米国はプライバシー保護不適切につき、米国への個人データの移転協定は無効――欧州連合（ＥＵ）司法裁判所が６日に下した判決で、ネットが騒然となっている。

By Cédric Puisney (CC BY 2.0)

問題視されたのはいわゆるスノーデン事件で明らかになった米ＮＳＡ（国家安全保障局）によるネット監視。ドイツのメルケル首相の携帯盗聴まで取り沙汰されたこの事件の余波で、これまで欧米間の個人データ移転を保障していた枠組み「セーフハーバー協定」を、無効と断じたのだ。

この協定が無効になると、例えばＥＵを含めてグローバルにサービスを展開しているフェイスブック、グーグルなどのシリコンバレー企業は、ＥＵ域内ユーザーのデータを、米国にこれまでのようには持ち出せなくなる。

それだけでなく、米国でもサービス展開するＥＵ企業にも影響するため、ＥＵ内からも懸念の声が出るなど、動揺が広がっている。

●欧米のプライバシー保護の基盤

「セーフハーバー協定」とは、ＥＵと米国との間で２０００年に締結された個人データの移転に関する特別協定だ。

ＥＵのプライバシー保護法制は官民通した包括的な建て付けで、オムニバス方式（統合方式）と呼ばれている。一方、米国には、基本法のような包括的な保護法制はなく、特定分野のみの対応のため、セクトラル方式（個別分野別方式）と呼ばれている。ちなみに日本は、ＥＵとも米国とも違い、個人情報保護法（基本法＋民間規制）と行政機関個人情報保護法が分かれた、官民分離のセグメント方式（分離方式）だ。

ＥＵは１９９５年に制定した「（個人）データ保護指令」によって、十分な保護措置が取られている（十分性）と認められていない第三国には個人データを移転できない、と定めている。

この十分性の認定基準のレベルは高く、２００３年制定の「個人情報保護法」を持つ日本は、これまでＥＵとの個人データ流通が認められてこなかった。

今年９月に成立した改正個人情報保護法は、この「ＥＵ十分性」のクリアも大きな狙いの一つでもあった。

ところが米国の場合、プライバシー保護に関する一般法はなく、自主規制がベースになる。

それでも、米商務省が承認した米国企業に対してはプライバシー保護が担保されていると見なすという、アクロバティックな「セーフハーバー協定」によって、ＥＵは米国への個人データ移転を認めてきたのだ。

「セーフハーバー協定」は、ＥＵと米国のプライバシー保護を介した外交戦略「プライバシー外交」（堀部政男・一橋大名誉教授）を象徴する、特例的な取り決めだった。

●プライバシー活動家の訴え

そこに２０１３年、米ＮＳＡがインターネットを通じ、ネット企業などが保有する個人データを含む膨大な監視活動を行っていたことを暴露する、スノーデン事件が発覚する。

これを受けて、オーストリアのプライバシー保護活動家でフェイスブックのユーザーであるマクシミリアン・シュレムスさんが２０１４年、フェイスブックを相手取り、自身のプライバシー情報が米当局の監視から保護されるべきだとして、同社の欧州本社があるアイルランドのデータ保護当局に訴えた。

アイルランドの保護当局は訴えを退けた。

だが、シュレムスさんはさらにアイルランドの最高裁に対し、「セーフハーバー協定」はもはやＥＵの個人データ保護基準を満たしていないとして、フェイスブックによる個人データの米国への移転を中止するよう求めた。

この訴えも退けられたのだが、ＥＵ加盟国全体に影響のある「セーフハーバー協定」の扱いについては、ＥＵ司法裁判所に判断が委ねられることになった。

●「セーフハーバー協定」は無効

ＥＵ司法裁判所は６日、「セーフハーバー協定」は無効だとし、アイルランド当局に実際の情報の移転中止については、米国の個人データ保護の実態を調査の上、判断するよう求めた

判決はこう述べている。

米国の国家安全保障、公益、法執行機関の要求が、セーフハーバーの枠組みより優先されており、セーフハーバーとの間で衝突が起きる場合には、米国側の要求は、個人データ保護の枠組みを無制限に無視する状態になっている。

まさに、ＮＳＡによる情報監視が、ＥＵの個人データ保護指令とは相いれないものである、と認定しているわけだ。

この判決を受け、シュレムスさんはフィナンシャル・タイムズの取材に、こうコメントしている。

オンラインプライバシーにとっての画期的な判決だ。（中略）米国のビジネス界は、欧州人の基本的人権を侵害するような米政府のスパイ行為に、安易に加担できない、ということを判決が明らかにしたわけだ。

そのきっかけとなった当のエドワード・スノーデンさん本人も、ツイッターで「おめでとう、マックス・シュレムス。君は世界はいい方に変えたよ」と祝意を述べた。