EUと米国間のいわゆるプライバシーシールドデータ保護協定をめぐる長らく続く騒動は、政治家らがこの枠組みの「強化」を検討する計画を発表したことで今週再び動揺した。
ウィルバー・ロス米商務長官とディディエ・レインダース欧州委員会司法委員による共同声明は、欧州司法裁判所が7月にシュレムスII事件でこの枠組みを事実上一刀両断し、無効であると宣言した判決を下したことを受けて出されたものである。
プライバシー・シールドは、EU市民のデータを米国企業に保管・処理させることを可能にし、欧州委員会による度重なる審査をクリアしてきた。オーストリアのプライバシー活動家マックス・シュレムス氏は、自身のデータが米国に持ち込まれた後、米国当局による不正アクセスを防ぐためのEUのような法的強制力のある保護措置が存在しないとして、長年にわたる訴訟(しばしば「シュレムスII」と呼ばれる)の口火を切った。
斧の時代、剣の時代、プライバシー シールドは分裂しているが、これは欧州の企業にとって何を意味するのだろうか?
続きを読む
先月の判決では、多くの企業がオプトアウトとして利用している標準契約条項(SCC)が無効とはなりませんでしたが、近いうちにそれらも裁判所の厳しい監視下に置かれる可能性が高くなってくると思われます。
それで、ハンプティを再び元通りにするために何ができるのか、そしてデータとお金の流れを維持するためにプライバシーシールドにどのような強化を加えることができるのかという問題に戻ります。
decoded.legalの技術弁護士ニール・ブラウン氏はThe Registerに対し、合意の修正を試みることは「結局は『違う壁紙、同じひび割れ』になるだろう」と語り、米国外国情報監視法(FISA)第702条と大統領令12333号は有効のままだが、「破棄される恐れのない『プライバシーシールド』協定を策定するのは難しいだろう」と指摘した。
"また。"
セーフハーバーは無効と判断:Facebookの「友達」データの吸い上げが危険にさらされる
続きを読む
SCC とは何でしょうか – 十分なのでしょうか、そうでないのでしょうか?
クライシス・チームの創設者兼CEOであるビル・ミュー氏は、FISA 702が「電子通信サービスプロバイダー」(ECSP)に適用されるため、SCC(サービス提供者保護規則)はFISA 702の適用範囲において疑わしい立場に置かれている可能性があると述べている。「米国のクラウド企業はすべてFISA 702の対象となる」とミュー氏は述べ、たとえサーバーがEU内に設置されていたとしても、米国企業にアウトソーシングされている企業にとっては懸念すべき影響を及ぼす可能性があると指摘した。ミュー氏はホスティングの所在地は「無関係」だと説明した。
米国の2018年海外データ合法利用明確化法(CLOUD法)により、米国の裁判所は、世界中のどこであっても米国企業が保有する個人データの提出を要求することができるようになりました。
デコーデッドのブラウン氏はザ・レジスター紙にこう語った。「裁判所は、SCC 自体は依然として有効であることを明確にしている。」
しかし、彼はこう付け加えた。「GDPRと『本質的に同等』の保護基準を達成するには、EU域外に個人データを移転する企業は、受取人と単に署名する以上のことが求められる。企業は各受取国の法律を調査し、標準契約条項、それらの法律、および導入できるその他の措置の組み合わせが十分な保護を提供するかどうかを判断する必要がある。」
理論上はおそらく大丈夫でしょう。しかし、世界各国の関連法規を網羅した無料の統合リソースが整備されるまでは(欧州のデータ保護規制当局の仕事になるでしょうか?)、潤沢な資金のない企業には到底手の届かないものになるかもしれません。
明らかに、それぞれの移転には個別の評価が必要ですが、米国への移転に関しては、プライバシーシールドが不十分な保護策を提供していることが判明しているため、標準契約条項(SCC)だけで対応できるかどうか疑問視されるかもしれません。さらに悪いことに、CJEUが特に問題があると判断した法律を考慮すると、企業が移転の恩恵を受けながら、どのような追加措置を講じることができるのか、疑問に思います。
「実際には、ICOのアドバイスの要点は『国際送金の状況を確認し、ガイダンスやアドバイスが利用可能になったら速やかに対応する』ことであり、施行には『リスクに基づいた適切なアプローチ』を取るということなので、企業が今のところはほとんど何もする必要がないと考えるのも無理はないだろう。」
マイクロソフトのグローバルプライバシーおよび規制問題担当コーポレートバイスプレジデント兼最高プライバシー責任者のジュリー・ブリル氏は先月、プライバシーシールドが廃止されたにもかかわらず、SCCは依然として有効であり、「当社の顧客はすでにSCCの下で保護されている」と主張した。
ブリル氏はまた、マイクロソフトがデータへのアクセスを求める命令に対し、米国最高裁判所にまで異議を唱えていることを指摘した。しかし、顧客がクラウド大手の法的な恩恵よりも、もう少し法的に根拠のあるものに頼りたいと考えるのも無理はないだろう。ブリル氏は「政府や政策立案者が新たなアプローチを策定する際には、協力して取り組んでいきます」と述べた。
プライバシーシールド協定を、裁判所によるスワッティングを回避できる形で復活させるには、米国法の改正が必要になるだろう。「米国がこれに乗り気である可能性は低いだろう」とブラウン氏は述べた。
あるいは、EU 諸国に米国の裁判所で米国の監視プログラムに異議を申し立てる権利が与えられる可能性はあるだろうか?
「それは可能だと思いますが、可能性は低いようです。」
政治家たちがプライバシーシールドへの打撃に対処するための「強化策」について検討している間、企業はプロバイダーの利用規約をじっくり検討したほうが良いだろう。そうしないと、高額な罰金を払うリスクを負うことになる。®
* 皆さんも覚えていると思いますが、シュレムス I 事件は、プライバシー シールドに取って代わるはずだったデータ保護協定であるセーフ ハーバーを廃止した事件でした。
