデータ共有協定。合意は成立か?

ニュース

プライバシーシールドとセーフハーバーは、いずれも過去に法的措置がとられているため、バイデン米大統領による新しい大西洋横断データ政策フレームワークを導入する大統領令が精査に耐えられるかどうか、専門家は疑問視しています。

米国とEUの新しいデータ転送協定がまもなく発効し、国境を越えたデータ転送に必要な負担の大きい法律作業が緩和されるのを待っている何千もの企業は、期待しない方がいいだろう。ジョー・バイデン米大統領が今年初めに合意した大西洋横断データ政策フレームワークの規則を実施するための大統領令は正しい方向への動きだが、新しい協定が発効するのは早くても来春であり、それさえも法的な問題に直面することになると、公共政策や法律の専門家は指摘する。

10月7日にバイデンが署名した大統領令は、米国の情報機関による電子的監視に新たな制限を加えるとともに、欧州の人々が自分の個人情報が米国の情報機関によって違法に使用されていると考える場合に、苦情を申し立てる新たな手段を提供するものである。

この動きは、欧州司法裁判所が、米国が個人データ、特に国家監視に関連した適切な保護を提供していないという理由で、プライバシーシールドとして知られる以前のEUと米国のデータ共有協定を2020年に停止してから2年後のことである。

新しい大西洋横断データ政策フレームワークは、米国のプライバシー保護策を改善し、プライバシーシールドに取って代わるもので、予想される法的な異議申し立てが行われた場合には、最終的に司法裁判所の監視を通過することを意図している。しかし、バイデン政権と欧州委員会の両方が、新たに提案されたデータ協定を支持する声明を発表したにもかかわらず、英国に拠点を置くコンプライアンス専門会社Corderyのコンプライアンスおよびテクノロジー弁護士であるJonathan Armstrong氏は、この協定はまだ成立には至っていないとしている。

「ホワイトハウスも欧州委員会も自信があると言っているかもしれないが、以前にも同じようなことがあり、プライバシー・シールドは司法の監視に耐えられると両者が言っていた。しかし、そうはならなかった」とアームストロングは言う。

大西洋横断データ政策フレームワークの次なる課題

まず、EUは、バイデン大統領令が定める新しい規則が、EUのGDPR(一般データ保護規則)と同等のプライバシー保護を提供するために作られた大西洋横断枠組みで合意された基準を満たすのに十分であることを確認する必要があります。

欧州委員会の声明によると、今後数ヶ月の間に、EUの執行機関である欧州委員会は妥当性決定案を提案し、欧州データ保護委員会(EDPB)への諮問とEU加盟国の代表で構成される委員会の承認を得るなどの採択手続きに入る。

また、欧州議会もこの協定を批准する前に精査したいと思うだろう、とアームストロング氏は言う。

一方、オーストリアの活動家で弁護士のマックス・シュレムス氏は、フェイスブックがGDPRに違反していると訴えて、プライバシーシールドとその前身であるセーフハーバー協定を廃止させたが、すでに自身の圧力団体NOYBとともにこの協定に異議を申し立てる可能性があると述べている。

シュレムス氏は、NOYBが発表した声明の中で、「一見したところ、核心的な問題は解決されておらず、遅かれ早かれCJEU(欧州司法裁判所)に戻ることになりそうだ」と述べている。

大量監視を狙うデータ転送批判派

シュレムス氏や他の評論家によれば、バイデン氏の大統領令や大西洋横断データ政策フレームワーク自体の大きな問題は、米国の情報機関による大量監視に適切に対処できていないことだという。

大統領令は、米国の情報活動を “有効な情報優先事項を進めるために必要な場合にのみ、その優先事項に釣り合う範囲と方法で “実施することを求めているという。しかし、EUの法律も比例した監視を要求しているが、米国の大量監視が実務上変わる気配はないとNYOBは述べている。

また、バイデン氏の命令は、米司法省に監視に関する苦情に対応するデータ保護審査裁判所の設置を求めているが、NYOBによると、この裁判所は「実際の裁判所」ではなく、米政府の法務部門に属する機関であるという。

また、NYOBは、大統領令は法律ではなく、米国大統領から連邦政府機関への指示であることを指摘した。

ロビー団体のアメリカ自由人権協会(ACLU)も同意見だ。

「ACLU国家安全保障プロジェクトのシニアスタッフ弁護士であるアシュリー・ゴースキーは、ACLUの声明の中で、「米国の監視体制の問題は、大統領令だけでは治らない。「私たちのプライバシーを保護し、大西洋をまたがるデータ転送を健全な法的基盤に置くために、議会は意味のある監視改革を制定しなければなりません。それが実現するまでは、米国の企業や個人は代償を払い続けることになります。”

Whitaker SolutionsのGlobal Data Compliance DirectorであるTash Whitakerは、この合意は妥当性協定の要件を満たすとは思えないと述べています。「特に、大量監視は、新大統領令の文言がどのように変更されようとも、そのまま継続される可能性が高い。さらに、国内法の範囲内でデータ主体のために司法による救済を受ける必要があります。大統領令は、”データ保護審査裁判所 “に言及することで、このような事態が起こることを示唆しています。

企業が新たなプライバシー・シールドを求める理由

ニューヨークを拠点とする業界団体Interactive Advertising Bureau(IAB)の公共政策担当執行副社長であるLartease Tiffith氏によると、企業は、大西洋を横断するデータ転送を行うために現在必要な面倒な法的交渉を削減し、EU基準を満たす方法でデータ転送を行っていることを確認し、EUのデータ保護当局(DPAs)(EUのGDPR違反に関する苦情処理を行う独立公的当局)による強制措置を回避するための新しいデータ転送契約の発動を望んでいるとのことです。

ティフィスによれば、プライバシーシールドや同様の協定がない場合、企業はいわゆる標準契約条項を使用して、データ転送がGDPRに準拠して行われていることを確認しているとのことです。「ある意味、一つひとつを交渉しなければならないので、標準的というのは語弊があるかもしれません」。

プライバシーシールドに署名していた5,000社以上の米国企業のうち、ほぼ7割は、すべてのデータプロバイダーと複数の契約を交渉する資源を持たない中小企業であり、大企業にとっても負担であるとTiffithは述べている。

プライバシーシールドと新しいフレームワークの背景にある考え方は、企業が承認されたガイドラインを遵守していることを自己証明すれば、すべてのサプライヤーと個別にデータプライバシー契約を結ぶ必要がなくなるというものだ、とTiffithは述べている。

「もうひとつは、標準的な契約条項であっても、十分な条項がない、あるいはカバーすべきものがすべてカバーされていないと判断されれば、企業はDPAの執行対象となることです」とTiffithは述べています。

データ転送ルールへの法的挑戦が予想される

Tiffith氏は、Biden氏の大統領令は最終合意への布石であるとし、医療、サイバーセキュリティなどの技術や、メディア、広告、消費財などの相互発展にはデータの流れが不可欠であると強調した。

それでも、この命令に対する初期の批判を考慮すると、「法的な挑戦はあるだろう」とティフィスは認めた。

コーデリーのコンプライアンス担当弁護士であるアームストロング氏は、米国とEUの当局者からの励ましの言葉を真に受けないよう企業に注意を促し、これに同意しています。「特に、データ転送に関する問題が残っており、困難が予想されることを考えると、企業がこうした言葉を鵜呑みにするのは危険すぎる」と、アームストロング氏は指摘する。

EUの承認プロセスや想定される課題の結果、新しい制度は遅れるに違いなく、この命令が発効するのは早くても2023年晩春になりそうだとアームストロングは述べている。それでも、ほとんどの企業は、他のコンプライアンス対策、特にデータを送信する組織とその法域で実施されている対策のダブルデューデリジェンスに取り組み続ける間、これを一時的な取引と見なしたいと考えるだろう、と彼は述べている。

「しかし、ロビイストたちは、GDPRと言うよりも早く、この法案に異議を唱えるだろうから、それも束の間だろう」とウィテカーは言う。

(追加取材:Marc Ferranti)

プロフィール

プロフィール
コードラボJP

大学卒業後SEに就職、現在は退職しフリーランスとして活動中。
『初心者でも挫折せずに一人でプログラミングを学べる』をモットーに、コードラボJPを開設
お問い合わせ等はcodelabsjp@gmail.comまで

コードラボJPをフォローする
タイトルとURLをコピーしました