欧州最高裁判所は、米国政府による大規模監視を理由に、EU市民の個人データを米国企業に大量移転することを禁止した。同裁判所は、EU・米国間プライバシーシールドとして知られる協定を無効とした。

欧州は、個人データの処理に関して、米国よりもはるかに厳しいプライバシー基準を有しています。ある保護規定では、個人データをEU域外の国に送信する場合、その国においてGDPR基準のプライバシー保護が適用されるようにするための措置が講じられている場合にのみ許可されるとされています。

EU・米国間のプライバシーシールドは、この要件を確実に満たすために設計された協定です。この協定では、米国企業が遵守することに同意した基準が定められており、EU企業はこれに基づいて個人データを合法的にEU企業に送信できると考えていました。文字通り数千もの企業が、Facebookのような巨大テクノロジー企業を含め、データ転送にプライバシーシールドを利用してきました。

しかし、欧州司法裁判所は、プライバシーシールドは十分な保護を提供していないとの判決を下しました。特に、米国政府による大量データ監視プログラムにより、米国で処理・保管される個人データのプライバシーを保証することが不可能になっていると述べています。

裁判所の見解では、欧州委員会が決定2016/1250で評価した、米国国内法から生じる、欧州連合から第三国に転送された個人データに対する米国公的機関によるアクセスと使用に関する個人データ保護の制限は、それらの規定に基づく監視プログラムが厳密に必要なものに限定されない限りにおいて、比例性の原則により、EU法で要求される要件と本質的に同等の要件を満たすような形で限定されていない。

はい、それはすべて一文でした…続きました：

裁判所は、当該判決における認定に基づき、特定の監視プログラムに関して、これらの規定は、当該プログラムを実施するために付与する権限に制限を設けておらず、また、監視対象となる可能性のある非米国人に対する保証の存在も示唆していないと指摘した。さらに、これらの規定は、問題となっている監視プログラムを実施する際に米国当局が遵守すべき要件を定めているものの、データ主体に米国当局に対して裁判所で提訴可能な権利を付与するものではないと付け加えた。

言い換えれば、たとえ米国企業がすべきことをすべて実行したとしても、米国政府によるデータへのアクセスを阻止する方法はなく、そうなればEU市民には権利がないことになる。

この判決は、  EU市民の個人データの米国への移転を全面的に禁止するものではありません。企業は、EU市民による米国でのホテル予約手続きなど、必要性を証明できる場合、より選択的に移転を行うことが依然として認められています。しかし、処理または保管のために大量のデータを移転することは、もはや合法ではありません。

この問題は複雑です。もっと詳しく知りたい方は、  Wired誌の優れた詳細な記事をご覧ください。

画像: マイクロソフト

havebin.com を Google ニュース フィードに追加します。