ゲッティイメージズ/WIRED
英国と欧州のデータ共有は、混乱を招きそうだ。ブレグジットにより、EUと英国はデータの流れを維持する方法について合意する必要があるが、政府による監視と政治的な駆け引きによって、英国企業は膨大な書類処理とコスト増に直面し、政府は警察データへのアクセスを失い、スタートアップ企業は大陸に本社を置くことになるかもしれない。
英国がEUに加盟していたブレグジット以前、データ共有は問題ではありませんでした。現在の宙ぶらりんの状態が移行期間の末に終了すれば、英国にはデータの流れを維持するための2つの選択肢があります。企業ごとにデータ保護契約を締結するか、あるいは「十分性認定」と呼ばれる国全体の合意を結ぶことです。「EUが十分性認定を取得した国を認定するということは、データが安全に流通できる場所であることを意味します」と、ユニバーシティ・カレッジ・ロンドンの欧州研究所の研究者であるオリバー・パテル氏は述べています。「これは基本的に、EUが、ある国が十分に強固なデータ保護、執行システム、そして人権を備えているため、EU域内企業がその国にデータを移転しても安全であると認定しているということです。つまり、何の制限もなくデータを移転できるということです。」
十分性認定は欧州委員会の勧告に基づいて行われますが、加盟国の承認が必要であり、欧州司法裁判所(ECJ)によって無効とされる可能性があります。現在までに、スイス、アルゼンチン、日本、マン島など13の国と地域がEUと十分性認定協定を締結していますが、だからといって承認を得るのが容易というわけではありません。手続き自体が長期にわたるものです。韓国はEUの説得に5年を費やし、日本は2年弱で承認に至りました。ただし、水面下での協議はそれよりずっと前から行われており、日本の法改正が必要でした。
つまり、これにはある程度の時間がかかる可能性がある。コンサルティング会社キャッスルブリッジのマネージングディレクター、ダラグ・オブライエン氏は、すでに初期段階の協議が始まっており、適格性審査手続き開始の正式な要請は3月に提出される予定だと聞いているという。「政治的な観点から見ると、これは数ヶ月で簡単に済むだろうという見方があるようだが、そうではない」とオブライエン氏は指摘する。
EUを離脱したのはつい最近のことだが、英国が承認される保証はない。課題の一つは監視、特に英国の治安機関による大量のデータ収集、そしてファイブアイズ、特に米国との諜報データ共有だ。これは目新しいことではないが、EU加盟国は互いに国家安全保障について説明する義務はない。英国がもはやヨーロッパの一部ではない今、これらの側面は精査されることになる。「EUが十分性協定を締結する際、国家安全保障、監視、人権といったより広範な要素も考慮するが、英国にとってこれにはいくつかの問題がある」とパテル氏は言う。「皮肉なことに、加盟国としての英国にとっては問題にならないことが、第三国としての英国にとっては問題になる可能性がある。なぜなら、EUは英国について何でも好きなように評価できる自由を持つことになるからだ」とパテル氏は言う。
特に問題となるのは、英国法に大量データ収集を規定する、いわゆる「スヌーパーズ憲章」とも呼ばれる捜査権限法です。これはEUの人権法と相容れない可能性があります。欧州司法裁判所は既に大量データ収集は違法であるとの判決を下しており、米国も同様の争いに直面しています。
「捜査権限法に基づく英国の治安機関による大量データ収集は大きな問題だ」と、シンクタンク「政府研究所」の研究員ルイス・ロイド氏は述べている。「英国はEU加盟国として、国家安全保障は国の管轄事項(つまりEUの管轄ではない)であるため、この件を免れてきた。しかし、英国がEUを離脱した今、この問題はより厳しく精査されるだろう。そして、適切性協定が破綻する可能性もある」。英国政府は一貫して、捜査権限法には強力な監督権限があり、同法に基づく権限の行使方法を規制していると述べている。
詳しくはこちら:GDPRとは?英国におけるGDPRコンプライアンスの概要ガイド
しかし、もう一つハードルがある。EUとの十分性協定を結ぶには、EU全体の文書である英国基本権憲章を遵守しなければならない。この憲章は、大陸全域に居住する人々の権利を定めている。英国はこれを国内法に取り入れておらず、英国データ保護法は移民に関して憲章の要件を満たしていない。「ブレグジット以前でさえ、英国データ保護法に移民手続きに関わる人々をデータ保護から除外する条項があったことは、十分性協定の枠組みにおいて非常に問題となる可能性があった」とオブライエン氏は付け加える。EUはまた、新司法長官スエラ・ブレイバーマン氏の発言にも警戒している可能性がある。ブレイバーマン氏は、特に人権法に関して、議会が裁判所から「権限を取り戻す」よう求めた。「これらの発言は、欧州委員会やその利害関係者にとって、特に好ましいものではない」とオブライエン氏は言う。
とはいえ、英国には多くの利点があり、特にGDPRを既に遵守していることが挙げられます。しかし、英国がGDPRを自国の法律に組み込む方法に関して、いくつかの潜在的な変更が既に概説されており、ボリス・ジョンソン首相が議会でデータ保護に関して「別個かつ独立した政策」を策定すると約束したことも、事態の改善には繋がっていません。「規制の相違は、十分性認定によって達成しようとしていることと正反対です」とオブライエン氏は述べ、こうした変更は限定的なものに留めるべきだと示唆しています。
それでも、プラス面は他にもある。パテル氏は、英国には堅固な司法制度と執行力があると述べ、英国情報コミッショナー事務局は「欧州で最も優れたデータ保護規制機関の一つとして広く認識されている」と付け加えた。さらに、英国とのデータ共有を容易にすることはEUの利益にもなる。「英国はEUにとって最も緊密な貿易相手国の一つであり、その貿易の多くはデータの自由な移動能力によって支えられています」とロイド氏は言う。「EUはそれを失いたくないはずです。」
英国が十分性認定を勝ち取ることができなかった場合、あるいはその手続きに何年もかかる場合でも、データの移動を維持するための代替手段があります。これには標準契約条項(SCC)と呼ばれる枠組みが含まれ、大企業は拘束的企業準則と呼ばれる同様のシステムを利用できます。SCCは企業が同意する標準契約条項であり、EU市民のデータを保護する義務を、当該国の国内法で義務付けられている以上の形で負います。つまり、データを共有する当事者は、EUのデータ法を遵守する必要があるということです。SCCは時間と費用がかかるだけでなく、その枠組み全体が現在、いわゆる「シュレムス2」事件を通じて欧州司法裁判所で争われています。
しかし、十分性認定が得られなければ、他の協定にも波及効果が生じる可能性がある。「英国がEUの警察・刑事司法制度やデータベースに参加するには、十分性認定は必要だが、それだけでは十分ではない」とロイド氏は述べる。「これらのアクセスについては、今後の交渉が必要となるだろう。」
もう一つの選択肢があります。それは、完全な十分性認定と全く認定されないことの間の、いわば中間的なものです。例えば、カナダの十分性認定は営利企業に限定されています。これは、カナダのデータ保護法が連邦政府機関には同じように適用されないためです。一方、米国との十分性協定は、プライバシーシールド(欧州市民の個人データを米国の公的機関から保護するための一連の規則)の対象となる企業に限定されています。この協定も裁判で争われていますが、英国が独自の例外を設ける可能性があることを示唆しています。「米国の事例から学べることは、欧州委員会は必要に応じて柔軟に対応できるということです」とパテル氏は述べています。「米国のために行ったことが、英国のためにできないという本質的な理由は存在しません。」
現時点では、これがどのように展開するかは不透明です。英国が数年間、あるいは恒久的にSCCの使用を余儀なくされたとしても、データの流れが全くなくなるわけではありません。単にコストが増加するだけです。そして、それは、法的・行政的能力を備え、追加の官僚機構を管理できる大企業よりも、中小企業に大きな打撃を与えるだろうとパテル氏は言います。
「これは経済にとって悪影響であり、特に中小企業やスタートアップ企業にとっては深刻な問題です。なぜなら、巨額の追加コンプライアンス費用を負担することはできないからです。これが本当に意味するところはそれだけです」とパテル氏は語る。「もしテック系スタートアップ企業で、英国での設立にさらなるハードルがあり、データ移転に多額の費用を費やさなければならないとしたら、彼らはアムステルダムに拠点を置くでしょう」。さらに彼はこう付け加えた。「だからこそ、日本のような国は、この制度を導入するために法律を改正する覚悟があるのです。なぜなら、これは本当に素晴らしい制度だからです」
Digital Societyは、テクノロジーが社会をどう変えていくかを探るデジタルマガジンです。Vontobelとの出版提携により制作されていますが、すべてのコンテンツは編集上独立しています。テクノロジーが社会の未来をどのように形作っていくかについてのストーリーをもっと知りたい方は、Vontobel Impactをご覧ください。
この記事はWIRED UKで最初に公開されました。
