分析2年以上が経過したが、プライバシー シールドはまだ目的に適合しておらず、データ保護の専門家や政治家は、2回目の年次レビューを前に、より大きな取り組みを求めている。
この協定は、前身のセーフハーバー協定が廃止された後、2016年夏に急いで成立し、欧州連合と米国間のデータの流れを規制している。
批評家の大半は、この協定がセーフハーバーよりもEU市民のデータをより強力に保護するものであることに同意しているものの、監督、執行、自動意思決定、米国による監視に関する懸念が繰り返し提起されている。
2017年9月に実施された最初の年次レビューで求められたいくつかの変更が未だ実現しておらず、ここ数ヶ月で不満が高まっている。実現した変更も、氷河の速度でしか進んでいないようだ。
「予想よりも進展が遅れている」と、欧州データ保護監督官のジョバンニ・ブッタレッリ氏は述べた。「例えば、PCLOB(プライバシー・市民的自由監督委員会)のメンバー任命はもっと早く行われると期待していたが、これは必須だと勧告されていた。」
審査後すぐに議長が任命されたものの、2名の委員の指名には3月までかかりました。しかし、これらの委員、そして今後の委員の任命はまだ確定していません。
今週、31の団体からなる連合は、米国の諜報機関の監視を担うPCLOBが設立11年のうちわずか4年半しか定足数を満たしていなかったと指摘し、米政権に行動を控えるよう求めた。
もちろん、シートの座り心地だけが重要というわけではありません。「ボディの効率性と機能性も追求しています」とブッタレッリ氏は語ります。
EU-米国間のプライバシーシールドは不十分、データ盗聴は停止すべき - 欧州議会議員
続きを読む
批評家らはまた、国家安全保障問題や、そうした苦情を処理するオンブズマンの取り決めが明確でないことに不満を漏らしている。特に、オンブズマンの現職者であるジュディス・ガーバー氏が米国のキプロス大使に指名されたことがその原因である。
「オンブズマン代理として誰が彼女の後任になるかについては、まだ情報がない」と、EUのプライバシー監視機関のリーダーらで構成された欧州データ保護会議のアンドレア・イェリネク議長は述べた。
彼女は、ガーバー氏との7月の会合は「興味深く、友好的なものだったが、我々の懸念に関して決定的な答えは得られなかった」と述べた。
プライバシーの限界に直面:大規模監視
しかし、解決の可能性が低いと思われる問題の一つは、国家安全保障と大規模監視の問題だ。批評家たちは協定に基づくデータへの日常的なアクセスを懸念しているが、透明性の欠如により解明は困難だ。
例えば、欧州議会議員らは、昨年末に外国情報監視法が再承認された際に、監視活動は個人の居住地に関わらず個人情報を保護する必要があると定めた大統領政策指令28(PDF)が米国に盛り込まれなかったことに失望した。
現在、彼らは、FISA 702に基づくデータ収集が無差別ではなく、EU基本権憲章に反する一般化された大量な方法で行われていないという証拠を求めている。
「両国の法制度の違いにより、プライバシー・シールドが特定の当局による日常的なアクセスを正当化するものとみなされる可能性について、依然として懸念を抱いています」とブッタレッリ氏は述べた。「私たちは、米国の監視に関して、より具体的な対策と改善策を求めて、実際の大規模監視に関するより正確な情報を求めてきました。」
しかし、ブッタレッリ氏が認めたように、諜報機関が自らの活動の詳細を公表することはめったになく、これはテネ氏が強調した点だ。
「問題の核心は解決されないだろうと思う」と彼はThe Reg紙に語った。「結局のところ、702条は延長されただけであり、プライバシーシールドの結果として諜報機関の活動方法に根本的な変化が生じるとは予想していない」
むしろ、テネ氏は、データ保護機関がどの国の諜報機関に対しても管轄権を持たないことを認識しつつ、こうした制限内で協定を施行することに重点を置いた、より実際的な見解を望んでいる。
「それが欧州委員会のアプローチであり、今後もこのアプローチが継続されると確信している」と彼は述べた。
「監督機構、PCLOB、オンブズマンなどを検討することはできるが、それ以上に、EU機関がそれらの理由でこの合意を破棄するのであれば、データの流れが継続する見通しはかなり暗いことは誰もが認識している」
取引を一時停止?できるけど、やらない
欧州議会からも圧力がかかっており、7月には欧州委員会に対し、9月1日までにそうした懸念が解消されなければ協定を一時停止するよう要請したが、8月末になっても溝は残ったままである。
ベラ・ヨウロヴァ委員は、必要なら躊躇せずに取引を一時停止すると述べたが、広報担当のクリスチャン・ウィガンド氏はザ・レグ紙に対し、現段階ではそれは正当化されないと語った。
「我々の適切性評価の根拠となった全ての要素は、米国の新政権発足後も維持されている」と同氏は述べた。「また、関係機関や当局において、いくつかの改善と新たな人事が見られた」
この決議を議会に提出した市民自由委員会(LIBE)のクロード・モラエス委員長は、合意が確実に履行されるよう関係機関に圧力をかけ続けるのが目的だと述べた。
同氏はレジスター紙に対し、この取引に関してすでに起こされている法廷闘争を指摘し、この件を欧州連合司法裁判所に全面的に委ねたのは「怠慢」だったと語った。
「現状の形ではまだ十分ではないと考えています。その主な結果として、司法裁判所が判決を無効にする可能性が十分にあります」と彼は述べた。「セーフハーバー条項の発効後、そしてそれから時間が経過した今、このような事態を再び起こさせるわけにはいきません。」
モラエス氏は、欧州議会議員らが十分な検討もなしに協定の廃止を推し進めているのではなく、むしろEU内での影響力を利用して、まだ十分に解決されていない問題を強調したいだけであることは明言している。
その中には、特に企業が自己認証できるようになっていること(これまでに約3,689社が自己認証している)と、米国当局がこの協定をどのように執行するかという問題があり、欧州委員会もより積極的かつ定期的な遵守監視を求めている。
そうです、Facebookとケンブリッジ・アナリティカはプライバシーシールドで保護され、リストに残りました - 欧州議会議員
そして、欧州議会議員たちが熱心に取り上げた明らかな例が 1 つあります。Facebook と Cambridge Analytica はどちらも登録されており、リストに残りました (CA の参加はその後失効しましたが、同社の破産申請を考えれば驚くことではありません)。
モラエス氏は、リストからこれら企業を削除すれば「個人の信頼とシステムの信頼性を高めるのに役立っただろう」と主張したが、連邦取引委員会(プライバシーシールド条項の遵守を強制する)との最近の会合では、フェイスブックが大きすぎて対処できないことが理由ではないと満足したと付け加えた。
一方、FTCの広報担当者はEl Regに対し、同委員会は法執行を「非常に真剣に」受け止めており、プライバシーシールドの発効以来、同法に関連する訴訟を4件起こしたと指摘した。
弁護士らが欧州議会議員のプライバシーシールド停止要求を支持し、プライバシーシールドに圧力がかかっている
続きを読む
国際プライバシー専門家協会の副会長であり、プライバシーシールドの仲裁委員会メンバーでもあるオマー・テネ氏は、苦情処理手続きには明確なエスカレーションプロセスが備わっていると指摘した。
「私の知る限り、そのようなケース(欧州のデータ保護機関からFTCに付託されたケース)は1件もありません。ですから、FTCの執行能力のなさを非難する前に、苦情があったかどうかを尋ねる価値はあるでしょう」と彼は述べた。
同委員会は、FTCと商務省がEUのデータ保護協定(DPA)とどのように連携しているか、企業はどのように認証・監視されているか、企業が苦情を迅速に処理するためにどのような仕組みを備えているかなどがすべて、第2回年次レビューで評価されると述べた。
態度の変化により、2回目のレビューがさらに重要になる
しかし、避けられないことの一つは、前回の年次レビュー以来、状況がどれほど変わったかということです。
Facebook の騒動によりプライバシーが世間の注目を集め、大手テクノロジー企業は激怒した。一般データ保護規則が施行され、カリフォルニア州のプライバシー法はワシントンへの圧力を高めた。
「ここ数ヶ月の政策スタンスの驚くべき転換は驚くべきものでした」とテネ氏は述べた。「昨年の状況を見れば、米国が連邦プライバシー法の制定を実際に進める可能性は低いと誰もが言うでしょう。しかし今、今年はそれが現実味を帯びてきています。」
ブッタレッリ氏も同意見で、「規制か自主規制かをめぐる80年代と90年代の議論は今や時代遅れだ」と述べ、一方ジェリネック氏は、米国の政策立案者はこのパラダイムシフトに注目し、「改革に向けた努力を強化する」必要があると語った。
変化は米国だけに起きているわけではない。他の国々も現在、EUとデータ適正性協定を策定中だ。日本は7月に協議を終え、韓国も協議中だ。
ブッタレッリ氏にとって、これは10月18日から20日に予定されているプライバシーシールドの2回目の年次レビューをさらに重要なものにする。
「2回目の審査は1回目よりもはるかに重要です」と彼は述べた。「他の適格性判断にも関連しているため、2回目の審査は重要です。正しい前例を確実に作る必要があります。そうでなければ、世界中の法執行機関や情報機関が『なぜ私じゃないんだ?』と言ってくるからです」
