イタリア / WIRED
欧州委員会は過去20年間、EUから米国へのデータの自由な流通を確保するために多大な政治的資本を投入してきました。7月16日、欧州司法裁判所(ECJ)は、米国は不均衡な監視慣行によりEU市民のデータにとって安全な避難場所ではないという理由で、データ共有に関するEU・米国間のプライバシーシールド協定を無効にする判決を下しました。これは欧州委員会にとって痛手であり、数千もの米国企業にとって計り知れない頭痛の種となります。
この判決は、電子メールから臨床試験に至るまで、デジタル貿易や多くの経済活動の基盤となっているEUと米国間のデータフローを阻害する可能性があります。また、ブレグジットを控えた英国にとっても問題となります。英国は、ブレグジット後もEUから英国へのデータの自由な移動を可能にするEUのデータ十分性に関する決定の取得を目指しています。ECJの判決はこの目標達成への新たなハードルとなる可能性があり、この判決は長期的にはEUと英国間のデータフローに深刻な混乱をもたらす可能性があります。
EU-米国間プライバシーシールド(現在は無効)は、EUから5,300社以上の米国企業への個人データの無制限の移転を許可しており、これらの企業は米国法で求められるよりも厳格なデータ保護基準に加入しています。Gmailの使用、Zoomでのビデオ通話、SalesforceでのCRMレポートの実行といった活動はすべて、プライバシーシールドによって可能になっています。米国のテクノロジー企業は、より少ないデータセンターでデータ処理を効率化することを好み、中小企業の多くはテクノロジー大手(クラウドプロバイダーのAWSやMicrosoft Azureなど)のサービスを利用しています。そのため、EU-米国間のデータフローは膨大な量になっています。
プライバシーシールドの無効化は、米国へのデータ移転に使用されてきた主要なメカニズムが利用できなくなることを意味します。ただし、企業は木曜日の判決で支持された「標準契約条項」を用いて引き続きデータ移転を行うことができます。プライバシーシールド認定企業の多くは、おそらく標準契約条項を利用するでしょう。しかし、これは多くの企業にとって、官僚的かつ法的に負担の大きい作業となるでしょう。一部の企業は数千もの新たな契約を交渉し、締結しなければならないからです。これらのコストは、特にスタートアップ企業や中小企業にとって大きな脅威となるでしょう。
さらに悪いことに、本日の判決は、SCCがEUと米国間のデータ移転において信頼性が高く長期的なメカニズムとして機能するという考え自体に疑問を投げかけています。裁判官は、これらの協定を利用するデータ輸出者に対し、米国にデータを移転する前に、EU域内と同等のレベルの保護が保証されることを証明するよう求めています。本日の強い判決を踏まえると、これがどのように可能になるのかは見通せません。
この判決は、EUのデータ保護当局に対し、米国へのデータ移転に利用される標準契約条項(SCC)の調査と停止を促すものであり、活動家たちは間違いなくこうした訴訟を熱心に追及するだろう。長期的には、プライバシーシールドがなくなり、重要な(あるいはすべての)標準契約条項が停止される可能性があれば、EUと米国間のデータフローに深刻な混乱が生じる可能性が非常に高い。
米国とEUが第三のデータ移転協定(プライバシーシールドの前身であるセーフハーバーは2015年に失効)の締結を目指す可能性はあるものの、交渉の余地と政治的な善意は損なわれている。米国はEUとのデータ移転協定を目指して国家安全保障および監視関連法制を改正するつもりはないため、解決策がどのようなものになるかは想像しにくい。
大西洋の向こう側を見てみると、状況はそれほど明るくありません。プライバシーシールドの崩壊は、英国がEUからデータ適切性に関する決定を求める、すでに困難なプロセスをさらに複雑化させています。
英国はEUと米国双方との無制限のデータ移転を望んでいる。前者は理想的にはEUの十分性認定によって実現され、欧州委員会が英国をデータ移転の安全な避難所として正式に認定することになる。後者は、英国と米国が実質的にEU・米国間プライバシーシールドを模倣することで実現される予定だったが、これはブレグジット前に英国法で「ロールオーバー」されていた。本日の無効化は、両方の計画を台無しにするものである。
EUは、企業がEU市民のデータを英国に移転した場合、違法なプライバシーシールドの枠組みの下で、英国がそのデータを米国に移転する可能性があることを懸念するだろう。簡単に言えば、英国が保護されていない米国へのデータ移転への裏口と見なされれば、十分性認定が認められない可能性がある。英国は、EUとのデータ移転と米国とのデータの移転のどちらがより重要かを判断しなければならないだろう。
さらに、本日の判決は、欧州委員会の十分性認定におけるアプローチを変える可能性があります。欧州委員会は、EUと米国間のデータフローの継続を確保する上で、概して柔軟かつ実利的な対応をとってきました。Brexit交渉の進展次第では、英国にも同様の柔軟性が与えられる可能性があると指摘するのは妥当でしょう。
しかし今、欧州委員会は裁判での敗北を回避したいと考えており、英国の国家安全保障システムがEU法に適合しているかどうかを慎重に検討することになるだろう。英国と米国のシステムは同一ではないが、欧州委員会は英国の適切性評価を行う際にはより慎重になるだろう。
英国が十分性認定を取得できない場合、データ輸出業者や規制当局は、EUから英国へのデータ移転におけるSCCの利用に懐疑的となり、これらのメカニズムが脆弱になる可能性があります。これは、長期的にはEUと英国間のデータフローに深刻な混乱をもたらす可能性があります。これは、英国のサービス経済に悪影響を及ぼし、特に金融、ライフサイエンス、デジタルテクノロジー分野、そして特定のデータセンターやクラウドサービスプロバイダーにとって深刻な問題となるでしょう。
とはいえ、ECJもデータ保護規制当局もインターネットを止めることはできません。判決にもかかわらず、EUと米国間の膨大なデータ転送は、標準契約条項(SCC)経由か違法かを問わず、今後も止むことなく継続し、いかなる法的判断や政治的合意によってもこれを阻止することは困難です。英国にとって複雑な状況ではありますが、欧州委員会はデータの流れを維持することを強く望んでいるため、十分性認定は依然として重要な課題となっています。
オリバー・パテルは、ユニバーシティ・カレッジ・ロンドンのヨーロッパ研究所の研究員である。
この記事はWIRED UKで最初に公開されました。
