米国EU間データプライバシー・フレームワークに欧州議会が反対

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2023年5月18日
• タイトル：米国EU間データプライバシー・フレームワークに欧州議会が反対
• メインスピーカー：データサイン 代表取締役社長 太田祐一
• MC：ビジネスディベロッパー 宮崎洋史

欧州議会が米大統領令に反対決議

2022年10月13日配信のランチタイムトークで取り上げた、米国とEU間のデータプライバシーフレームワークの施行に関する大統領令（Executive Order）ですが、その内容が不十分であるとして欧州議会が不満を表明しています。

欧州議会は2023年5月11日、EUと米国間のデータプライバシーフレームワークで示される、EU市民のプライバシーに関する保護の十分性に関する決議を発表しました。

2022年10月7日に出された米国の大統領令のねらいは、米国の諜報活動におけるセーフガード（市民の保護に向けた措置）の拡充です。しかし、米国の諜報機関によるシギント（SIGINT、通信や信号の傍受に基づく諜報活動）は（米国市民ではない）EU市民の基本的な権利を侵害しているのではないか、という懸念や批判がその背景にあります。

EU市民の権利を保護する仕組みに不満の声

米国の大統領令では、前述のセーフガードを機能させるために、多層の救済メカニズムを打ち出しています。第1 層は、アメリカ合衆国国家情報長官室に設置したCLPO（Civil Liberties Protection Officer）が苦情の初期調査を実施し、適切な対応を決定するというものです。第2 層は、個人または諜報機関などからの申請に応じて、CLPOの決定に対し、独立した拘束力のある審査を提供する、データ保護審査裁判所（DPRC) を設立する権限を司法長官に与える、というものです。

「しかし、このメカニズムが実際に機能するのか、本当に実効性はあるのか、という疑念の声が欧州議会では上がっています。決議では、米国とEU間のデータフレームワークの確立を推進する欧州委員会（※）に対して、この点を明らかにすることを要求しています」（データサイン 代表取締役社長 太田祐一）

※ 欧州議会と欧州委員会は別の組織です

というのも2000年以降、米国とEU間でのデータ移転に関するさまざまな協定が結ばれては、欧州司法裁判所による無効の判断が下されるなど、反故にされる状況が繰り返されてきました。

「無効になるような協定を結んできた欧州委員会の仕事ぶりはどうなのか。欧州議会からは、欧州委員会に責任を問う声も出ているようです」（太田）

EU全体で足並みは揃えられるの？

今回の決議により欧州議会は欧州委員会に、EUと米国間のプライバシーフレームワークに関する内容が不十分である、EU市民の立場になって実効性ある仕組みかどうか確かめよ、と注文をつけました。ただ、あくまで決議であり法的な強制力はありません。とはいえ市民の声を無視して話を進めれば、またしても協定がひっくり返る可能性もあります。

「結局のところ、EU全体として米国大手プラットフォーマーのツール、たとえばGoogleアナリティクスが使えるのかどうか、といった実務上の論点は棚上げされたままの状況です。企業はEU加盟国それぞれに応じた異なる対応が求められます。欧州委員会としては、そろそろ円滑なデータ移転の実施に向けた次の段階にコマを進めたいところかもしれません」（太田）

EUと米国間での7.1兆ドルに及ぶとされる経済取引の実現に欠かせない大西洋を超えるデータフロー。妥協点を探る内外の議論は続いています。