アメリカと EU 間の「セーフハーバー協定」の崩壊
~プライバシー問題のルービック キューブを解く~


原文掲載日 : 2015 年 10 月 20 日
執筆者:ブラッド スミス - 最高法務責任者

 

テクノロジーに関心のある人たちが 2015 年を振り返るとき、10 月に EU (欧州連合) とアメリカが締結していた「セーフハーバー協定」が崩壊したことを思い出すでしょう。

 

15 年にわたって施行されてきた国際的な法的合意がたった 1 日で無効になったのです。

 

10 月 6 日、欧州連合司法裁判所 (ECJ) は、大西洋をまたいだデータの移転だけはでなく、8 億人以上が暮らす 2 つの大陸でビジネスを行い、また消費者にサービスを提供するために 4,000 社以上が頼りにしてきた国際的な法制度を無効にしました。

 

この判決は、以前から多くの人が主張してきたことを明確にしました。 PC の黎明期に作られた法的ルールは、もはやユビキタス モバイル機器をクラウドに接続して使用する時代にはそぐわないという事実です。
アメリカと EU の双方が、新たなテクノロジーの世界に対応する新しい法律を必要としています。

 

法律家や当局関係者が大急ぎで状況の把握に努めていますが、さらにさまざまなステップに細分化し、これまで以上に根本的で長期的な変化が必要であることは間違いありません。
私たちは、その両方の側面に注目する必要があります。

 

多岐にわたるステップに注目すること、特にアメリカと欧州連合が締結したセーフハーバー協定の崩壊に伴って波及する強烈な影響に注目することが重要です。ワシントンとブリュッセルの政府関係者は迅速な対応を求められており、議会が速やかに司法救済法を制定するよう皆が望んでいるのではないでしょうか。

 

そうなれば、ヨーロッパ市民がアメリカの司法手続きを適切に受けられるようになります。

 

また、EU モデル契約条項などの追加保証措置を先んじて整備してきた私たちのような企業は、それに依拠した追加保証措置を採用することになるでしょう。

 

とはいえ、長期的利益を実現するには、いくつかの明確かつ根本的な事実についても認識しなければならないでしょう。
私たちが必要としているのは、大手の技術系企業にとどまらず、小規模な企業を含む経済全体にとって、とりわけ消費者にとって効果のあるソリューションです。

 

もっと広く言えば、大西洋をまたいで持続的にデータを移転できるようにするには、アメリカ - EU 間で新しいタイプの協定を整備しなければなりません。

 

この協定に求められているのは、しかるべき法的基準に従って個人情報へ迅速かつ適切にアクセスできるよう新しい国際的手続きを通じ、法律の施行によって公衆の安全を確実に維持しながら、人々のプライバシー権を各国の法律に従って保護することです。

 

実施可能な施策について検討するためには、2015 月 10 月の「セーフハーバー崩壊」をもたらした多くの要因についてよく考えなければなりません。
その要因は多様で複雑であり、数年の間にまとめて発生してきました。これは、現在の課題に対するあらゆるソリューションをさらに複雑にするものです。
そのすべてを考慮しなければ、より実質的な変化が求められる課題に対し、一時しのぎの解決策に頼らざるを得なくなるかもしれません。

 

プライバシーは、間違いなく基本的人権の 1 つです。

 

何より、セーフハーバー協定の崩壊は、注目すべきプライバシー問題の段階的変革を表しています。

 

今回の訴訟はアイルランドで起きました。ダブリンの最高裁判所は、欧州の人々が自らの個人情報がアメリカへ移転さ\れることを今後も快適に感じることができるかどうかという点について懸念を表明しており、アメリカ当局が個人情報を大規模に収集する可能性は「アイルランド憲法が保護する基本的価値観」という発言に反するように思われます。
この発言は、決して無視できません。

 

アイルランド裁判所の判決は、多くの点で、第 2 次世界大戦近くまで遡るプライバシー問題の長期にわたる段階的変革に沿うものでした。
1950 年、欧州評議会は、プライバシーが基本的人権の 1 つであることを認めました。そのことは、EU 基本権憲章の中に具体的に盛り込まれるなど、これまでずっと EU の法律の中で重要なものとして扱われてきました。実際、欧州裁判所は最近の判決でも同憲章の「個人情報の保護」について冒頭の段落で触れています。

 

アメリカ人にとっては、こうした変化のすべてを「別の大陸」の「別の法的アプローチ」によるものだと考えてしまいがちです。
しかし、それは間違いだと言えます。

 

政府介入によるプライバシー保護は、憲法修正第 4 条を権利章典の一部として批准した 1791 年以来、合衆国憲法に明記されています。

 

私たちの時代は、アメリカと EU の双方の裁判所が同じような方向へ進んできました。もちろん、それには正当な理由があります。

 

ほんの昨年のことですが、アメリカの最高裁判所は、警察は電話の内容を捜査する前に裁判所から令状をとらなければならないという判決を下しました。

 

同裁判所が説明しているとおり、「現代の携帯電話は科学技術によってもたらされた単なる文明の利器ではなく、そこに格納されている漏洩の危険があるものすべてについて考えるなら、そこにはたくさんのアメリカ人の私生活が詰まっています」

 

同最高裁判所は、政府は個人宅を捜査する前に令状をとらなければならないという憲法上の保護について述べました。

 

さらに電話の捜査について、「これまでにないほど徹底的に家宅捜索を行うより遙かに多くの情報を政府に提供する場合が多いだろう」と述べています。
電話は、これまで家で発見されてきた多くのデリケートな記録をデジタル形式で格納しているだけでなく、家では発見されなかったさまざまな個人情報を多様な形態で格納しています。

 

これは驚くべきことであり、すべて事実なのです。
過去 30 年にわたって、テクノロジーは日々の暮らしを一変させてきました。

 

昔は (書類やアルバムなど) 家中に情報を保管していましたが、現在はそれ以上の情報をポケットの中のデバイス 1 台に収められるようになっています。

 

さらにご存知のように、こうしたデータは個人の電話の中だけにとどまらず、「クラウドの中」、すなわち大西洋の両岸、そして世界中に配置されたデータセンターで複製されるのです。

 

この変化は、技術分野の人たちが急速にプライバシーについて語るようになった理由を説明する一助になります。

 

ECJ の判決が出るほんの 1 週間前に、アップル社 CEO のティム クック氏は、プライバシーが基本的人権の 1 つであるとはっきり認めました。
私も 2015 年の 1 月にブリュッセルのスピーチでマイクロソフトの代表として同じことを述べました。

 

マイクロソフト CEO のサティア ナデラも、1 年以上前に、「テクノロジーの進歩は喜ばしいことだが、時間の経過とともに変化しない価値も存在し続けるべきだ」とはっきり述べています。

 

そして、プライバシーとは、時間の経過とともに変化せず、何があっても存在し続ける価値があるものです。

 

とはいえ、プライバシー権は、ある場所から別の場所へデータを移すたびに変わっていたのでは存在し続けることができません。

 

個人は、個人情報が国境を超えただけで自らの基本的人権を失うべきではないのです。これまで、このことについて直接はっきりと示されたことはありませんが、この原則は ECJ の判決のあらゆる側面を支えるものであり、理に適っています。

 

また日常的に個人情報を移動させているのは、ほとんどの場合「個人」ではなく「企業」や「政府」です。

 

一般に、「個人」は自分に関する情報の "保管場所"や"移転"について、気付いてすらいません。

 

自分の情報が、誰かの手によって転々と移されるたびにプライバシー保護の概念が変わっても、人々がその概念を信頼していると予測するのは無理があります。そのように不安定な考えを、根拠とすることはできません。

 

こうした懸念は、過去 2 年間に驚くべき事実が発覚しなければ、EU で棚上げになったかもしれません。
これについてダブリンの最高裁判所は、エドワード スノーデンの告発によってアメリカ当局による「ひどく度を超した行為」が実証されたという考えを示し、明確な立場を表明しました。

 

ECJ が論じたとおり、この事件は、個人情報がアメリカに移転されてしまうと、政府による膨大な情報収集の対象として、またアメリカの裁判所でヨーロッパ市民が自らを守る権利を持たないまま、個人情報にアクセスされる恐れがあるという懸念を引き起こしました。

 

現実問題として、この告発は、ヨーロッパ市民の個人情報が太平洋を横断したあとも、本国で適用される権利と「本質的に同等の」プライバシー保護をヨーロッパ市民が受けられるのかどうか、EU の政策立案者が再検討しなければならないことを示しています。

 

もし保護されないのであれば、今世紀への変わり目にまとめられたセーフハーバー協定を新たな変更なしに復活させることはできません。
すなわち、すでに太平洋両岸の当局関係者にとっては明白ですが、これまでのセーフハーバー協定をさらに優れたものと置き換えなければなりません。

 

私たちは、グローバルなインターネットを必要としています。

 

少なくとも法的に見れば、データを転々と移転させる必要さえなければ、この課題は単純なものになります。

 

新しい法律は、単にあらゆる人の情報を、各々の国内にとどめたり、ことによると個人のデバイスにとどめるよう命じるものになるかもしれません。
しかし、そうなるとデジタル未開の時代に、無理やり引き戻されることになるでしょう。

 

特定のデータセンターへのデータ保管がますます普及する中で、さまざまなシナリオの下、消費者の個人情報は現在も正当な理由によって国境を越えなければならない状況です。

 

想像してみてください。
オンライン ショッピングで決済するときに、あなたのクレジットカード情報をほかの国で処理しなければならないことが理由で「購入できません」と言われたらどうしますか。

 

パスポート情報を航空会社から入国先に送ることができず、航空券の予約を拒否されたら、どう思うでしょう。

 

消費者および市民として、毎週何度も個人情報を目的地に送るために、システムではなく、どこかの他人に頼らざるを得なくなってしまいます。

 

さらには、将来の技術革新によって、PC やモバイルなどの情報端末がさらに人々の役に立つようになれば、より多くの個人情報が収集されることにもつながるでしょう。

 

多国間のデータ移転は、個人だけでなく、企業に、さらには国家にとっても重要な事柄です。

 

EU 司法担当委員のベラ ヨウロワー氏は欧州裁判所の判決を受けて「重要なことは、大西洋両岸を結ぶデータフローを今後も続けていくことです。それこそが、私たちの経済を支える屋台骨なのですから」と、その重要さを適切に言い表しています。

 

場合によっては、消費者のあらゆるデータを、常に自国にとどめるよう政府が命じるかもしれません。しかしそれは、銀行に対する懸念を払拭しようとして、国民にタンス預金を推奨するようなものでしょう。

 

21 世紀のニーズを満足するには、もっと優れたアプローチが必要です。

 

私たちは、公衆の安全を維持しなければなりません。

 

これらの課題は、3 つ目の極めて重要な要因によってさらに複雑になります。政府は公衆の安全を維持しなければなりません。

 

どのように安全上の課題に対処すべきか議論の余地が十分に残されている中で、公衆の安全保護は政府の最も重要な役割の 1 つであるという点については、世界規模のコンセンサスが存在します。
また大西洋両岸の双方が、「自分たちは危険な時代に生きている」という一般的認識を持っています。

 

この課題に注目すると、現在のインターネットにおけるパラドックスの 1 つが見えてきます。
インターネットは、人々がアイデアを共有したり、互いにコミュニケーションを行う上で、世界で最も重要な媒体になりました。
電信や電話などと同じく、人々はインターネットという新しいテクノロジーをさまざまな方法で利用しています。 善い行いもあれば、他人に危害を加える企みもあるのです。

 

現実世界で人々の安全を維持するなら、インターネット上で人々の安全を維持しなければなりません。

 

さらには、現実世界において政府が、公衆への脅威を阻止したり、調査したりするつもりなら、オンライン上のデータにタイムリーかつ適切にアクセスできる必要があります。

 

プライバシーのルービック キューブ化。

 

特筆すべきは、こうした原則をまとめることの複雑さです。

 

私たちは、プライバシーを基本的人権の 1 つとして保護する必要があります。
私たちは、グローバルなインターネットを必要としています。
私たちは、公衆の安全を維持する必要があります。
私たちは、大西洋の両岸で、双方に機能する法的なルールを必要としています。

 

以上の 4 つの事柄を同時に実現しなければなりません。
まさにプライバシー問題におけるルービック キューブなのです。

 

長期的に持続可能な方法を見いだすには、一から考え直す必要があります。

 

アメリカで最も重要なプライバシー法が採択されたのは 1986 年でした。欧州の法律がもたらされたのも同じ時代です。

 

20 世紀末の 15 年間に練り上げられたアプローチは、21 世紀以降の 15 年間において必要な条件を、まったく満たしていません。

 

テクノロジーだけが変化したのではありません。世界が変化したのです。

 

ルービック キューブのように、ソリューションとは完成してみないと分からないものです。
今回は 4 つの措置を講じる必要があります。

 

まず大西洋を横断してデータと一緒に人々の法的権利を確実に移転させる必要があります。

 

これは、たとえばアメリカに保管され、かつ EU 加盟国の 1 つに属する個人情報に対して EU 法に則った方法でしかアクセスせず、その逆についても同じとすることにアメリカ政府が同意すればよいだけの簡単なプランです。

 

次に、セーフハーバー協定だけでなく、2 つの港に新しい関係をもたらす大西洋両岸を結ぶ新しい協定が必要になります。
大西洋をまたいで移動する双方の市民のオンライン個人情報へのアクセスについては、個人が所属する国の関係当局と直接連携して合法的な要求を満たしつつ、アメリカと EU の政府機関を優先する手続きを設けなければなりません。

 

要求元の政府は自国の法律の範囲内でのみ情報を求めるものとし、その要求はユーザーの国籍国の政府関係当局が審査することになるでしょう。

 

指定機関によって当該要求がプライバシー保護とその他の市民が暮らす地域の法律要件と一致していることが確認された場合は、当該要求を法的に有効として法的効力を与え、開示を許可するのです。

 

アメリカ政府がアメリカに保管されている EU データについて当該手続きに同意すれば、ECJ が示す法的要件を確実に満たすものと考えられます。
同裁判所は、アメリカに移動したデータについて、EU 加盟国が自国の法的保護と「本質的に同等の」法的保護を受けるよう要求しました。
その結果、自国の政府は自国の法律を適用し続けると考えられるので、確実に当該データを保証すると考えられます。

 

また、この手続きは双方向で機能するので、アメリカのデータを EU に移動する場合は、アメリカ法と合衆国憲法の原則によってアメリカ市民は保護され続けます。

 

また物理的に大西洋両岸を移動する市民向けの方法にも例外があるでしょう。

 

たとえばアメリカ政府は、アメリカ法に則り、単独で裁判所に申し立てを行って許可を得た上で、国内に転居する EU 市民のデータを取得するべきです。

 

EU に加盟している各国政府も、自国にアメリカ市民が住んでいる場合は同様の対応が求められます。
これは、長年の法理に一致しており、また特定の管轄区域に個人が物理的に存在している場合に公衆の安全問題が最も浮き彫りになるという実際の現実とも一致しています。

 

最後に、最も制限された状況を除けば、クラウドにデータが保管されていても、合法的な事業の内容に対して、当該事業が提供するサービスによってアクセスすることを大西洋両岸の政府が同意することは理に適っています。

 

これは、クラウド サービスに依存する事業に対して生じている現在の法律上の主な懸念点の 1 つを解消するでしょう。

 

進むべき新たな道筋。

 

その他にも、考慮すべきニュアンスと複雑さは存在します。それらは国際間の協調において、常に存在する課題です。

 

しかし、前述した基本的なアプローチであれば、人々のデータが国境を越えて移動してもプライバシー権が失われないこと、および公衆の安全を維持する上で必要なデータへアクセスするための法の執行について、効果的かつ法的に妥当な根拠が明確となり、現在の法的な混乱を解消できるでしょう。

 

このアプローチは、政府が以前の法律と法的手続きに基づき、現在の社会状況に適合させなければなりません。

 

「現代化は困難だ」と言う人も多く、その主張には一理あります。
しかし見方を変えれば、今まさに、その変革を成し遂げる好機が訪れたともいえます。今月 (2015 年 10 月)、古い法律制度が崩壊し、いにしえの基礎が消え去ったのです。

 

新しい世紀には、プライバシーに関する新たな枠組みが必要であることが、この数年で明白になりました。
その枠組みを構築するのは、今しかありません。

この記事は 2015 年 10 月 20 日に Microsoft On The Issues に投稿された記事 The collapse of the US-EU Safe Harbor: Solving the new privacy Rubik’s Cube の翻訳です。最新情報については、翻訳元の記事をご参照ください。