米国最高裁の判断で揺らぐEU-米国データ移転
(noyb.eu)- EU-米国間の個人データ移転は、米国の独立した監督機関を前提に維持されてきたが、米国最高裁のTrump v. Slaughter判決により、FTCの独立性という前提が揺らいだ
- EU条約法は、個人データ保護の監督を独立機関が担うことを求めており、2023年のEU-US Data Privacy FrameworkもFTCを中核的根拠としていた
- Safe HarbourとPrivacy ShieldはすでにSchrems I・IIで無効化されており、noybは2023年の新たな枠組みも同じ脆弱性を繰り返していると見ている
- 直ちにすべてのデータ移転が停止されるわけではなく、European Commissionが撤回するか、CJEUが無効化するまでは、現在の決定は形式上有効である
- SCCs・BCRsを使う企業も、米国の救済・監督機関の独立性に依存した影響評価を見直す必要がある可能性があり、noybはEU-米国データ合意の撤回を求めている
FTCの独立性低下が揺るがすEU-米国移転体制
- 米国最高裁はTrump v. Slaughterにおいて、FTCがもはや独立的ではない可能性があるとの判断を示した
- EUは2000年以降、EU-米国間の個人データ移転合意の執行根拠として独立したFTCに依存してきた
- EU条約法上、個人データ保護の監督は独立機関が担わなければならない
- 根拠はArticle 16(2) TFEUとArticle 8(3) of the Charter of Fundamental Rights
- 第三国がEUから自由な個人データ移転を受けるには、本質的に同等の保護を提供しなければならない
- 2023年のEU-US Data Privacy Frameworkにおいて、European CommissionはFTCを259回根拠として挙げていた
- noybとMax Schremsは、米国にもはや独立した監督機関が存在しないことを理由に、European Commissionが米国に対する十分性認定を秩序立てて撤回すべきだと求めている
繰り返されてきた無効化と2023年の新合意の脆弱性
- EUは1995年以降、EUの個人データ規則の迂回を防ぐため、第三国への個人データ輸出を原則として禁止してきた
- ホテル予約や複雑な取引のように必要な移転には例外がある
- 多くのEU企業は、個人データ処理を米国のクラウド事業者にアウトソーシングしてきた
- European Commissionは2000年以降、米国を個人データ保護において「十分」な国として繰り返し認定し、EU-米国間の自由なデータ流通を認めてきた
- CJEUはSchrems IでSafe Harbourを無効化した
- CJEUはSchrems IIでPrivacy Shieldを無効化した
- 主な理由は、米国の監視法制と、米国内での司法的救済手段の不足だった
- CJEUは、政府監視の事案においても独立した法的救済メカニズムが必要だと見ていた
- Biden政権はData Protection Review Courtを設置した
- この機関は名称に反して、米国司法省内部の執行機関である
- その独立性はBidenのExecutive Orderに依存しており、Trumpがいつでも変更でき、大統領を拘束しない
- Slaughter判決は、従来の判例から180度転換し、FTCの独立性は違憲だと判断した事例として扱われている
- これは、米国大統領がすべての米国執行機関を統制すべきだとするunitary executive theoryに従うものだ
- 複数の機関を独立化する米国法を違憲とみなす構造である
現時点での効力と、企業が見直すべきポイント
- 影響は無制限ではない
- European Commissionの決定は、Commissionが撤回するかCJEUが無効化するまで形式上有効である
- したがって、直ちに法的効果が生じるわけではない
- GDPRは個人データ移転のみを規律しており、非個人データは自由に流通できる
- Article 49 GDPRは必要な第三国移転を認めているが、厳密に必要ではないEU域外への構造的オフショアリングは認めていない
- SCCsとBCRsも影響を受ける可能性がある
- 一部企業はEU-US Frameworkの代わりに、形式上SCCsやBCRsを使用している
- この場合でも通常は影響評価が必要であり、その評価はPCLOBやData Protection Review Courtのような米国執行機関の独立性に依存している
- formal Commission Decisionに依存しない管理者は、評価を直ちに更新すべきである
- noybはEuropean Commissionに対し、EU-米国データ合意を秩序立てて撤回するよう公式書簡を送付した
- 複数のEU加盟国はすでに「digital sovereignty」アプローチへ移行し、米国サービス事業者との分離を表明している
- 一部の米国サービス事業者も、EU向けに分離されたデータ処理を進めている
- noybは今後数週間以内に、CJEUが現行合意を無効化できるよう訴訟を提起する予定である
- この種の訴訟は、最終判断まで通常2〜3年かかる
1件のコメント
Lobste.rsの意見
これは良いことだ。EUと、その前例に続く世界の他の国々は、自国の権威が最上位だと主張し、もはや他国や他政府を対等に扱わないならず者国家にこれほど依存するべきではない
この米連邦最高裁の判決には腹が立つが、この要約は少し大げさだ。いわゆる「独立」機関は、そもそも特別に独立していたことなどなかったからだ
おそらく筆者は、よく使われる表現に惑わされて、その性格を最初から誤解していたのではないかと思う。_Slaughter_以後の米国FTCについて実務上提起できる反論で、_Slaughter_以前には同じように当てはまらなかったものは思い浮かばない
違いがあるとすれば見かけだけだろうか? そして、その見かけの変化だけでEUが行動を起こすには十分なのだろうか? もしそうなら結構だが、今回の判決が米国規制機関の「独立性」という性質を実質的に大きく変えたとは思わない。そもそもそんな独立性はなかったのだから
私の怒りは、機関の見せかけの独立性への影響とは無関係で、より法的に微妙な問題であり、この記事のテーマやLobsters全般からもやや外れる
この記事の要点は、EU Commissionがこれらの機関が十分に独立しているという虚構を利用し、個人データを米国に送ることを正当化していたということだ