EUは、米国が講じた措置により、域内から米国企業に転送される個人データが十分に保護されることに同意する決定案を発表した。
2022年10月7日にバイデン大統領が署名した米国大統領令と、メリック・ガーランド米国司法長官が発布した規則により、米国の情報機関による欧州の個人データへのアクセスは、国家安全保障の保護に必要かつ相当な範囲に限定されることが合意されました。クラウド法に基づき、米国の法執行機関は、データの所在地に関わらず、令状または裁判所命令を発行した上で、米国に拠点を置くテクノロジー企業に個人データの提供を要請することができ、これが米国とのデータ共有がEUのプライバシー規則に違反している可能性があると見なされる主な理由の一つとなっています。
米国は新たな大統領令の中で、EUの個人に対し、新たに設立されたデータ保護審査裁判所を含む独立した公平な救済メカニズムを通じて、米国の諜報機関によるデータの収集と使用に関する救済を受ける可能性も提供した。
しかし活動家らは、この合意は、欧州連合司法裁判所が2020年7月に欧州連合と米国間のいわゆるプライバシーシールドデータ保護協定を無効とした、すでに定められた法的要件に対応できていないと指摘した。
米国の大統領令はEUのプライバシー訴訟の解決には程遠い
続きを読む
オーストリアのプライバシー活動家マックス・シュレムス氏は2015年、通称シュレムスIIと呼ばれる訴訟を起こし、アイルランドのデータ保護当局がアイルランドのフェイスブック社による米国へのデータ送信を阻止しなかったため、諜報機関がEU市民からの法的救済なしにデータにアクセスできたと主張した。
この判決を受けて、EUの執行機関である欧州委員会は、データ共有の枠組み、すなわち大西洋を越えたデータの流れを可能にし、CJEUの懸念に対処することを目的とした「EU-米国データプライバシーフレームワーク」と呼ばれる適切性決定の草案の作成に着手した。
今週の決定案は、2022年3月にフォンデアライエンEU大統領とバイデン大統領が発表した原則合意に基づく米国の大統領令と新たな米国規制の署名を受けてのものだ。欧州委員会はまた、この決定を欧州データ保護委員会(EDPB)に意見を求めて提出した。
提案された取り決めにより、米国企業は、個人データが収集された目的に必要なくなった場合に個人データを削除する要件や、個人データが第三者と共有される場合に保護の継続性を確保する要件など、プライバシー義務の遵守を約束することで、EU-米国データプライバシーフレームワークに参加できるようになります。
EU市民は、個人データが枠組みに違反して取り扱われた場合、無料の独立紛争解決メカニズムや仲裁委員会を含む救済措置を受けることが約束されている。
米国の大統領令では、救済メカニズムには新たに創設されたデータ保護審査裁判所が含まれる可能性もあると約束しており、同裁判所は拘束力のある救済措置を採用するなどして、欧州からの苦情を独自に調査し解決することを約束している。
シュレムス氏が設立したプライバシー法キャンペーン団体「noyb」は、新たな十分性認定は、米国の監視に関する欧州司法裁判所の決定によって既に無効になっていると述べた。同判決は、米国の監視が英国基本権憲章第52条の意味において均衡のとれたものであり、同憲章第47条で要求されているように、司法救済へのアクセスが確保されていることを要求していた。
- 同意なしに個人情報を広告に利用することで、Meta は EU の標的になる
- フランス、学校でのOffice 365とGoogle Workspaceの使用を禁止
- 活動家らはプライバシーシールド強化に対する法的異議申し立てを警告
- ブレグジットの恩恵?デジタル大臣は「新たに独立した」英国は世界の「データハブ」になると主張
データ保護審査裁判所の設立は有望に思えるかもしれないが、司法救済の基準を満たしていないと報告書は述べている。
シュレムス氏は声明で、「この決定案は既存の大統領令に基づいているため、欧州司法裁判所で異議申し立てをされた場合、どのように解決できるのか見当もつかない。欧州委員会は、我々の基本的権利を著しく侵害しながら、同じような決定を何度も繰り返しているように思える」と述べた。
noybは、EDPBと欧州加盟国の見解は欧州委員会を拘束するものではないと指摘した。「決定が公表されれば、欧州企業は米国にデータを送信する際にその決定を頼りにすることができる。最終決定は2023年春より前には下されない見込みだ。その後、ユーザーは国内および欧州の裁判所を通じて決定に異議を申し立てることができる」と述べている。®
