それは一瞬の既視感でした。欧州連合司法裁判所（CJEU）は、オーストリアのマクシミリアン・シュレムス氏が起こした訴訟を検討した後、この5年間で2度目となる米国と欧州連合間のデータ共有協定を無効にした。

CJEU により、データ共有協定は、EU 国民および居住者のデータに対する適切な保護を提供しておらず、データ収集後の十分なレビュー メカニズムも提供していません。

「裁判所の見解では、米国の公的機関によるアクセスと使用に関する米国の国内法から生じる個人データの保護の制限は…EU法の下で要求される要件と本質的に同等の要件を満たす形で、それらの規定に基づく監視プログラムが厳密に必要なものに限定されない限り、比例原則によって制限されるものではない」と裁判所は説明した。。 「裁判所は、これらの条項は問題の監視プログラムを実施する際に米国当局が遵守しなければならない要件を定めているが、この条項はデータ主体に法廷で米国当局に対して訴訟を起こせる権利を与えるものではないと付け加えた。」

裁判所はまた、EU国民および居住者のデータ収集事例を審査するために設けられたオンブズマンの地位は独立しておらず、米国諜報機関をその決定に拘束する権限を持たないとも認定した。

これらの要素はどちらも、2015 年に裁判所がセーフハーバー データ共有協定を無効にした後、プライバシー シールドが対処するために設計された要件でした。これは、Facebook のアイルランド拠点から米国本社への個人データの転送に異議を唱えてシュレムス氏が起こした訴訟も原因でした。

「判決には非常に満足しています。裁判所はあらゆる面で私たちに従っているようです」とシュレムス氏は言いました判決に従って。 「これはアイルランド（データ保護委員会）とフェイスブックにとって完全な打撃だ。米国企業がEU市場で主要な役割を果たし続けたいのであれば、米国が監視法を真剣に変えなければならないことは明らかだ。」

裁判所の判決は即時影響を与えるため、約 5,300 社が依存しているデータ共有契約は宙に浮いた状態に置かれます。そして現在セキュリティ管理者本稿執筆時点では、欧州のデータ保護委員会は、企業が新しい協定の策定に取り組む間、猶予期間を設けるかどうかを明確にする声明を発表していません。

その代わりに、裁判所は、企業がデータ共有を継続するために標準契約条項 (SCC)、つまり欧州委員会によって承認されたデータ共有の条件を設定することに依存できることをオープンのままにしました。しかし、それらは絶対確実なソリューションではありません、とハントン・アンドリュース・カース法律事務所のグローバル・プライバシーおよびサイバーセキュリティ業務責任者であるリサ・ソット氏は言います。

「世界的な企業はデータ転送メカニズムを急いで調査する必要があるでしょう」と彼女は付け加えた。 「SCC を使用している企業も銃にさらされています。今回の決定により、SCC は転送ツールとして維持されましたが、データ転送で SCC に依存している企業は、特に米国への転送に関して考慮する必要がある新たな即時義務があります。SCC を導入することは、刑務所から出られるカードではありません。」

SCC が十分ではない多国籍企業への潜在的な影響、または重大度の範囲が異なる可能性がある、とソット氏は言います。

「[一般データ保護規則]に違反した企業は、考えられる一連の制裁の対象となり、その中で最も重大なものは、組織の世界年間収益の4パーセントに達する可能性のある罰金です」と彼女は説明する。 「さらに、EU データ保護当局は、法律の要件に違反するデータ転送を一時停止または禁止する場合があります。また、データ主体自身も、法律違反によって生じた損害を賠償する権利を有します。」

米国商務省と欧州委員会は、2020 年 8 月に、強化されたプライバシー シールド フレームワークの可能性を評価するための議論を開始したと発表しました。

その間、米国商務省長官ウィルバーすでにプライバシー シールド協定を結んでいる企業はその義務を免除されるわけではなく、欧州連合との新たな協定締結に引き続き尽力すると述べた。

「私たちはこの問題に関して欧州委員会および欧州データ保護委員会とこれまでも、そしてこれからも緊密に連絡を取り続けており、国民、企業、政府にとって極めて重要な7兆1000億ドルの大西洋を越えた経済関係への悪影響を限定できることを期待している」とロス氏は述べた。 「データ フローはテクノロジー企業だけでなく、あらゆる分野のあらゆる規模の企業にとって不可欠です。私たちの経済が新型コロナウイルス感染症後の回復を続ける中、現在 5,300 社を超えるプライバシー シールド参加者を含む企業が、プライバシー シールドによって提供される強力な保護と一致して、中断することなくデータを転送できることが重要です。」

しかし、新しいデータ共有契約を作成するのは簡単ではないかもしれません。国際プライバシー専門家協会 (IAPP) の研究ディレクターであるケイトリン フェネシーは、米国商務省の職員としてプライバシー シールドの作成を主導しました。このプロセスは 2013 年に始まり、2016 年に発効しました。

最初のシュレムスの判決は、プライバシー シールドが欧州委員会に受け入れられるために何を組み込む必要があるかについてのロードマップを提供するのに役立った、とフェネシー氏は言う。これには転送原則が含まれており、参加企業はプライバシー シールドで義務付けられているプラ​​イバシー保護を契約に含めることが求められました。

プライバシー シールドは、企業がプライバシー シールドに準拠するために行った取り組みの検証、ランダム化されたチェックの実施、参加企業の連絡先のテストなど、米国商務省の監視役割も強化しました。データ共有契約では、参加企業に対し、第三者へのデータ転送を限定的かつ特定の目的に制限することなどの規定も求められました。

裁判所の審査では、米国の諜報活動と監視の慣行により、米国企業はこれらの要件を遵守できないことが判明した。現在、米国の情報機関はメタデータに限定されない外国人に関するデータを米国企業から入手できる一方、それらの企業に対してデータが共有されたことを明らかにしないよう要求している。

新しいプライバシー シールドのような協定に達するには、米国の監視慣行の改革が必要になる可能性がありますが、この秋に議員の支持を得る可能性は低いです。

「オンブズパーソンがより完全な独立性と権限を持つ同様の体制はあり得るでしょうか?はい、それは実現可能です。議会の行動が必要になるかもしれませんが、実現可能だと思われます」とフェネシー氏は言う。 「米国政府が監視慣行と外国人に与えられる権利を変える意思があるかどうかのほうが、はるかに大きな問題だ。」

米国の監視慣行を改革することは、民主主義と技術センターを含む多くのプライバシー擁護団体の目標です。同センターの所長兼最高経営責任者（CEO）のアレクサンドラ・ギブンズ氏は判決に関する声明の中で、裁判所の判決は米国情報監視当局の慣行に「より強力なプライバシー保護を組み込む必要がある」という「警鐘」であると述べた。

「米国外の人々には、米国の監視法と慣行が尊重しなければならない権利がある」とギブンズ氏は説明した。 「監視改革は長年にわたり人権上の義務であり、現在では経済上の義務でもあります。」

しかし、これには難問もある、と書いた、アルストン・アンド・バードLLPの上級顧問、ジョージア工科大学シェラー・カレッジ・オブ・ビジネスのエリザベス・アンド・トミー・ホルダー法務・倫理学長、裁判所の判決に関するIAPP向け準備書面の中で。

「裁判所によれば、欠陥の一つは個人の救済が欠如していることだ。マックス・シュレムスのようなEU人は、国家安全保障局が自分のデータに対して何を行うかを審査するために米国の裁判所にアクセスできない」とスワイヤー氏は付け加えた。 「国家安全保障の専門家にとって、ある国の国民が他の国の諜報ファイルを確認する権利があると考えることは、極めて不可解です。」

この決定と、プライバシー シールドを無効にする裁判所の理由付けは、裁判所が欧州連合と他の国々との間のデータ共有協定をどのように検討するかについても疑問を投げかけていると、創刊編集者のジェニファー・ダスカルは.

「米国のシステムが不十分なら、中国はどうなるでしょうか? それとも別の大国であるインドでしょうか?」アメリカン大学ワシントン法科大学の技術・法律・安全保障プログラムの教授兼学部長でもあるダスカル氏は尋ねる。 「あるいは、人的資源、経済的、またはその他の理由で、企業が個人データを移転する必要がある、または移転に関心を持つ可能性がある国は他にもいくつありますか?」

マクシミリアン・シュレムスとは誰ですか?

マクシミリアン・シュレムスはオーストリアの弁護士、プライバシー擁護者、noyb (私のプライバシーはあなたの仕事ではありません) の創設者です。彼は 2008 年から Facebook ユーザーでもあります。つまり、ソーシャル メディア会社と共有された彼の個人データの一部は、Facebook のアイルランドのサーバーから米国にあるサーバーに転送されました。

シュレムス氏は、米国が米国諜報機関による自身のデータの入手を防ぐ十分な保護を提供していないと主張し、2015年にフェイスブックにこれらの転送を停止するようアイルランドデータ保護委員会に苦情を申し立てた。彼の主張は、国家安全保障局の元契約社員エドワード・スノーデンが米国の国家安全保障プログラムについて漏らした暴露に基づいている。

アイルランドのデータ当局はシュレムスの最初の訴えを却下し、訴訟に発展し、最終的にEU司法裁判所は当時の米国と欧州間のデータ共有協定であるセーフハーバーはEU居住者のデータに十分な保護を提供していないため無効であるとの判決を下した(シュレムスI)

その後、米国と欧州連合は、EU 居住者のデータの保護を強化することを目的とした新しいデータ共有協定であるプライバシー シールドの作成に取り組み、2016 年に発効しました。
しかしながら、シュレムス氏はアイルランドから米国へのフェイスブックのデータ転送に再び異議を申し立てるため、アイルランドのデータ保護委員に新たな苦情を申し立てた。

アイルランド当局はシュレムスの訴状を検討し、プライバシー シールドに基づく新たな要件にもかかわらず、米国の法律と国家安全保障の慣行は EU 国民に法的救済を提供しておらず、追加のデータ共有協定 (標準契約条項) ではこれらの欠点は是正されないと判断しました。

アイルランドのデータ保護委員会は Facebook を訴え、アイルランド高等裁判所は、SCC の有効性と、プライバシー シールドに基づくデータ共有転送が EU 居住者の権利を侵害しているかどうかに関する質問に答えるために、この訴訟を EU 司法裁判所に付託しました。

EU 司法裁判所はこの事件 (シュレムス II と呼ばれる) を審理し、2020 年 7 月に、プライバシー シールドは依然として EU 居住者のデータを適切に保護しておらず、違反に対処するための訴訟原因を提供していないとの判決を下しました。