ゲッティイメージズ/WIRED
フェイスブックや、大西洋を越えて個人データを移動する他の数千の企業は、EUの最高裁判所が主要なデータ共有メカニズムが無効であるとの判決を下したことで、大きな頭痛の種に直面している。
欧州司法裁判所は、EU・米国間のプライバシーシールドはプライバシーとデータ保護規則の保護に失敗したと判断した。この画期的な判決は、現在米国とデータを共有している数千もの企業に重大な影響を及ぼすだろう。
EU法の最高裁判所が下した判決は複雑だが、訴訟を起こした人々は、この勝利により、欧州委員会が米国企業によるEUデータの取り扱い・処理において、EUのデータを保護するためのさらなる安全策を導入するよう強いられることを期待しているだろう。同判決の一環として、最高裁判所は、データ移転の別のメカニズムである標準契約条項(SSC)も引き続き有効であると決定した。
オーストリアの弁護士でプライバシー権擁護者のマックス・シュレムス氏は、2011年からFacebookに対する法廷闘争を主導しており、エドワード・スノーデン氏の暴露を受けてその勢いは加速した。シュレムス氏はTwitterで判決に反応し、プライバシー権擁護の「100%の勝利」だと述べた。
「米国企業が『特権』的な地位を取り戻すためには、米国は真剣な監視改革に取り組む必要があるだろう」と彼は付け加えた。それがどのように展開するかはまだ分からないが、短期的には、これまでプライバシーシールドの仕組みを利用して大西洋を越えてデータを移動させてきた企業にとって、大きな不確実性を生み出すことになる。
今朝の判決がプライバシー権にどのような意味を持つかを理解するには、シュレムス氏とFacebookの2013年の戦いの始まりまで遡る必要があります。欧州連合基本権憲章の下、EUのすべての市民は、自身のデータが公正に、同意を得て、特定の目的のために処理される権利を有しています。しかし、米国企業がEU市民のデータを米国に送り返すと、米国国家安全保障局(NSA)がそのデータにアクセスするリスクがあります。
元NSA契約職員スノーデン氏は、PRISMプログラムによってNSAがFacebook、Apple、Google、Microsoftといった大手IT企業のデータにアクセスできたことを明らかにした。そのためシュレムズ氏は、FacebookがNSAによるEU市民への大規模監視を支援していると主張した。
シュレムズ氏は、Facebookの欧州本社がアイルランドにあることから、アイルランドデータ保護委員会に苦情を申し立てました。最初の申し立てが却下された後、シュレムズ氏はアイルランド高等裁判所に提訴し、高等裁判所は審理を欧州司法裁判所(ECJ)に移送しました。その結果、EUと米国間のデータ移転を規定する15年前の協定であるセーフハーバーが破棄されました。この協定はEU市民のデータ保護のための適切な安全策を保証できないと判断され、セーフハーバーは2015年末に無効となりました。
セーフハーバー条項の廃止後、米国企業はEUのデータを米国内の企業サーバーに転送するために、EUが承認した別のテンプレート、いわゆる標準契約条項(SCC)に切り替えました。「セーフハーバー制度に疑問が生じた後、SCCはデータ転送の主な手段でした」と、エセックス大学のローナ・ウッズ法学教授は述べています。ECJは、これらのSCCは依然として有効であるとの判決を下しました。
セーフハーバーに代わる新たなデータ移転協定、いわゆる「EU-米国プライバシーシールド」が、2016年にEUと米国の間で締結されました。プライバシーシールドは、米国政府によるEU市民のデータへのアクセスを制限し、EU市民が規制当局に苦情を申し立てるための規定を追加し、データを第三者に移転したい企業は、その第三者もプライバシーシールドの原則を遵守していることを保証することを義務付けています。
Facebookをはじめとする企業が米国へのデータ移転にSCC(標準契約条項)を利用し始めたため、シュレムズ氏はアイルランドのデータ保護委員会に新たな苦情を申し立て、今度はFacebookによるSCCを用いたデータ移転に異議を唱えました。この申し立ては再びアイルランド高等裁判所に付託され、その後ECJ(欧州司法裁判所)に上告されました。シュレムズ氏の当初の苦情申し立てにはプライバシーシールドは含まれていませんでしたが、アイルランド裁判所の要請により、プライバシーシールドも本件に巻き込まれることになりました。
では、プライバシーシールドが無効と判断された今、何が起こるのでしょうか? プライバシーシールドに依存している企業にとっては、SCC(Single-Central Privacy Shield)に切り替えることができるため、大惨事ではありません。ウッズ氏は、ECJがSCCとプライバシーシールドの運用方法に異議を唱えた場合、問題はデータ管理者(例えばFacebook)に移り、Facebookがデータがどこか別の場所に保管された後、どのような管理権限を持っているのかが問われるだろうと述べています。「Facebookは、第三者によるアクセスを防止できるのでしょうか?」とウッズ氏は問いかけます。「争点はそこになるでしょう。」
アレックス・リーはWIREDのライターです。@1AlexLからツイートしています。
この記事はWIRED UKで最初に公開されました。
