2016年2月3日掲載 法制度 InfoCom Law Report

プライバシー・シールド~欧米間の新たな個人情報移転フレームワーク~



1.はじめに

 2016年2月2日、欧州委員会は米国への個人情報移転に関する新たなフレームワークであるEU-USプライバシー・シールドについて米国と合意したと公表した。

 2015年10月に欧州司法裁判所が従来までの米欧間の個人情報移転のフレームワークであったセーフハーバー協定は、個人情報保護が十分に保証されていないとして無効判決を下したことを踏まえ、以降欧米間で新たなフレームワークの調整が進められていた。本点については「欧州司法裁判所によるセーフハーバー協定無効判決について」においてまとめたとおりである。今回合意されたプライバシー・シールドはこの無効判決を踏まえた新たなフレームワークとして位置づけられる。

 現時点ではまだ本フレームワークの詳細は明らかになっていないが、欧州委員会のプレスリリースに基づいて、主な内容を以下まとめる。

2.プライバシー・シールドの主な内容

 今回合意された「プライバシー・シールド」は、主に以下の内容が規定されている(※1)。

  • 米国企業に対し、EU市民の個人情報を保護するためにより強力な責任を求める。
  • 米商務省や連邦取引委員会(FTC)に対して、より強力な監視・執行権限を与える。
  • 米国政府は、米国法に基づき公的機関が新たなフレームワークに基づき移転された個人情報にアクセスする場合には、明確な条件や制限、監視の基で行い、汎用的なアクセスを禁止することを約束する。また、米国政府は、新たなフレームワークに基づき米国に移転された個人情報に対する無差別な大規模監視を不可能にしている。
  • 欧州委員会と商務省による年次共同レビューを設け、EUおよび米国双方から諜報分野の専門家を交えて、国家安全保障上の個人情報へのアクセス状況について検証を行う。
  • 新たなフレームワークに基づいて個人データが誤って利用されたと考えた欧州市民に対して救済手段を設ける。企業は苦情に対して返答期限を設ける。また、EU各国のデータ保護機関は商務省やFTCに対して苦情について照会することができる。さらに、裁判外紛争解決手続き(ADR)は無料とする。また、国家諜報機関によるアクセスの可能性に対する苦情については、新たな「行政監察官(Ombudsperson)」が設置される。

3.今後の見通しと主な論点

今後のスケジュール

 従来のセーフハーバー協定は無効状態となっており、米企業は本協定に基づくEUから米国への個人情報移転は今後もできず、新たなプライバシー・シールドのもとで対応することが求められる。欧州委員会は今後第29条作業部会からの助言や、加盟国の代表からなる委員会での審議を踏まえて「十分性認定(adequacy decision)」のドラフトを作成することとなっている。

 この新たなプライバシー・シールドが発効するまでに3ヶ月間の準備期間が設けられることとなっており、EUおよび米国はそれまでの間に本フレームワークに基づく制度を構築することが求められる。

欧州の論点

 今回合意されたプライバシー・シールドが、2015年10月の欧州司法裁判所のセーフハーバー協定無効判決時に示された論点を全てクリアしたものであるかについては未だ疑問が提示されている。欧州議会市民自由委員会の副議長でもあるJan Philipp Albrecht議員は、今回の合意について疑問を提起しており、「もし裁判所が本決定も違法であるという決定をした場合、再び崩壊してしまう。現時点ではこれは非常に起こりうることであり、そうなれば委員会は大きな被害を受ける」というコメントをしている(※2)。また、同記事において、10月に欧州司法裁判所判決が下された事案の原告でもあるMax Schrems氏も「裁判所で本フレームワークが支持されるとは思わない。委員会は完全に裁判所の判決を無視し、時間稼ぎをしている。昨日示されたものは滑稽だ」といったコメントもなされており、将来的には再び欧州司法裁判所等でプライバシー・シールドの適法性が判断される可能性も予見されている。

 欧州委員会はこのような指摘も踏まえ、EU市民による苦情申立や救済メカニズム等を適切かつ効果的に機能させるために、今後具体的なガイドライン等の作成が求められる。

米国の論点

 新たなスキームにおいては商務省およびFTCによる監督強化のもとで、米国企業は個人適切な個人情報移転及び個人情報の管理が求められる。現状商務省からセーフハーバーに基づく認証を受けている企業は、新たなスキーム後も認証企業として引き継がれるのかどうかについては現時点で示されていないが、仮に新たに商務省あるいはFTCがプライバシー・シールドに基づく認証を行うとなる場合、米国企業には新たな負担をもたらす可能性がある。

 特に現状のセーフハーバー協定に基づく場合は、米国企業による自主規制及び自己認証に基づく仕組みであり、米国企業に求められるのは米国のプライバシー原則でもある公正情報実務諸原則(Fair Information Practice Principles: FIPPs)がベースとなっている。しかしながら、プライバシー・シールドが求める仕組みは、欧州人権条約に基づく人権の維持に基づくプライバシー対策である。したがって、プライバシー・シールドの下で個人情報移転を行う場合に、米国企業にもEUのプライバシー原則を遵守することが義務付けられる場合には、米国企業はEUのデータ保護法制を踏まえたプライバシー対策が求められることとなる。この場合、米工企業は既存のプライバシー原則についても変更が求められ、大きな負担が生じることも懸念される。この点について商務省やFTCが認証にあたってどのような基準を米企業に対して求めるのかについて注目したい。

4.まとめ

 2015年10月の欧州司法裁判所以降停滞していた個人情報移転の議論について、今回新たなフレームワークが提示されたことで、再び活発化することとなる。しかしながら、具体的な運用方法等についてはこれからの状況でもあり、今後の3ヶ月の準備期間の中でEU、米国共に国内整備に向けた動きも進められることとなる。現時点ではまだ大枠合意されたこと、およびその概要が公開されているにすぎないが、最終的にEU市民の個人情報が適切に移転・管理するためのスキームや米国企業に求められる新たな対応な何かといった点に着目し、議論動向について注視する必要がある。

(1)European Commission, “EU Commission and United States agree on new framework for transatlantic data flows: EU-US Privacy Shield,” (2016/2/2) http://europa.eu/rapid/press-release_IP-16-216_en.htm

(2)Politico, “Safe harbor deal divides opinion,” (2016/2/2) http://www.politico.eu/article/political-handshake-on-safe-harbor-deal/

会員限定レポートの閲覧や、InfoComニューズレターの最新のレポート等を受け取れます。

ICR|株式会社情報通信総合研究所 情報通信総合研究所は情報通信のシンクタンクです。
ページの先頭へ戻る
FOLLOW US
FacebookTwitterRSS