ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

米国とEUの個人データ移転に関する基本合意についてシュレムズ氏の反応

2022/03/25、バイデン米大統領とフォンデライエン欧州委員長がブリュッセルで米EU間の個人データ移転ルールで基本合意したとのこと。

www.nikkei.com

そもそも米国のSafe Harbor、Privacy Shieldにもとづいて許可されていた欧州から米国への個人データ移転が無効になったのは、個人データ保護に関するNGO「noyb」を主宰するシュレムズ氏の訴えによる欧州司法裁判所の判断だった。

news.mynavi.jp

そのシュレムズ氏が「Privacy Shield 2.0?」と題して、今回の基本合意にさっそく反応しているので要約してみる。

このタイトルは「Privacy Shieldの単なる焼き直しなのでは?」という意味だろう。

noyb.eu

まずシュレムズ氏の現状認識は以下のとおり。

  • 単なる政治的声明であり、分析できる文書になるまで数か月かかるだろう。
  • おそらく「原則上の合意」であり、Privacy Shieldに関するこの2年間の議論を完全に解決するものではない。
  • noybの知るかぎり米国は個人データ監視に関する法律を変える計画はない。Safe HarborとPrivacy Shieldの両方を無効とした欧州司法裁判所の判断が今回くつがえるかは不透明だ。
  • 個人データの商業利用を原則とするPrivacy Shieldは更新されていない(訳注:今回の基本合意はあくまで政治的なものだということ)。
  • 今回の合意はまず法的に有効な文書にもとづいてEDPBがレビューする必要がある。実際の個人データ移転の十分性認定はそこからさらに数か月かかるだろう。
  • 各企業は正式に承認されるまであと数か月待つ必要がある。
  • EDPBが十分性認定をした場合、すぐに欧州司法裁判所の判断を待つ必要がある。
  • しっかり文書化されていない政治的な声明であるため、当面は法的に不確実な状況が生じそうだ。

この現状認識をふまえたシュレムズ氏の声明は以下のとおり。

私たちはすでに2015年に法的根拠のない純粋に政治的な合意をしています。今回の声明を聞くかぎりでは、また同じことを三度くり返すかもしれません(訳注:Safe Harbor、Privacy Shieldの無効化につづく三度目の意味)。

今回はフォンデアライエンが望んだ象徴的な合意ですが、ブリュッセルの専門家は支持していません。米国側の動きがないからです。

米国はウクライナでの戦争を利用して、EUとの経済的な問題を推し進めようとしていますが、これにはあきれるばかりです。

最終的な文書化にはもう少し時間がかかるでしょう。文書がとどけば米国法の専門家とじっくり分析するつもりです。もしEU法に沿っていなければ、私たちか別のグループが訴訟を起こすでしょう。最後には欧州司法裁判所が三度目の判決を出すことになります。数か月以内に裁判所で最終判断がされると期待しています。

残念なのは、EUと米国がこの状況を活かして、同じ民主主義をかかげる者としての基礎的な保障の上に「反諜報」合意に至ろうとしないことです。顧客や企業は向こう数年間、法的な不確実性に直面することになります。

以上のように、シュレムズ氏は今回の政治的な合意声明について、当然ながら懐疑的なようだ。