EU-U.S. Data Privacy Framework(以降DPF と省略します)が7月10日に発効しました。前回のお知らせのようにスウェーデンではGoogle Analyticsを使用する企業が摘発される事態にまでなってましたから、GDPR に関わる皆様にとっては朗報だったのではないでしょうか?Google Analytics以外にも個人データが米国へ越境するサービス・システムは多数ありますが、使用されているサービスの事業者がDPF に登録済みか確認されましたか?こちらから確認できますので必ずご確認ください。

一方で、この記事をどのようにまとめ、伝えるかとても悩みました。

なぜなら、これまでにEUとUS間の個人データの越境に関するフレームワークは繰り返し無効判決が出され、さらにはNOYB(これらの無効判決を引き出した原告側のNGO)は直近7月3日の記事で下記のようのように発信しているからです。

「新しい協定が以前の2つの協定と構造的に同じであることを考えると、CJEU(EU司法裁判所)が再び協定を破棄する可能性は非常に高い。」(仮訳)

Given that the new deal is structurally the same as two previous deals, it is very likely that the CJEU will again annul it.(原文)

DPF発効までの時系列

DPF発効前に2回も反対決議がなされており、どうしてここから急遽発効となるのか?大いなる疑問です。そのヒントとして②の議決の結論の中で1つ課題が出されていました。

18. 米国は公的機関によるデータ処理に関する救済策や規則へのアクセスを改善するという重要な取り組みを行っているが、米国情報機関は2023年10月までに大統領令14086の公約に沿って政策と慣行を更新する必要があることに留意する。 米国法務長官はまだ、DPRC に基づいて利用可能な救済手段にアクセスする資格のある国として EU とその加盟国を指名していない。 これは、欧州委員会が「実際に」データへのアクセスに関して提案されている救済策や提案されている措置の有効性を評価する立場にないことを意味していることを強調する。  したがって、欧州委員会は、米国がこれらの期限とマイルストーンを達成し、約束が実際に履行されたことを確認した後にのみ、十分性に関する決定の次のステップに進むことができると結論付けた。(仮訳)

18. Notes that while the United States is making an important commitment to improve access to remedies and rules on data processing by public authorities, the US Intelligence Community has until October 2023 to update its policies and practices in line with the commitment of the EO 14086 and that the US Advocate General has yet to name the EU and its Member States as qualifying countries to be eligible to access the remedy avenue available under the DPRC; underlines that this means that the Commission was not in position to assess the effectiveness of the proposed remedies and proposed measures on access to data ‘in practice’; concludes, therefore, that the Commission can only proceed with the next step of an adequacy decision once these deadlines and milestones have first been completed by the United States to ensure that the commitments have been delivered in practice;(原文)

この文中にある「米国情報機関は2023年10月までに大統領令14086の公約に沿って政策と慣行を更新しなければならないことに留意する。」という課題に対して、国家情報長官室(ODNI)から発表された内容がDPFの発効に向けて大きく前進した回答になるのではないかと考えています。

米国国家情報長官室(ODNI)から各情報機関のポリシーと手順を発表

2023年7月3日、大統領令 14086 による新しいセーフガードの実施に関する情報機関の手順が発表されました。それぞれ、米国の司法長官、国家情報長官室人権保護担当官 (CLPO)、およびプライバシーおよび市民の自由委員会と協議して手順を策定されています。

ポリシーと手順を発表した米国情報機関

  • 中央情報局 (CIA)
  • 麻薬取締局 (DEA) 国家安全保障情報局 (ONSI)
  • 連邦捜査局 (FBI)
  • 国家偵察局 (NRO)
  • 国家安全保障局 (NSA)
  • 国家情報長官室 (ODNI)
  • エネルギー省情報防諜局 (IN)
  • 国土安全保障省 (DHS) 情報分析局 (IA)
  • 国土安全保障省 (DHS) 米国沿岸警備隊 (USCG) 
  • 国務省情報研究局 (INR) 
  • 財務省情報分析局 (OIA) 

これだけの多くの機関が「外国情報」を監視しているのですね。

国家安全保障局 (NSA)  のポリシーと手順を読んでみた

米国国防総省の情報機関であるので、やはりというか事後承諾もありました。ただし、その場合には「事後となった理由」と「活動が合法的に行われることを保証するために取られた措置」を国家情報長官室(ODNI)法務顧問および国家安全保障担当司法次官補へ速やかに報告する必要があります。

禁止された目的

自由の国アメリカを考えると、ごく当たり前な事ですが禁止された目的として、下記のように記載されています。

  1. 批判や反対意見、あるいは個人や報道機関による思想や政治的意見の自由な表現を抑圧したり、負担をかけたりすること
  2. 正当なプライバシーの利益を抑圧または制限すること
  3. 法律相談を受ける権利を抑圧または制限すること
  4. 民族、人種、肌の色、性別、性自認、性的指向、宗教に基づき、人に不利益を与えること
  5. 米国企業または米国の事業部門に商業上の競争上の優位性をもたらすこと

一括収集(Bulk collection)時の使用目的

特定の個人データではなく、使用目的により一括収集も可能となっています。一括収集が可能な場合として下記の目的が記載されています。

  1. テロ対策 外国政府、外国組織、外国人によって、または外国人のために行われるテロから保護する
  2. 捕虜の救出および奪還 外国政府、外国組織、外国人によって、または外国人のために行われる、人質の奪取、および個人の監禁(人質および捕虜の特定、場所、救出を含む)から保護すること
  3. 敵対的な外国またはその他の諜報活動 外国政府、外国組織、または外国人によって、あるいは外国人のために、あるいは外国人の援助を受けて行われるスパイ活動、破壊工作、暗殺、その他の諜報活動から保護する
  4. 大量破壊兵器の拡散防止 外国政府、外国組織、外国人により、外国政府、外国組織、外国人のために、または外国人の援助を受けて行われる大量破壊兵器や関連技術の開発、保有、拡散による脅威から守る
  5. サイバーセキュリティの脅威-外国政府、外国組織、外国人によって、または外国人のために行われる、もしくは悪意のあるサイバー活動によって生み出され、悪用されるサイバーセキュリティの脅威から保護する
  6. 危害の脅威 米国またはその同盟国やパートナーの個人に対する脅威から守る
  7. 取引犯罪 大統領令第 14086 号の第 2 項に列挙された目的の 1つ以上に関連する、不正資金や制裁逃れを含む、取引犯罪の脅威からの保護

簡易翻訳ですが上記のようなものとなります。欧州議会により反対決議された際にも課題となっていた事で、記録では下記のように記載されています。この解決方法はどこにも書かれていない認識で、もしお分かりの方がいらっしゃれば教えていただきたい点となります。これに関しては米国企業のDPF登録も全く関係なくなってしまう領域ですよね。

CJEU(欧州司法裁判所)は、政府によるプライバシーへの介入を「正当化できる」「客観的な基準」を要求していないため、米国の監視はEU法を満たしていないと説明した。(仮訳)

the CJEU explained that US surveillance failed to satisfy EU law because it failed to require an ‘objective criterion’ ‘capable of justifying’ the government interference with privacy;(原文)

 

一括収集に関する最小化

NSAの資料には次のような一文があります。GDPR第5条の最小化の原則を汲み取ってくれている感はあります。

標的を絞った収集が一括収集よりも優先されるものとする。・・・中略・・・それでも、一括収集は可能な限り限定され、諜報活動の目的に比例し、収集部門が目的を満たすために必要であると判断した最小期間のみ行われるものとする。(仮訳)

課題あるいは懸念事項

前述の反対決議文を読むと、懸念事項がいくつか見えてくるので気になる点を列記します。

データ保護審査裁判所(DPRC)について

個人データの取り扱いに不服があった際に決まったプロセスを経て設立される「データ保護審査裁判所(以降DPRCと省略します)」に透明性があるのかどうか?DPRCの決定事項は機密事項なので、不服申し立てを行った本人には情報が公開されない点が課題と考えられます。また、そもそもの疑問点として、見られたかどうかもわからないですよね。

外国情報監視法(FISA)について

外国情報監視法第702条(以降FISA702と省略します)では米国人と、非米国人を区別していること。NOYBがDPF 発効に際して「米国は、非米国人に合理的なプライバシー保護を与えるためにFISA702を改正することを拒否した。」という点に着目すると、確かに米国人の個人データは守られていても、米国以外の国籍の人にはそれがないのだなと気付かされます。米国と日本とでは日米地位協定が結ばれていますが、それと同様の対等でない不平等さを感じるのは私だけでしょうか?NSAの文書の中には「国籍や居住地に関係なく、すべての人が尊厳と敬意を持って扱われるべきである」と書かれているのですが、このFISA702では、米国人と米国以外の国籍の人に差異があると感じました。

なおFISA702は今年2023年末更新するか否かのタイミングを迎えます。さてどうなる事でしょうか?

米国連邦法は未だ成立せず

GDPR の十分性に関する決定を受けた他のすべての第三国とは異なり、米国には依然として連邦データ保護法が存在しません。通常、十分性認定は数年おきにチェックされますが、見直しの際に連邦法がないとおそらく面倒なことになると予想されます。なぜなら日本にも十分性認定が出されていますが、「補完的ルール」ありきです。これを米国内の各州ごとに行ったらと考えるだけでゾッとします。また、DPF は大統領令14086があればこそですが、名前の通り大統領自身により修正・削除なんでも可能です。

そのほか、このDPF にはサンセット条項(適用期間を定める条項)がないことが指摘されています。この条項が定められたのか、現時点で不明です。来年2024年には米国大統領選挙がありますが、一体どうなるのでしょう?大統領次第ですからね。

まとめにならないまとめ

素人目にもDPF が盤石ではないとご理解いただけると幸いかと考えております。前述のような課題を踏まえて、個人ではどうにもならない国家間の枠組みとは別に、どのようにしたら個人データが守られるのか、どのようにしたらビジネスを止めずに進化させられるのか模索する日々を過ごしております。

※ 本記事記載にあたり、細心の注意を払っておりますが、法的な助言を行うものではございません。また、正確性・完全性を保証するものではなく、法令対応のご確認は、お客様ご自身で、弁護士・専門家にご確認いただく必要がございます。