欧州連合(EU)の最高裁判所に相当する欧州司法裁判所(CJEU)は10月に入り、一部の大規模な監視活動が違法との判断を下した。これにより、英国のEU脱退後に英国とEU間の自由なデータの流れが阻害される可能性も出てきた。
CJEUの新たな判決は、大規模監視に歯止めを掛けるという動きの中、EU加盟国内での政府によるモバイルデータやインターネットデータの収集に制限を課すものであり、ブレグジット(英国のEU離脱)を控える英国にとって厄介な問題となる可能性が高い。
CJEUは判決の一環として、インターネット事業者や通信キャリアから市民のデータを大規模に収集、保持することは欧州連合基本権憲章に違反するとの判断を下した。
また、これまでに複数の加盟国が、自国の法令よりもEU法が優位とされるという点に異議を申し立ててきているものの、CJEUは今回の判断の中で、同憲章に定められた権利を侵害する国の法令は実質的に排除されるとの考えを示した。
CJEUは、国家の安全保障に対する「深刻な脅威」がある場合に限り、政府による市民の個人的な通信内容の入手が可能になると述べた。またCJEUは、こうしたケースが既定の解決手段ではなく、例外的手段だとした上で、この種の手段を規制するために必要となる、期限などの具体的な条件や制約を示した。
英国では、市民のデータの大規模な収集/保持は、2016年に成立した調査権限法(Investigatory Powers Act:IPA)の下で現時点では合法となっている。Snoopers' Charter(のぞき見の免許証)としても知られる、議論を呼ぶ同法の制定によって、英国の諜報機関や警察は電子的監視を実施する権限を手にした。
IPAは実質的に、通信データを大規模に盗聴、あるいは収集する権限を英国の政府機関に与えている。例を挙げると、クラウドサービスプロバイダー(CSP)はIPAによって、顧客のオンラインアクティビティーの詳細を12カ月間にわたって保持するとともに、その情報を諜報サービス機関の求めに応じて提供するよう義務付けられている。
ブレグジットをめぐる交渉が依然として続けられている中、英国のEU離脱後も両者の間でデジタル情報を自由に流通できるよう保証する上で、EUが英国のデータ保護慣習に対する信頼を維持し続けられるようにすることが重要となる。CJEUの今回の判断は、英国の法律がEUの基準を満足していると認めず、こうした展開に冷や水を浴びせかけるようなものだと捉えられる。
CJEUの判決は、英国だけではなく、フランスとベルギーのプライバシー組織とアクティビストらが提訴した結果であり、いずれの提訴もそれぞれの国の政府による監視活動に関係している。
