「プライバシー保護失格」2度目のちゃぶ台返し、Facebookはデータ移転ができなくなるのか?

(写真:ロイター/アフロ)

プライバシーをめぐる「7年戦争」で、2度目のちゃぶ台返しが起きた。

EU司法裁判所は7月16日、EUと米国の政府間で締結されている個人データ移転の保護協定「プライバシーシールド」が無効である、との判決を出した。

EUと米国の間の個人データ移転協定が、EU司法裁判所によって「無効」と判断されるのは、今回が2度目のことになる。

EU司法裁判所は2度とも、米国政府による情報監視によって、「EU市民の個人データが適切に保護されていない」と断じている。

EUと米国のプライバシー保護をめぐる因縁は、7年前の「スノーデン」事件で暴露された米情報機関による大規模ネット監視にさかのぼる。

この問題で、米情報機関による情報監視先の一つとされたのがフェイスブックだ。

「スノーデン事件」を受けて、オーストリアのプライバシー保護活動家、マクシミリアン・シュレムス氏が、フェイスブックによるEUから米国へのユーザーデータの送信差し止めを求めて、申し立てを行う。

その7年に及ぶ法廷闘争の結果が、EU米のプライバシー保護協定をめぐる2度目のちゃぶ台返しだ。

そしてシュレムス氏は、今回のEU司法裁判所の判断が、フェイスブックによる大西洋をまたいだ「個人データ移転の停止」につながるとし、その影響はEUに拠点を持つあらゆる米巨大プラットフォーム企業に波及する、と見立てている。

米巨大プラットフォームのプライバシー保護への懸念、米政府による情報監視への懸念。

その懸念は、まったく同じように日本のユーザーにも降りかかってくる。

●「個人データ保護水準を満たしていない」

プライバシーシールド協定は、(前身の)セーフハーバー協定と同様、米国の国家安全保障、公益、法執行が優先され、同国にデータが移転された個人の基本的人権の侵害を許容する、との内容であることが認められる。EUから米国に移転された個人データの保護は、EU法の(手段と目的の均衡を図る)比例性原則によって要求される保護基準を、厳密に満たすものでなくてはならない。だが、米国の国内法に基づいて同国の公的機関が行う個人データへのアクセスと使用には、この保護水準の要求に合致する制限がなされていない。現在までのところ、プライバシーシールド協定においては、監視プログラムに対して、厳密に要求されるべき制限が行われていないことが認められる。

EU司法裁判所は7月16日、そう認定し、「プライバシーシールド協定の無効であると宣言する」とした。

これにより、EUと米国の間の膨大な個人データ流通を担保してきた枠組みは、ネット社会が急速に進展するこの20年で、2度目の激震を受けることになった。

この訴訟の当事者はオーストリアのプライバシー保護活動家で弁護士のマクシミリアン・シュレムス氏。そして、もう一方の当事者はフェイスブックだ。

フェイスブックは、EUのユーザーのデータを米国の本社のサーバーに送信して処理している。だが、米国ではEUで要求される十分な個人データ保護が行われていない。そのため、フェイスブックによるユーザーデータの米国への送信を停止させてほしい――それが、シュレムス氏の7年間にわたる一貫した主張だ。

そのきっかけとなったのが、2013年に、元米中央情報局(CIA)職員、エドワード・スノーデン氏が、米国家安全保障局(NSA)などによる大規模な情報監視の実態を暴露した「スノーデン事件」だった。

スノーデン氏が暴露したNSAの秘密資料の中には、「プリズム」と呼ばれる巨大プラットフォームの監視プログラムがあり、その監視対象としてグーグル、アップル、マイクロソフトなどとともに、フェイスブックの名前も挙げられていた。

EUのユーザーの個人データが、フェイスブックを通じて、米情報機関に監視されている。それが、シュレムス氏の懸念だった。

シュレムス氏は「スノーデン事件」が明らかになった2013年6月、フェイスブックの国際拠点があるアイルランドのデータ保護委員会(DPC)にフェイスブックに対するデータ送信停止の申し立てを行う。

だが、データ保護委員会はこの申し立てを却下する。

焦点となったのが、EUと米国の間で締結されていた個人データ移転に関する協定「セーフハーバー協定」だった。

●「セーフハーバー協定」の無効

EUは、個人データ保護に厳格な姿勢を取ることで知られる。

原則としてEU域内からの個人データの移転は禁じており、十分な保護水準が認められた場合などに限って、移転を認めている。

日本の場合、EUとの間で相互に保護水準が十分であることを承認(十分性認定)したのは2019年1月になってから。日本で個人情報保護法が成立してから16年後、個人情報保護委員会の前身の特定個人情報保護委員会ができてから5年後のことだ。

だが米国には、連邦法としての包括的なプライバシー保護法制すら存在しない。

では、なぜフェイスブックなどの巨大プラットフォームが、EUから米国への大量のデータ移転を行うことができるのか。

それを担保してきたのが、EUと米国との間の個別協定である「セーフハーバー協定」だ。

2000年に締結された「セーフハーバー協定」は、米商務省に登録した米国企業は、自主規制によって個人データ保護水準が担保されていると見なすという内容。

「セーフハーバー協定」は、EUと米国の個人データ保護を介した外交戦略「プライバシー外交」(堀部政男・初代個人情報保護委員長)を象徴する、特例的な取り決めだった。

シュレムス氏は、アイルランドのデータ保護委員会の判断を不服として、アイルランド高等裁判所に提訴。

さらにアイルランド高等裁判所は、「セーフハーバー協定」をめぐる判断をEU司法裁判所に委ねる。

そこでEU司法裁判所が2015年10月に出した判断が、「セーフハーバー協定の無効」だった。

米国の国家安全保障、公益、法執行機関の要求が、セーフハーバーの枠組みより優先されており、セーフハーバーとの間で衝突が起きる場合には、米国側の要求は、個人データ保護の枠組みを無制限に無視する状態になっている。

※参照:「米国はプライバシー保護不適合」EU判決でネット騒然(10/17/2015 新聞紙学的

●止まらないフェイスブック

だが、フェイスブックのEUから米国へのデータ移転は止まらなかった。

EUは、個人データ移転について、十分性認定や「セーフハーバー協定」のような政府レベルでの特別協定に加えて、別の制度も用意している。

欧州委員会が定めた契約のひな形「標準契約条項(SSC)」を使って、データ移転の送信元と送信先が、個人データ保護について個別に契約を締結していれば、データ移転を認める、というものだ。

フェイスブック・アイルランドと米フェイスブック本社は、EU司法裁による「セーフハーバー協定無効」の判断が出た翌月の2015年11月、この「標準契約条項」の契約を締結。

これに基づいて、データ移転を継続したのだ。

このフェイスブックの動きに対し、シュレムス氏はさらに2015年12月、アイルランドのデータ保護委員会に対して、フェイスブックへのデータ差し止めの申し立てを行う。

この「標準契約条項」では、個人データの送信元の国のデータ保護当局が、送信先国で十分なデータ保護措置を講じられていないと判断すれば、データ送信を停止させることができる、と規定されている。

シュレムス氏は、この「標準契約条項」に基づいて、アイルランドのデータ保護委員会が、フェイスブックへのデータ送信停止を命じよ、と求めたのだ。

●「プライバシーシールド協定」も無効となる

その一方で、EUと米国は、「セーフハーバー協定無効」を受けた、新たな協定締結に乗り出す。

それが、翌2016年2月に締結された「プライバシーシールド協定」だった。

「米国政府による個人データへのアクセスに対する保護と透明化義務の明確化」「EU市民の人権保護のための救済措置」など、個人データ保護強化や救済措置を盛り込んだ、とする新協定だった。

※参照:アイフォーン「バックドア」問題は米EUの新プライバシー協定にどう響くのか?(02/28/2016 新聞紙学的

その2カ月後の2016年4月、事態はさらに動く。

2012年以来、4年にわたって議論が続いてきたEUの個人データ保護の新法制「一般データ保護規則(GDPR)」がようやく成立したのだ。

この4年の間に「スノーデン事件」が発覚し、その影響も、GDPRをめぐる議論には色濃く反映していた。

※参照:米の情報監視とEUの100倍返し、そしてシリコンバレーが笑う(10/28/2013 新聞紙学的

シュレムス氏のアイルランドのデータ保護委員会への申し立ては、これらに先立つもので、「プライバシーシールド協定」は論点ではなかった。

だが、それがいつの間にか、複雑で奇妙な経緯の果てに論点となってしまう。

アイルランドのデータ保護委員会が、シュレムス氏の申し立てに対して、逆に「標準契約条項」の無効を主張して、アイルランド高等裁判所に提訴したのだ。

被告は、シュレムス氏とフェイスブック。立場こそ真逆だが、「標準契約条項」の有効性の主張という点で、アイルランド・データ保護委員会と対峙する形になった。

そして2019年、判断はアイルランド高等裁判所から、EU司法裁判所に。

この間の2018年3月には、フェイスブックのユーザーデータ8,700万人分が、英コンサルタント会社「ケンブリッジ・アナリティカ」によって不正流用された問題が発覚。プライバシー問題をめぐるフェイスブックへの風当たりは激しさを増す。

※参照:トランプ大統領を誕生させたビッグデータは、フェイスブックから不正取得されたのか(03/18/2018 新聞紙学的

さらに同年5月、「EUデータ保護指令」を大幅に見直した新たなプライバシー保護法制「一般データ保護規則(GDPR)」が施行される。

その中で、アイルランド高等裁判所は、このGDPRのもとで「標準契約条項」の有効性だけでなく、「プライバシーシールド協定」の有効性についてもEU司法裁判所に判断を求める。

その結果が、「標準契約条項は有効。プライバシーシールド協定は無効」だった。

●2度のちゃぶ台返しの影響

「セーフハーバー協定無効」に続く「プライバシーシールド協定無効」の判断。

2度のちゃぶ台返しによって、米国の個人データ保護の水準について、改めて大きな疑問符が突き付けられたことになる。

7年間にわたってこの問題に携わるシュレムス氏は、EU司法裁判所の判断を受けて、このような声明を発表している。

この判断は、アイルランド・データ保護委員会とフェイスブックにとっては大きなダメージだ。米国企業がEU市場で大きな存在感を維持し続けたいのなら、米国はその監視法制を徹底的に見直す必要があることが、明らかになった。

一方で、米商務省は即日、「無効判断に深く失望している」とのウィルバー・ロス商務長官のコメントを発表した。

「プライバシーシールド協定」には、EU市民への救済措置として、米情報機関の個人データへのアクセスに関する申し立ての窓口「オンブズパーソン制度」を新設することなども盛り込まれていた。

だが、EU司法裁判所の判決は、こう認定している。

法的保護の要求事項について。当裁判所は、プライバシーシールド協定における欧州委員会の見解に反して、同協定に盛り込まれているオンブズパーソンの制度は、EU法で要求されるのと同等の保護水準を担保するこの組織に対して、データ主体が請求をするための手立てを何ら提供していない、と考える。具体的には、この制度によるオンブズパーソンの独立性、あるいはオンブズパーソンが米国の情報機関に対して強制力を持った判断をするための権限付与のルール、といったものだ。

つまり、「プライバシーシールド協定」で新設した「オンブズパーソン制度」は、実質的に機能していない、との認定だ。

EU側の交渉窓口として、「セーフハーバー協定」失効後に、急仕立てで「プライバシーシールド協定」を締結し、いわば米国での個人データ保護に太鼓判を押したはずの行政執行機関、欧州委員会の面目も丸つぶれとなった。

欧州委員会副委員長のベラ・ヨウロバー氏は、判決を受けた記者会見で「我々は本日の判決を踏まえ、米国の交渉窓口と緊密に連携していく」とした上で、こんなコメントで、その空気感をにじませている。

これはEUが米国側との対話を継続していくためのチャンスと捉えている。さらには、民主主義社会として、共有する価値観を反映した解決策に取り組むためのチャンスでもある。

「プライバシーシールド協定」に登録している企業・組織は5392にのぼる。

だが、「標準契約条項は有効」と判断されているため、フェイスブックのように同条項の個別契約に基づいてデータ移転をしている企業には、大きな影響はない、との見方もある。

EU司法裁判所の判断について、フェイスブックはテッククランチなどのメディアに対し、このようなコメントを公開している。

EU司法裁判所が、EU域外の国々への標準契約条項に基づくデータ移転について、その有効性を認めたことについて歓迎する。この仕組みは、フェイスブックなど欧州でビジネスをする数千社が採用しており、EU市民のデータ保護のための重要な安全措置となっている。

また米マイクロソフトも「当社の顧客はすでに標準契約条項によっても保護されている」とし、「本日の判決は、当社の顧客サービスにおけるデータ流通には影響しない」との声明を発表している。

だが、シュレムス氏の見方は異なる

判決では「標準契約条項」の有効性を認める一方、これによる個人データ移転についてのデータ保護当局の責任についても、判断している。

それによると、「標準契約条項」が送信先国において有効に機能せず、EU法と同等の保護措置が取られていない場合、送信元企業が送信を停止しないのであれば、その送信元企業を管轄するデータ保護当局が、「当該国への個人データ送信を停止もしくは禁止する義務がある」と認定している。

従って、EU法と同等の保護措置が取られていない米国については、判決によって、「標準契約条項」による以後のデータ送信が認められなくなる、とシュレムス氏は述べる。

この“キルスイッチ(強制停止スイッチ)”を押す義務がある、とされているのは、ここではアイルランドのデータ保護委員会ということになる。

しかも、その影響はフェイスブックにとどまらず、同じくEUに拠点を置き、米情報機関の情報監視先とされたグーグルやアップル、マイクロソフトなどの米巨大プラットフォーム企業すべてに波及する、とシュレムス氏は指摘する。

これについてアイルランドのデータ保護委員会は、判決を受けた公式声明で、「精査に数日から数週間を要する」としながらも、「標準契約条項」による米国へのデータ移転については、こう述べている。

実務上、個人データを米国に移転する際に、標準契約条項の仕組みを使うことは、現時点では疑問の余地があることは明らかだ。

EU司法裁判所の判断によって、「標準契約条項」によるデータ移転に青信号が灯ったとは言えない、とアイルランド・データ保護委員会も考えているようだ。

「プライバシーシールド協定」は無効。「標準契約条項」は有効だが、まさにその条項によって、米国へのデータ移転は差し止め――。

シュレムス氏の見立ての通りであれば、GAFAなどの米巨大プラットフォームを始めとして、米EU間のデータ移転は、大幅な見直しを迫られそうだ。

●日本のプライバシー保護は

上述のように、日本とEUのデータ移転は、十分性認定の枠組みで運用されており、EUとの関係では、司法裁判所の判断による直接的な影響はなさそうだ。

ただ、EU司法裁判所から2度のちゃぶ台返しを受け、データ移転のあり方が大きく見直される雲行きの、米国との関係ではどうだろう。

「米国の国家安全保障、公益、法執行が優先され、同国にデータが移転された個人の基本的人権の侵害を許容する、との内容であることが認められる」

EU司法裁判所の認定からは、EUのユーザーに限らず、まったく同じことが、日本のユーザーの個人データに対しても行われていることがうかがえる。

シュレムス氏の懸念は、EUだけの話ではない。

(※2020年7月18日付「新聞紙学的」より加筆・修正のうえ転載)