EU・米国間のデータ保護枠組み

　2022年2月海外では、メタが欧州でFacebookとInstagram事業を閉鎖するかもしれないというメディア報道があり、多くの注目を集めた。

　その理由とは、2020年7月に失効したEU諸国から米国へのデータ転送を可能にしていた枠組み「Privacy Shield」に代わる新枠組みの導入が遅れていたからだ。

　メタは「EUから米国へのデータ転送を可能にする新しい枠組みが施行されない場合、また標準的契約条項（SCCs）を頼りにできない場合、さらに他の手段によってEU・米国間のデータ転送ができない場合、フェイスブックやインスタグラムを含む主要サービスを提供できなくなるだろう」との声明を発表した。

　この状況は、メタだけでなくGAFAMを含め多数の米企業に影響を与えるものとして、多くの人々がその行方を見守っていたところだ。

　こうした中、3月末に米国とEUはデータ転送に関する新たな枠組みの「原則」において合意したことを共同で発表。海外メディアは、この合意がメタやアルファベットなどのテック大手企業の懸念を払拭（ふっしょく）するものになるだろうとみている。

欧州アクティビストによる批判

　しかし、今回の発表は「原則」への合意のみで、詳細なルールについては明らかにされておらず、専門家らはその内容次第で実効性は変わってくるとみている。

　英国拠点の国際法律事務所Linklatersのデータ保護を専門とするパートナー弁護士ギヨーム・カウンソン氏はCNBCの取材で、新しい枠組みが欧州の監督機関や物言う株主（アクティビスト）らによる厳しい精査に耐えうるものであるかどうかに言及するのは時期尚早だと指摘している。


　カウンソン氏も言及しているが、EU・米国間のデータ転送をめぐる議論において無視できないのがアクティビストの存在である。

　EU諸国から米国へのデータ転送を可能にしていたPrivacy Shieldだが、その不備を指摘し、失効に追い込んだのがオーストリアの弁護士兼活動家のマックス・シュレムス氏（34歳）なのだ。

　このシュレムス氏、Privacy Shieldだけでなくその前身である枠組み「International Safe Harbor Privacy Principle」の失効キャンペーンを率いた経歴を持つ人物でもある。

　International Safe Harbor Privacy Principleとは、1998～2000年にかけて、EUと米国で民間企業が消費者データを誤って公開したり、紛失したりするケースから消費者を保護する目的で導入された枠組みだ。

　シュレムス氏は、この枠組みでは個人情報が十分に保護されていないとし、フェイスブックが欧州拠点を構えていたアイルランドの高等裁判所で同社を相手取った訴訟を起こした。その後、欧州司法裁判所（ECJ）が関与するところとなり、2015年10月ECJにより同枠組みは失効となった。

　このInternational Safe Harbor Privacy Principleに代わる新枠組みとして2016年7月に登場したのが、Privacy Shieldなのだ。

　これは「Notice（通知）」「Choice（選択）」「Accountability for Onward Transfer（データ転送責任）」「Security（安全性）」など7つの原則により構成される枠組みだが、導入当初からシュレムス氏をはじめ、さまざまなプライバシー保護強化を掲げる個人や組織からの批判にさらされてきた。

　2020年7月、ECJはPrivacy Shieldの枠組みではEU市民の個人情報が適切に保護されていないとし、同枠組みの失効決断を下した。ただしPrivacy Shieldによって、ただ直ちにEU・米国間のデータ転送が停止された訳ではない。ECJは、標準的契約条項（SCCs）という別の手段の利用を認めている。

　SCCsとは、データ輸出者とデータ輸入者の間で締結する契約。マイクロソフトなどは、SCCsを活用しており、Privacy Shield失効の影響は受けていないとの声明を発表している。

　BBCが伝えた英ユニバーシティ・カレッジ・ロンドンの調査によると、Privacy Shieldの枠組みは、5,300社を超える企業のデジタル貿易を支えていた。このうち65％は、中小企業であったという。Privacy Shieldの失効で、これらの企業はSCCs利用が必須となった。

【次ページ】新枠組みに対するシュレムス氏の意見