米欧間プライバシー・シールドの停止

欧州議会は2018年7月5日、欧州連合（EU）と米国の間における商業目的のための個人データの大陸間交換に関する合意（arrangement）である「プライバシー・シールド」（Privacy Shield）[1]をデータ保護の十分性の点から停止することについて、賛成303反対223棄権29で可決した。

欧州議会は、停止の理由として、欧州連合の法律と憲章が求めるデータ保護について十分な水準を米国側が提供しておらず、また裁判所がプライバシー・シールドに関する欧州委員会の実施決定[2]を無効にする可能性が大きいことを挙げた。この決議により、米国が2018年9月1日までに完全に遵守しなければ、停止は遵守されるまで継続される。

この動議[3]は2018年6月26日、英国のモアレス議員（労働党）から「市民の自由、法務、連合内問題委員会」（Committee on Civil Liberties, Justice and Home Affairs）で提出されていた。可決された決議では三つの側面から米国の十分性欠如を指摘した。

(ⅰ)制度面

大きなきっかけとなったのは、FacebookとCambridge Analyticaの問題である。プライバシー・シールドの署名社であるFacebookは、EU市民270万人のデータを政治コンサルタント会社Cambridge Analyticaが不適切に利用していることを確認した。これにより欧州議会は、苦情に基づくだけでなく、プライバシー・シールドの原則に企業のプライバシー･ポリシーが実際に従っていることをシステマティックにチェックするための積極的な監督と執行措置を求めた。

また米国国務省の設立したオンブズパーソンのメカニズムが十分な独立性を持たず、EU市民に弊害をもたらさないための十分に有効な権限が与えられていないと指摘して、改善を求めた。

(ⅱ)商業面

欧州議会は、米国の署名企業が実際にプライバシー・シールドの条文に従っているかどうかを有効にコントロールしていないとの印象から、米国商務省に対して、職権による遵守性審査を積極的に行うように求めた。署名企業による個人データの濫用が発覚した場合、プライバシー・シールドについて執行権限を持つ米国の機関は遅滞なく行動し、必要ならば、プライバシー・シールドのリストから削除するようにも求めた。また欧州のデータ保護機関もそうした濫用を調査し、適切な場合、プライバシー・シールドのもとでのデータ移転を停止あるいは禁止しなければならないとした。

さらに欧州議会は以下についての懸念も取り上げた。

法的効果を持つ決定あるいは個人に大きな影響を及ぼす自動化された取扱い/プロファイリングに基づいた決定について、プライバシー・シールドは特定ルールと保証を欠いていること
プライバシー・シールドの原則は同意ベースのデータ取扱いとするEUモデルに従っておらず、きわめて特別な状況でしかオプトアウト/反論権を認めていないという事実
2017年3月、連邦通信委員会（FCC）が提出したブロードバンド及びその他の電気通信サービスにおける顧客プライバシーの保護に関するルールを米国議会が否決したこと。そのことは、インターネット・サービス提供者（ISP）に対して、ブラウザー・データ及びその他の個人情報を広告会社や他の企業に販売ないし共有する前に、消費者から明白な同意を得るように求めたはずのプライバシー・ルールを、実質的に打ち消すものとなっている。

(ⅲ)法律の執行面とナショナル・セキュリティ面

プライバシー・シールドに必要で適切なものが何かについての厳密なテストを保証し、データ保護違反を裁判所が有効に審査できるようにするには、プライバシー・シールドの文言が特定化すべきであるとし、プライバシー・シールドのメカニズムにおいてナショナル･セキュリティを明確に定義するように求めた。このほか、欧州議会は米国のいくつかの法律についても要求と懸念を示している。

クラウド法（Cloud Act）：欧州議会は米国の「データの海外における合法的使用の明確化」法（Clarifying Lawful Overseas Use of Data Act）、いわゆるクラウド法（2018年3月成立）について強い懸念を表明した。この法律は、国境を越えて個人データをターゲットとしまたそれにアクセスできるように国内及び国外での法執行を定めたものである。欧州議会は、この法律が行き過ぎであり、EUのデータ保護法と矛盾する可能性があることから、EUにとって深刻な意味をもつと考えている。
大統領令第12333号（Executive Order 12333）：この法律は米国の国家安全保障局（National Security Agency）が正当な理由、裁判所の命令あるいは議会の承認なしに、FBI、麻薬取締局、国土安全保障省など他の16機関と収集した大量の個人データを共有できるようにしている。欧州議会は、この大統領令に基づき行われた監視活動の法的なレビューがないことを指摘している。
外国情報監視法（Foreign Intelligence Surveillance Act：FISA）第702条：欧州議会は、第702条のもとで行われたデータ収集がEU憲章に反して無差別的ではなくまた一般的ベースで行われたものでないことの証拠と法的に拘束力のある公約を要求した。
大統領令第13768号（Executive Order 13768）：欧州議会は、この大統領令はEU市民にこれまで認めてきたデータ保護の保証に逆行し、オバマ政権時代にEUに対して行った公約を覆す米当局の意図を示したものであると考えている。

決議は、最後に、十分性が米国企業にとって抜け道となりあるいは競争上の優位性に繋がらないようにするため、プライバシー・シールドが一般データ保護規則（（EU）2016/679）及びEU憲章に従うように保証する措置の全てを欧州委員会に対して求めた。

今回の欧州議会決議は、議会の側から突然に出てきたものではない。欧州委員会は2017年10月、「欧米プライバシー・シールドの機能に関する第一回レビュー報告」_[4]を欧州議会と欧州理事会に対して提出した。今回の決議内容は、FacebookとCambridge Analyticaの問題を切っ掛けとするものの、そのときの報告内容を土台としている。

（2018年8月23日了）

[1] 独語ではEU-US-Datenschutzschild　仏語ではle bouclier de protection des données UE-États-Unisで「欧米間におけるデータ保護の防壁」という名称である。欧州委員会は2016年7月12日にプライバシー・シールドを採択。

[2] Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield

[3] MOTION FOR A RESOLUTION to wind up the debate on the statement by the Commission pursuant to Rule 123(2) of the Rules of Procedure on the adequacy of the protection afforded by the EU-US Privacy Shield (2018/2645(RSP))

[4] REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the first annual review of the functioning of the EU–U.S. Privacy Shield, COM(2017) 611 final