欧州連合(EU)市民のデータを欧州と米国の間で移送する際に適用される重要な枠組みが無効と判断され、多くの企業に大きな衝撃を与えている。
EUと米国の間でのデータ移送に関する「プライバシーシールド」という枠組みは、国境を越えたデータの交換において、ユーザー情報の大量収集を防止したり、EU市民のデータへのアクセスを制限するといった内容を含む、高度かつ法的強制力のあるデータ保護標準の実現を目的として締結されたものだった。
しかし、プライバシーや権利の擁護団体は長きにわたって、EU域内のユーザーのデータが域外に出て、他地域に移送された時の保護について、そしてその際に監視目的でこの種の情報がどういった機関によってアクセスできるのかという点について懸念を抱いている。
オーストリアの弁護士であり活動家でもあるMax Schrems氏は、米国の監視法と、Edward Snowden氏が暴露した米国家安全保障局(NSA)による米市民に対する大規模諜報活動によって生み出される懸念から、こういったデータ交換に対する戦いの陣頭に立っている。
大規模諜報活動の例を挙げると、NSAは「PRISM」というツールを使って、AppleやMicrosoft、米Yahoo、Google、Facebookといった大手テクノロジー企業が保持しているデータをマイニングしていたとされている。
Schrems氏は2013年にアイルランドのデータ保護委員会(DPC)に対して、FacebookがEU域外である米国のサーバーに向けて送った情報は米国の法執行機関や公的機関によって利用されるリスクがあるという苦情を申し立てた(アイルランドはFacebookの欧州における運営拠点となっている)。
そのなかでSchrems氏は、同氏の個人データをEUから米国に送信することを差し止める、あるいは禁止するよう求めた。
しかしDPCは、欧州委員会(EC)が2000年に合意した「セーフハーバー協定」を根拠に、米国のデータ保護施策は「十分」と見なされると判断し、この申し立てを却下した。
このためSchrems氏はアイルランドの高等裁判所に提訴し、高等裁判所は欧州司法裁判所(ECJ)に付託した。そしてECJは2015年に、欧州のデータを米国のサーバーに送ることを認めた15年前のセーフハーバー協定が無効であると判断した。
この裁定により、アイルランド当局に対して「米国が個人データの十分な保護を実施していないという理由で欧州のFacebookユーザーのデータを米国に送信することを差し止めるべき」かどうかを判断する調査の実施が命じられた。
また、セーフハーバー協定が無効だと判断された結果、EU加盟国と非加盟国の間でのデータ移送の裏付けとなるべく「標準的契約条項」(SCC)やプライバシーシールドが策定されることになった。
Schrems氏はそれを受けて、Facebookのデータ移送に関するSCCの使用に異議を申し立てた。そして今回、一般データ保護規則(GDPR)を根拠に、プライバシーシールドは無効だという裁定がECJによって下された。
EUのGDPRは、今日のような大規模データ収集/格納とセキュリティ侵害の時代にはいささか時代遅れとなっていたデータ関連法を改革するために2018年に導入された。
GDPRの規定に従うと、データの管理者(ユーザーや顧客の情報を取り扱う組織)は適切なレベルの保護とセキュリティを提供するとともに、データの収集対象である個人から明確な同意を得ていなければならない。
