グーグルへの個人データ送信は違法――オーストリアのプライバシー保護当局が、分析ツールの「グーグルアナリティクス」を使っていた健康サイトに、そんな決定を下した。

EUのプライバシー保護当局も、欧州議会のサイトについて、グーグルアナリティクスなどへの個人データ送信を違法とし、改善命令を出した。

EUは、プライバシー保護が不十分な国への個人データ送信を禁じている。相次ぐ「違法」決定の背後にあるのは、EUの厳格なプライバシー保護法と、米国の情報機関の大量データ監視の衝突だ。

この問題では、2020年7月にEU司法裁判所が出した「シュレムスII」と呼ばれる判決の衝撃が、なお尾を引く。裁判ではフェイスブックへのデータ送信が問題となり、判決は米国へのデータ送信がEUの保護レベルを満たしていない、として米EU間のプライバシー協定を無効とした。

それから1年半。新たなプライバシー協定がない状態で、データ送信元となるEUの企業などは、送信先となるグーグル、フェイスブックと個別にプライバシー保護契約を結び、サービスの利用を続けてきた。

だが、相次ぐプライバシー保護当局による違法決定は、このような代替措置によっても、米国への個人データ送信は認められない、との判断が示されたことになる。

一連の問題提起を主導し、判決の名称にもなった弁護士のマクシミリアン・シュレムス氏は、これらの決定を受けて、「EUではグーグルアナリティクスは使えない、ということだ」とコメントしている。同様の申し立ては100件にのぼり、その判断を待つ。

米国への個人データ送信を巡って、何が起きているのか。

●グーグルアナリティクスへのデータ移転は違法

第1被申立人が第2被申立人と締結した標準データ保護条項は、一般データ保護規則(GDPR)第44条が規定する適切な保護レベルを提供していない。

オーストリアのデータ保護機関(DSB)は2021年12月22日付で、そんな決定を行った。今月13日、申し立てを行った同国の人権擁護団体「ノイブ(noyb)」が明らかにした。シュレムス氏は、同団体の創設者だ。

厳格さで知られるEUのプライバシー保護法「GDPR」は、保護レベルが不十分な国への市民の個人データ送信を禁止している。

そのGDPR第44条([第三国又は国際機関への個人データの]移転に関する一般原則)違反だとの申し立ての対象となったのは、オーストリアの健康サイト(第1被申立人)と、同サイトが使っていたサイト分析サービス「グーグルアナリティクス」を提供するグーグル(第2被申立人)だ。健康サイトは、「グーグルアナリティクス」を使ってサイトのトラフィック分析を行っていた。

データ保護機関は決定の中で、「グーグルアナリティクス」が扱う、ユーザーの「IPアドレスとクッキーデータ」などを個人データと認定。それらを、米国企業であるグーグルのサーバーに送信していたと認定している。

グーグルアナリティクスには、IPアドレスの末尾を「0」にする「匿名化機能」があるが、この健康サイトでは設定ミスによって、匿名化ができていなかった、という。ただ、データ監視機関は「 (IPアドレスは)申立人のデジタルの足跡を構成する多くの’パズルのピース’の一つに過ぎない」と述べ、それらを組み合わせることでユーザーの個人データとして機能する、としている。

健康サイトは、グーグルとの間でデータ保護のための個別契約「標準契約条項(SCC)」を締結していた。これは、欧州委員会の示す契約書のひな型を使って、データ送信についてのプライバシー保護レベルを担保する、GDPRでも認められている仕組みだ。

ただ、「ゴム印」のように形式的に認められるわけではなく、実質的に個人データが保護されているのかどうか、が問われる。

グーグルは、標準契約条項に加えて、データ暗号化、データセンターの物理的安全措置も講じている、と主張していた。

だが今回のオーストリアのデータ保護機関の決定では、グーグルは米国企業であり、米国の情報機関などによる外国情報監視法(FISA)によるデータ監視の対象となっており、「標準的なデータ保護条項に加えて取られた措置は、米国の情報機関による監視およびアクセスの可能性を排除するものではないため、有効ではない」と指摘。このデータ送信が「GDPR違反」である、としている。

ただ、健康サイトについては個人データの管理主体(コントローラー)として違法性を認めたが、グーグルについてはあくまでデータ処理(プロセッサー)を担っただけだとして、申し立ては退けている。

今回のデータ監視機関による決定が波紋を広げているのは、この判断の影響がこの1件にとどまらない可能性があるためだ。

「ノイブ」は2020年8月、「グーグルアナリティクス」と、フェイスブックの認証情報連携サービス「フェイスブックコネクト」を使ったEUと欧州経済領域(EEA)の計30カ国のサイトについて、各国のデータ保護当局に対して、今回を含めて101件にのぼる同様の申し立てを行っている

「ノイブ」はこの101サイトのいずれもが、米国のグーグルとフェイスブックのサーバーに欧州市民の個人データを送信し、米国家安全保障局(NSA)などの情報機関による監視の危険にさらしている、と指摘している。

各国のデータ保護当局の調整機関である欧州データ保護会議(EDPB)は、「ノイブ」の大量申し立てを受けた翌9月、この問題についての特別タスクフォースを設置したことを明らかにしている。

「いずれEUの大半の加盟国で、同様の決定が出されるだろうと思っている」。シュレムス氏は、オーストリアの決定を受けて、そうコメントしている。

そして、この101件とは別の申し立てに対して、ほぼ同様の判断が、オーストリアの決定が明らかになった前週に出されていた。

●欧州議会への「違法」判断

EU機関などを対象としたプライバシー保護当局、欧州データ保護監督機関(EDPS)は1月5日、欧州議会が開設した議員や職員らの新型コロナのPCR検査申し込みサイトで、グーグルアナリティクスと決済サービス「ストライプ」のクッキーを使用していたことが、やはりEU機関のGDPRに相当する法律に違反していた、との決定をした

この件も、欧州議会の6人の議員の代理として2021年1月、「ノイブ」が申し立てを行っていたものだった。

EDPSの決定でも、EU市民の個人データが米国に送信されており、EUと同等レベルの保護が提供されていない状態だった、とし、オーストリア当局とほぼ同様の認定を行っていた。

大きな違いは、違反をしたのは民間企業ではなく、サイトを開設していた欧州議会そのものだったという点だ。

●「シュレムスII」判決の波紋

これらの申し立ての起点になっているのは、EU司法裁判所が2020年7月に出した「シュレムスII」と呼ばれる判決だ。

EUと米国の間で締結されていた個人データ送信に関する保護協定「プライバシーシールド」が、EU市民のプライバシー保護レベルを米国において保障できていないとして、無効であるとの判決を出した。

※参照:「プライバシー保護失格」2度目のちゃぶ台返し、Facebookはデータ移転ができなくなるのか?(07/18/2020 新聞紙学的

EUと米国のプライバシー保護をめぐる因縁は、2013年の「スノーデン」事件で暴露されたNSAなどの米情報機関による大規模ネット監視にさかのぼる。

「スノーデン事件」を受けて、シュレムス氏が、フェイスブックによるEUから米国へのユーザーデータの送信差し止めを求めて、申し立てを行う。

その7年に及ぶ法廷闘争の中で、2015年のEU司法裁の判決「シュレムスI」では、米EU間の個人データ送信の保護協定として15年間機能していた「セーフハーバー協定」が無効とされる。その翌年に合意に達した新協定が「プライバシーシールド」だった。だが、この新協定も2020年の司法裁判決によって、わずか4年で無効とされた。

※参照:「米国はプライバシー保護不適合」EU判決でネット騒然(10/17/2015 新聞紙学的

●「シュレムスII」が求めるもの

保護レベルの評価は、EU域内で設立されたデータ送信者と、当該の第三国で設立されたデータ移転の受信者との間の契約条項と合わせて、送信データに対する第三国の公的機関によるアクセス、同国の関連する法制度の側面についても考慮する必要がある。

2020年7月の「シュレムスII」判決で、EU司法裁判所はそう指摘していた。その評価の責任はデータ管理者が担い、各国のデータ保護機関が、EU域内と同等の保護レベルが担保されないと認定した場合、「データ送信の中止もしくは禁止措置をとる必要がある」としている。

「ノイブ」が101件の申し立てを行ったのは、この「シュレムスII」判決の翌月だった。そして、101件の申し立てで30カ国のデータ保護機関に要求しているのは、この「シュレムスII」判決での、司法裁の指摘の履行だ。

オーストリアのデータ保護機関の今回の決定は、まさにEU司法裁の「シュレムスII」判決が要求した判断を踏まえたもの、と見ることができる。シュレムス氏の見立てによれば、残る100件の申し立てについても、「シュレムスII」判決を無視することはできない、ということになる。

●アップデートと溝

「シュレムスII」判決以降、「プライバシーシールド」に続くEUと米国の新たな協定締結の動きは見えてこない。

その一方で、EUから米国へのグーグル、フェイスブックなどのユーザーデータ送信は、止まっていない。それを支えているのが、前述の「標準契約条項」による個別データ保護契約だ。

「シュレムスII」判決や2018年5月施行のGDPRを受ける形で、EDPBによる第三国へのデータ送信に関する保護措置についてのガイダンスの発表や、欧州委員会による「標準契約条項」のアップデートなどの取り組みも行われている。

だが、EUのデータ保護レベルと、米国の情報機関によるデータ監視との溝は、簡単には埋まりそうもない。

日本は、2019年にEUとの間で十分なデータ保護レベルにある、との認定(十分性認定)を行っている。

しかし、米国におけるグーグルやフェイスブックのユーザーデータの扱いは、EUが懸念する実態と違いはないだろう。

(※2022年1月17日付「新聞紙学的」より加筆・修正のうえ転載)