カジノサイト 危険な港
最初、彼女はそれがスパムだと思った。誰かが Accellion の製品担当上級副社長である Vidhya Ranganathan 氏に、米国と欧州連合 (EU) 間のセーフハーバー協定は無効であると主張する一見悪意のあるリンクを電子メールで送信していましたが、彼女はそれをクリックしようとしませんでした。しかしその後、彼女はそれが からのものであることに気づきました ロイターそしてそれが合法であることを知っていました。彼女はショックを受けました。
「壁には、来なければならないという文字が書かれていました」とランガナタンさんは語るセキュリティ管理 協定が破棄されてから数週間後。セーフ ハーバーは「とても時代遅れでした。2000 年に書かれたものです…セーフ ハーバーが今日のようなものになるとは誰も想像していませんでした。」
セーフハーバー協定は、民間企業が EU データ保護指令に準拠できるように設計されました。この指令では、個人データを EU から別の国に移転することが許可されていますが、これはその国が国内法や国際的な約束などを通じて適切なレベルのデータ保護を保証している場合に限ります。また、EU 加盟国には、データ保護を確保するために自国の領域内のアプリケーションを監視する 1 つ以上の公的機関を指定することも求められています。
セーフ ハーバーは、企業が人々のデジタル データ (人事データを含む) を両国間で移動できるようにするために米国と EU が締結した国際公約です。企業は、自社のデータ実践がデータ保護指令に基づいて要求される保護と同等であることを自己認証するために、複雑なプロセスを経ました。
しかし、国家安全保障局の元請負人エドワード・スノーデンが、9.11以降、つまりセーフハーバー創設後に開始された米国政府による監視行為の詳細を詳述する情報をメディアに漏洩したことにより、EU国民のデータを保護する企業の能力に厳しい目が向けられるようになった。
昨年 10 月、オーストリアのマクシミリアン・シュレムスが起こした訴訟で、EU の最高裁判所は、米国の公的機関はセーフハーバーの対象ではないため、セーフハーバーは無効であるとの判決を下しました。決定によれば、この協定により、米国政府による国民のプライバシー権への無制限の干渉が可能になるという。
「米国のセーフハーバー制度は、米国の公的機関による個人の基本的権利への干渉を可能にしており、委員会の決定は、米国におけるそのような干渉を制限することを目的とした規則の存在や、干渉に対する効果的な法的保護の存在には言及していない」と裁判所は説明した。
ランガナサンが言うように、その文字は正式に壁に書かれていた。では、この判決はセーフハーバーを利用する企業にとって何を意味するのでしょうか?そして、それが無効になった場合、企業が EU と米国の間でデータを転送できるようにするために、何が代わりになるのでしょうか?
この判決が下りたとき、米国とEUが当初のセーフハーバーに代わるものについて交渉できるよう、2016年1月末までの猶予期間が与えられた。 現在セキュリティ管理の報道時点では、新たな合意には達していませんでした。
それまでの間、第 29 条作業部会が発表した声明によると、「企業はデータ転送時に最終的にかかるリスクを熟考し、それらのリスクを軽減するために法的および技術的な解決策をタイムリーに導入することを検討する必要があります…」
第 29 条作業部会 (これは、それを作成した 1995 年の EU データ保護指令の規定を指します) は、EU 加盟国の国内データ保護当局、欧州データ保護監督機関、および欧州委員会の代表者で構成される、データ保護とプライバシーに関する独立した諮問機関です。シュレムス判決の余波を受けて、同局は判決の影響について議論し、米国とのデータ転送に関する代替解決策を見つける任務を負った。
「2016年1月末までに米国当局との間で適切な解決策が見つからず、作業部会による転送ツールの評価に応じて、EUのデータ保護当局は必要かつ適切な措置をすべて講じることを約束する。これには調整された強制措置も含まれる可能性がある」と声明では説明されている。これらの強制措置は、高額な罰金から訴訟に至るまで多岐にわたる可能性があります。
その枠を利用して、米国と EU は 13 件の欧州委員会勧告の検討を開始し、そのうち 11 件は 11 月に合意された、とハイテク専門法律事務所リモンの情報ガバナンスおよび記録管理業務責任者ジョン・イサザ氏は述べています。
「一見すると、それは非常に有望に思えます」と彼は説明します。 「しかし、未解決の残りの 2 つの問題は、転送されたデータへの米国当局のアクセスの問題に対処しています。」
これが、イサザ氏がセーフハーバーが政治問題であると考える理由です。なぜなら、ヨーロッパ人は「米国当局が民間組織の個人データにアクセスできるようにするための包括協定のようなものを結ぶことに非常に疑問を抱いているからです」と彼は言います。
声明によると、作業部会は包括的監視は「EUの法的枠組みと両立しない」ため容認されないことを明らかにした。 「情報にアクセスする国家当局の権限が民主主義社会で必要な権限を超えている第三国への移動は、安全な目的地とは見なされません...」
この声明は、EU 高等裁判所の判決の特に重要な部分、つまり将来転送の原則に触れていると、パットン ボッグス公爵法律事務所のデータ プライバシーおよびサイバーセキュリティ業務のパートナー兼共同リーダーであるアン ラフランスは述べています。
ラフランスは、転送転送とは、ヨーロッパから送信された情報をクラウド プロバイダーが米国に保存し、ヨーロッパの許可や知識なしに米国連邦政府がアクセスする可能性がある行為であると説明しています。
「米国の国家安全保障当局が、令状なしで、あるいは欧州人が適切な保護手段と考えているものなしで、おそらく愛国者法制度下でかつて行われていたように、データにアクセスできるのであれば、それが適切な保護に関する懸念の一つであり、スノーデンの暴露によって誰もが非常に懸念したことである。米国当局が米国内に保存されている、または米国内で処理されている誰かのデータにアクセスできる範囲と程度についてだ。米国です」とラフランスは説明する。
この懸念に対処することが、新しいセーフハーバー協定の鍵となります。なぜなら、「米国政府が適正手続きなしにこの情報を入手しに来る可能性があるときに、私が X 社としてこれらすべての原則を遵守しているとしたら、どうやってプライバシー ポリシーを設けることができるでしょうか?」と言う人もいるでしょう。ラフランスは尋ねます。
2015 年に議会によって制定された米国自由法は、法執行機関と国家安全保障当局が米国内のテロや犯罪の疑いのある人のデータにアクセスする能力に一定の制限を課しました。しかし、ラフランス氏は、国民のデータが適切に保護されているという印象をEUに与えるのに「本当の問題は、その法律に十分な保護手段があるかどうかだ」と言う。シュレムスの決定の一環として、アイルランドのデータ保護委員がこの問題を調査し、作業部会が進捗状況を追跡する予定です。
シュレムスの決定から浮上したもう一つの大きな懸念は、政府がEU国民の情報にアクセスした場合に、米国でEU国民が得る手段がないことである。 「今のところ、何もありません」と彼女は付け加えた。 「テロや犯罪に関連する何らかの理由で米国当局がデータを入手した場合、そのデータに何が起こったのかについて文句を言えるのは米国人だけです。」
議会は、欧州の法執行機関が米国の法執行機関と情報を共有し、その情報が悪用された場合にEU国民に法的手段を与える法案、司法救済法を検討している。しかし、これまでのところ、民間当事者間で転送されるデータに対して EU 国民に同様の措置を与える法律は導入されていません。
EU と米国は新しいセーフハーバー協定に向けて取り組みを続けていますが、企業が EU データ保護指令に準拠するために追求できる代替案があります。イサザ氏は、各企業の状況を評価することから始めることを提案しています。つまり、データをマッピングし、データが組織内でどのように流れているかを調べて、EU と米国の間でデータを転送する方法があるかどうかを確認します。
「組織は、このデータがどれほど重要か、機密性が高いか、データを転送することがどれほど重要かを特定するために、徹底的に調査する必要があります」と彼は説明します。 「Google や Facebook のような企業であれば、データの転送がすべてであることは明らかです。しかし、ありきたりな組織であれば、このデータ転送に関する活動の文化に身を投じることなく、それを回避する方法があるかもしれません。」
たとえば、一部の企業は、ヨーロッパのサードパーティのクラウドベースのコンピューティング企業を主要なデータ管理者として使用する可能性があります。これは、米国政府が EU 国民の情報を入手するために召喚状を発行するのを防ぐために、米国企業が EU 企業を利用して自社のデータをホストすることを意味します。
「ヨーロッパのデータ管理者はそれらの召喚状に応じる必要はありません。一方、ここ米国でデータが管理されている場合は、それらの召喚状に応じる必要があります。」とイサザ氏は言います。
マイクロソフトはすでにこの方針を推進しており、ドイツテレコム AG と提携して 2016 年半ばにドイツにデータセンターを開設する予定です。
データセンターは、データ受託者として機能するドイツテレコムの子会社である T-Systems の管理下に置かれます。 Microsoft は、顧客またはデータ管理者の許可なしにデータにアクセスすることはできません。 Microsoft にデータへのアクセス許可が与えられた場合、データ管理者の許可の下でのみアクセスが行われるとリリースには記載されています。
Ranganathan 氏はまた、EU 認定ベンダーが運営するデータセンターとプライベート クラウドにデータを移動することは、新しいセーフ ハーバー協定が策定されるかどうかを待ちたくない企業にとっての選択肢であるとも述べています。また、より費用対効果の高いオプションになる可能性もあります。
「長期的には、プライベート クラウドの方が、すべてをパブリック クラウドに移行するよりもはるかに費用対効果が高い可能性があることを証明する多くの研究があります」と彼女は説明します。 「そして、あなたはそれを制御できます。あなたは愛国者法の対象ではありません。あなたはそれがどこに保管されているか、誰がそれをホストしているかを制御でき、夜はよく眠ることができます。」
これらの回避策は存在しますが、イサザ氏は、EU と米国の間のデータ転送の問題には、両者が正面から取り組む必要があると考えていると述べています。
「なぜなら、立法手続きによって民間部門が信頼できないものであるかのように思わせているのが現状だからです」と彼は説明する。 「そしてそれは実際には、民間部門が主導権を握っていないことを反映しているというよりは、政治的な綱引きのようなものが起こっているのです。」