EU・米国間の新たな個人情報移転枠組みスタート

© European Union, 1995-2016

欧州の個人データを米国に移転することを認める新たな枠組み「プライバシーシールド」が2016年8月1日からスタートした。2015年10月に欧州連合(EU)司法裁判所が無効とした二者間協定「セーフハーバー」に代わるもので、EU市民の個人情報をEUの個人情報保護ルールに則った形で合法的に米国に移転するための規定だ。新協定が正式合意に至った経緯、旧協定との違いなどについて報告する。

個人情報保護で先を行くEU

個人情報保護は市民の基本的権利であり、EUでは1995年に「個人情報保護指令」(95/56EC)を採択、本年4月には同指令に取って代わる「個人情報保護規則」を採択し、この問題に取り組んできている。また、2009年に発効したリスボン条約(改正EU条約およびEUの機能に関する条約)により、欧州基本権憲章が拘束力を持つようになり、個人情報の保護は同憲章の第8条に盛り込まれている。また「EUの機能に関する条約」の第16条第1項で「個人情報の保護に対する権利」が保護されている。さらに、現在ジャン=クロード・ユンカー欧州委員会委員長の下で取り組んでいる「デジタル単一市場の構築」においても、個人情報保護の強化が進められている。

一方、今日のような国際的にデジタル化が進んだ世の中では、個人情報のやり取りは避けては通れず、オンラインショッピング、ソーシャルメディアやクラウドサービスの利用などには、氏名、電話番号、生年月日、住所、Eメールアドレスからクレジットカードや配偶者の有無に至るまで、個人を特定するためのあらゆる情報が集められ、使用される。

個人情報保護指令では、EU域外への個人情報データの移転は、基本的には、欧州委員会がデータの移転先国が法整備などに基づいて十分な個人情報保護措置を講じていると「十分性認定(adequacy decision)」をした場合にのみ認められている。現在までアンドラ、アルゼンチン、カナダ、フェロー諸島、ガンジー島、イスラエル、マン島、ジャージー島、ニュージーランド、スイス、ウルグアイの11カ国・地域がこの十分性認定を受けている。これらの国・地域では、例えば、第三国企業のEU域内の子会社やビジネスパートナーは、EU内で個人情報を集めて本社に移転することが可能である。

無効になったEU・米国間の「セーフハーバー」協定

ところが、米国との間には、連邦法や州法が絡み合うなど同国の独特な事情により、「十分性認定」が存在しない。しかし、そのままでは経済活動に支障が出るため、2000年7月、従来の十分性認定とは異なるが、同等の保護を得るための枠組み「セーフハーバー」に合意、米国商務省が認証した企業にのみ個人情報の移転を認めてきた。しかし2013年、元米国中央情報局(CIA)職員のエドワード・スノーデン氏が、米国家安全保障局(NSA)が米国内のIT企業が所有する個人情報を監視・収集していた事実を明らかにした、いわゆる「スノーデン事件」が発覚した。同事件を受けて、オーストリア人男性が自らの Facebook上の個人情報が米国に移転されたとして行った申し立てをきっかけに、セーフハーバー協定の有効性、つまり「十分性認定」の検証が可能かどうか、の判断がEU司法裁判所に求められることとなった。2015年10月、同裁判所はセーフハーバー協定自体が無効であるとの判決を下した。

判決文では、EU個人情報保護指令に基づき、個人情報の保護が十分になされていると認められる場合に限ってデータ移転が可能であり、今回のような申し立てがあった場合は、EU加盟各国当局が十分な保護措置が取られているかどうかを調査する必要があるとも述べている。この判決を受け、EUと米国は規制内容を大幅に強化する枠組みの策定に動き、2016年7月12日に新たに「プライバシーシールド」が欧州委員会によって採択され、同枠組みは翌8月1日から本格稼動することとなった。

新枠組みで強化された個人情報の保護、救済措置、米国側の情報管理

「プライバシーシールド」はEUから米国にある企業への個人情報の移転を、当該企業が個人情報の利用・保存・さらなる移転に関する強力な個人情報保護ルールと保護条項に則っていることを条件に認めるものである。なお、EUから米国への個人情報の移転を認める措置には、プライバシーシールドのほか、契約条項(Contractual Clauses)や拘束的企業準則(Binding Corporate Rules)というものがある。プライバシーシールドを用いる米国企業はまず、米国商務省に登録し、プライバシー原則(Privacy Principles)にある義務を遵守しなければならない(プライバシーシールドを適用している企業とその業務の一覧は文末のリンク先で閲覧可能)。

プライバシーシールドでは、セーフハーバーと比べ、大きく以下の3点が新たに強化された。1点目は、米国企業が取り扱う個人情報の保護に対してより一層の義務付けを図ったこと、2点目は米国の公的機関によるアクセスに対して明確な制限と保護規定を設けた点、そして3点目がEU市民の権利を効果的に守るための仕組みを定めた点だ。

プライバシーシールドは、米国企業により重い責任を課すなどし、EU 市民の個人情報保護をより強化するものになっている  © European Union, 1995-2016

まず、米国企業に対しては法令遵守がなされているかを米国商務省が定期的に検証する。企業が取得した個人情報については、本来のデータ取得目的のためのみに保持しうるというルールがより厳密に適用される。国家安全保障目的の米国の公的機関の活動に関しては、無差別かつ大規模な個人情報データの監視を禁止。欧州市民からの申し立てを扱う独立したオンブズマン制度の創設や、収集された大規模データが特定の目的のみに使用されていることを書面によって明示する取り決めも含まれた。また、プライバシーシールドが正しく機能しているかどうかをEUと米国の当局が共同で検証し、年次報告を作成する予定になっている。

プライバシーシールドは「欧州市民の基本的な権利を守る」

万が一プライバシーシールドが遵守されていない場合に備え、EU市民なら誰でも異議を申し立てることができる仕組みも整っている。企業に直接申し立てする方法以外にも、EUのデータ保護機関(EU Data Protection Authorities: DPA)が窓口となって、米国の商務省や連邦取引委員会(Federal Trade Commission: FTC)に申し立てを取り次ぐことも可能だ。この場合の調査や問題解決などについては、対応すべき期限も定めてある。このような方法で解決しない場合は、最終手段として調停サービスを利用できる制度もある。

プライバシーシールドのスタートに際し、欧州委員会のヴェラ・ヨウロヴァ法務・消費者・男女平等担当委員は「プライバシーシールドは、欧州市民の基本的な権利を守るとともに、米国への個人情報の移転を行う企業にとっても業務に法的な確実性をもたらすものだ」とコメント。プライバシーシールドによって個人情報の米国への移転に対する欧州市民の信頼は回復する、とも述べた。

プライバシーシールドへの正式合意にあたり会見する欧州委員会のヨウロヴァ法務・消費者・男女平等担当委員(右)とプリッツカー米国商務長官 (2016年7月12日、ブリュッセル)  © European Union, 1995-2016

大統領指令で個人情報の管理強化に取り組む米国

スノーデン事件を受け、バラク・オバマ米国大統領は2014年1月に大統領政策指令28号 (Presidential Policy Directive 28=PPD-28)を発令し、諜報活動に一部制限をかける決定を下している。この指令では諜報活動におけるデータ収集を特定対象に限るとともに、収集したデータの利用をテロや大量破壊兵器といった国防に関わる6つの目的のみとしている。このプライバシー保護の対象には米国民以外も含まれている。2015年からは米国政府による大規模データ収集を制限し、個人情報へのアクセス依頼の件数を企業が公開することを盛り込んだ法令を制定している。欧州委員会ではPPD-28の履行状況などについて、引き続きその動向を注視していく考えだ。

米国商務省では8月1日よりプライバシーシールドの枠組みに参加する米国企業の受付が始まった。参加希望企業は枠組みの要件に準拠していることを自己認証によって示し、同省による承認を得なければならない。承認を得た企業の一覧はプライバシーシールドの公式サイトから確認することが可能で、すでにマイクロソフトやグーグルといった多くの企業がリストに名を連ねている。プライバシーシールドへの登録は1年ごとに更新手続きを行う必要があり、公式サイトでは参加企業が現時点で承認状態かどうかを常に確認できるようになっている。

2018年から一層の個人情報保護強化に乗り出すEU

プライバシーシールドはEU・米国間の協定だが、EU域内では、本年4月に、個人情報保護指令に取って代わる個人情報保護規則((EU) 2016/679)(EU法では、規則は加盟国を法的に拘束するもので、「指令」よりも強い効力を有す)が採択され、同5月に発効した(適用は2018年5月25日から)。新たな規則では個人情報のEU域外への持ち出しがさらに厳しく規制され、違反企業に対する制裁金に関する取り決めや、「忘れられる権利」※1の導入など、個人情報保護のさらなる強化が図られている。

関連情報

プライバシーシールドを適用している在米企業の一覧は、こちらの米国商務省のサイト内、「Privacy Shield List」をご覧ください。

※1^ 2014年5月、EU司法裁判所は、プライバシー保護の観点からグーグルなどの検索企業は、一定の条件下でリンクを削除する義務がある、という「忘れられる権利」を認める判決を出した。詳細は、「『忘れられる権利』の判決について知りたい」(2014年7月 質問コーナー)