欧州委員会(EC)と米国は欧州時間3月25日、欧米間の新たなデータプライバシーフレームワーク「Trans-Atlantic Data Privacy Framework」(TADPF:大西洋間データプライバシーフレームワーク)について発表した。約1年半前に欧州司法裁判所(ECJ)が無効だと判断した「プライバシーシールド」に代わる、データ移転に関する新たな枠組みを実現する道筋が示されたことになる。
提供:Getty Images
プライバシーシールドは、大西洋を横断する個人データの移転に関する枠組みを定めるものだった。しかしECJは、米国の法律が欧州の基準を満たす十分なデータ保護策を提供していないという裁定を下し、この枠組みを無効だと判断した。その結果、どのようなデータの移転が許されるのかという点で法的な不確実性が課題として残っていた。
こうした不確実性があることから、欧州の規制当局はこの数カ月間で、「Google Analytics」などの製品を通じた個人データの移転を規制する複数の命令を発出している。
Meta(旧Facebook)は、欧州連合(EU)と米国による大西洋を横断するデータ移転の新たな枠組みについて、各国政府が合意に至らない場合、欧州からサービスを撤退する可能性もあるという「脅し」のような警告を発していた。同社は「脅しているわけではない」としてあらためて考えを明確に示したものの、新たな枠組みの確立を求める姿勢は崩していない。
ホワイトハウスのファクトシートによると、この新たなTADPFの下で米国政府は、EU市民の個人データの保護を強化するための改革を実現するという。例えば、EU市民は新たに設立される独立したData Protection Review Court(データ保護再審裁判所)に救済措置を求められるようになる可能性がある。この裁判所は必要に応じて救済請求を判断し、救済策を命令する上での「全権」を掌握することになる。
また米国政府は、シギント(SIGINT)による情報収集が国家安全保障上の合法的目的を追求するために必要な場合にのみ実施され、個人のプライバシーや市民の自由の保護に過度の影響が及ばないよう、TADPFによって保証する。
ECと米国政府は共同声明で、「この新たな枠組みは、米国のシギント活動に適用される、プライバシーと市民の自由に対する保護を強化するための改革を実現するという、米国側のかつてないコミットメントを示したものとなっている」としている。
詳細がまだ公にされていない内容もあるが、米国はこれらの改革を約束しており、米国と欧州の市民と企業は米欧間のこれまでのデータフローを継続できるようになりそうだ。Googleをはじめとする企業はこの動きを称賛している。
Googleのパブリックポリシー担当バイスプレジデントKaran Bhatia氏は、「できるだけ早期に、TADPFの下で当社のプロセスを保証することを待ち遠しく思っている。Googleにとって、これら(あるいは類似)の標準は、われわれのユーザーや顧客に提供する保護の上限ではなく、最低限度として基準を示すものとなる」と述べている。
プライバシーシールドの枠組みを無効にした裁判を起こしたプライバシー弁護士のMax Schrems氏は、まだ詳細が明らかにされていないものの、この新たな枠組みに懐疑的だ。
Schrems氏は、「ある観点で特にもう1つのプライバシーシールドに向かっていくように感じられる。法律や基本的権利より政治を優先するという観点だ」とコメントしている。「これは過去に2度失敗している。分かったのは、新しい『その場しのぎのパッチワーク』のようなアプローチであり、米国側で実質的な改革がないということだ」とし、同氏は今後の展開を待ちたいが、現時点で「再び失敗するだろうと私は考えている」と述べた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。