欧州最高裁判所が7月に米国の監視の行き過ぎを理由に旗艦的なプライバシーシールドを無効とした画期的な判決(通称シュレムスII)を出したことを受けて、EUと米国間のデータ移転にどう取り組んでいるかを問う質問に30社以上の企業から回答を得た調査によると、ほとんどの企業が砂に頭を埋めて法的な悪夢が消え去ることを願っているのと同じようなことをしているようだ。
欧州のプライバシー権団体 noyb がここでの基礎作業の大部分を担い、個人データの移転に関する一連の質問に対する EU 加盟企業 33 社からの回答 (一部は英語、その他はドイツ語) を 45 ページのレポートにまとめました。
この報告書は、シュレムス II 以降、企業が EU 市民のデータを海を越えて転送する法的根拠についての質問に対する回答を「驚くべき」、あるいはまったく回答しなかった企業もあったことを踏まえると、無断で回答したと要約している。
この問題に関する調査対象となったテクノロジー企業は、AppleからZoomまで、アルファベット順で幅広い。Airbnb、Netflix、WhatsAppなどは、noybによるとEUと米国間のデータ移転について回答を得られなかった企業の一部だ。
回答した企業の回答は、答えよりも多くの疑問を提起しているように思われる。質問を避けるための「定型的な回答」が数多く見られ、また、質問者を立ち去らせることを期待して既存のプライバシーポリシーを指摘しているものもある(Facebook さん、こんにちは!)。
Facebookはまた、求められている情報はEUのデータ保護枠組みの範囲外であると繰り返し主張した…
さらに、noybは、Slackが政府にデータへのアクセスを「自発的に」提供していないと回答したことを強調している。プライバシー権利団体が指摘するように、これは「FISA702などの監視法の下で政府にそうすることが強制されるかどうかという疑問に答えていない」。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
同様の問題がマイクロソフトにも及んでいる。このテクノロジー大手は、少なくとも各質問に具体的に回答し、EUと米国間のデータ転送については標準契約条項(SCC)に基づいていると述べたものの、やはり米国の監視法の対象となる企業の一つである。noybが指摘するように、「エドワード・スノーデンが開示した文書に明確に名前が挙げられ、米国政府から受領・回答したFISA702要請に番号を公表している」のだ。
すると、ユーザーのデータが米国の大規模監視から適切に保護されない場合、Microsoft がどのようにして (合法的に) SCC を使用できると主張できるのかという疑問が生じます...
EU司法裁判所は、SCCを用いてEU域外にデータを持ち出す場合、データが実際に安全であるかどうかをケースバイケースで評価する必要があることを明確にしました。安全でない場合、データ管理者は移転を停止する法的義務を負います。EUの規制当局にも、データが危険にさらされている場合、移転を停止する明確な義務があります。
「全体として、定型的な回答しか提供できない企業の多さに驚きました。業界のほとんどの企業が、今後どのように前進していくべきか、まだ計画を立てていないようです」とnoyb氏は付け加えた。
8月に同団体は、Google AnalyticsやFacebook Connectの統合を通じて依然として米国にデータを送信していると特定したウェブサイトに対し、101件の苦情を申し立てた。ここでも、この2つのテクノロジー大手は明らかにFISA 702などの米国の監視法の対象となっている。
そして、EUと米国間のデータ移転をめぐる疑問と同義語となっている名字を持つnoybの創設者マックス・シュレムズ氏は、約7年前に遡る訴訟で、アイルランドのデータ保護委員会(DPC)に対し、FacebookによるSCCの使用に対する強制措置を取るよう働きかけ続けている。
今月初め、DPCがFacebookに対し、データ移転の停止を求める仮命令を書面で発出したことが明らかになった。しかし、Facebookはアイルランドの裁判所に司法審査を求める控訴を行い、執行猶予が認められた。
裁判所に提出された宣誓供述書の中で、フェイスブックは、停止命令が執行された場合、欧州でのサービスを停止する可能性があると主張しているようだ。しかし先週、フェイスブックのグローバル副社長で元英国副首相のニック・クレッグ氏は、この問題を理由に欧州でのサービスを停止する可能性を否定した。しかしクレッグ氏は、米国のデータ移転をめぐる法的不確実性を解決するために、大西洋の両岸の議員が解決策を見出さなければ、多くのデジタル企業に「深刻な影響」が及ぶと警告した。(プライバシーシールド2が議論されているが、欧州委員会は迅速な解決策はないと警告しており、米国の監視法の改革が必要になることを示唆している。)
シュレムス氏は、Facebookにとって少なくとも解決策は、サービスを統合すること、つまりインフラを二つに分割することだと示唆している。しかし、EU域内市場担当委員のティエリー・ブルトン氏も、「欧州のデータは欧州で保管・処理される」べきだと主張している。今月初め、トランプ米大統領のTikTokに対する懸念に端を発した議論の中で、ブルトン氏は「欧州のデータは欧州に属するものであり、保護主義的な要素は何もない」と主張した。
アイルランドでは、Facebook社が裁判所に対し、EU間のデータ移転に関する規制措置が性急に行われている(苦情は2013年に遡る)と訴え、また不当に標的にされていると主張した。
しかし現在、noyb が多数の企業に対してデータ転送に関する苦情を申し立て、EU のすべてのデータ監督官と規制当局の机に届いており、ECJ の明確な指示のもとで、実際に法律を施行し、ヨーロッパ人のデータ権利を擁護するよう多大な圧力がかかっているため、彼らには介入する義務がある。
Facebookも待機していると主張していた欧州データ保護委員会(European Data Protection Board)のSchrems IIに関するガイダンスでは、SCCを用いて米国にデータを(合法的に)移転できるかどうかは、データ管理者が移転されたデータに対する「米国法が適切な保護水準を侵害しない」という法的保証を提供できるかどうかにかかっていると明記されている。したがって、Facebookなどは、FISA改革について米国政府に働きかけるのが賢明だろう。
欧州司法裁判所の判決を受けて、米国のクラウドサービスに法的暗雲が立ち込めている
ナターシャは2012年9月から2025年4月まで、ヨーロッパを拠点とするTechCrunchのシニアレポーターを務めました。CNET UKでスマートフォンレビューを担当した後、TechCrunchに入社しました。それ以前は、silicon.com(現在はTechRepublicに統合)で5年以上ビジネステクノロジーを担当し、モバイルとワイヤレス、通信とネットワーク、ITスキルに関する記事を主に執筆しました。また、ガーディアン紙やBBCなどのフリーランスとして活動した経験もあります。ケンブリッジ大学で英語学の優等学位を取得し、ロンドン大学ゴールドスミス・カレッジでジャーナリズムの修士号を取得しています。
バイオを見る
