2023.01.25
プライバシーシールド2.0の評価: 企業は法的な安全性を確保できないまま|CookieFirstブログ
バイデン米大統領の政令は、データ保護の分野で多くのイノベーションを提供するものである。しかし、専門家は、新しい協定が精査に耐えられるかどうか疑問視している。
ジョー・バイデン米国大統領は、EU-USデータ保護フレームワークを実施することを目的とした政令に署名した。これは、多くの人が待ち望んでいた、個人データがEUから米国に転送される際に、個人データの保護に関するEUの要求事項を満たすという、米国による拘束力のある約束に他なりません。正式な合意はまだ保留されているとはいえ、これは第1次プライバシーシールドの終了時から期待されていた合意に向けた重要な一歩です。しかし、この政令は実際にどのような意味を持つのでしょうか?
まず、米国の諜報機関は今後、関連するデータにアクセスする場合、データ主体の利益をより考慮しなければならないと規定されている。また、”定義された国家安全保障上の目的の追求 “を求めています。ホワイトハウスのプレスリリースによると、この法案は、「侵害が発生した際に適切な措置が取られるように、法務、監督、コンプライアンス担当者の責任を拡大する」ものです。米国の情報機関も、プライバシーポリシーを政令の要件に合わせる必要がある。
クレームの選択肢を増やす
EUからの個人データへのアクセスや取り扱いに関して、影響を受ける市民や特定の団体が、政令によって強化された米国法の違反を提起したい場合、利用できる苦情の選択肢に特に注意が払われています。第一段階では、「国家情報長官室(CLPO)の市民的自由保護担当者」が苦情を処理し、情報機関を拘束する行動を命じることができるようになる予定です。
CLPOの決定を審査するために「データ保護審査法廷」が設置される予定である。関係する情報機関または関係者は、訴訟を起こす権利を有する。裁判官は、データ保護に関する一定レベルの専門知識と知識を有していなければならない。最後に、プライバシー・自由監視委員会は、米国の情報機関のプライバシー慣行が法令に準拠しているかどうかを審査し、また、作成された救済措置を毎年見直すことが義務付けられています。
企業にとって不確実性が残る
米国大統領の政令は、企業にとって直ちに影響を与えるものではない。EU委員会は今後、政令を検討し、政令に含まれる規則をEUの観点から埋め込んだ法的規制を作成する予定である。その後、米国とEUの間で、米国へのデータ移転に関する協定が結ばれることになります。これが発効するまでには、おそらくしばらく時間がかかるでしょう。専門家は、2023年の春か夏までにはそうならないだろうと想定しています。
それまでは、現在多くの企業にとって不満足な法的状況が続くことになります。精巧な例外規定が有効でない限り、米国への個人データの移転は禁止されています。これには、このような移転のためにEUが発行した標準的な契約条項が含まれます。しかし、データ保護者や裁判所は、それらを使用する企業によるデータ保護リスクの個別評価を要求しています。標準的な文章を無批判に採用するだけでは十分ではありません。
さらに、データ移転はデータ主体の同意に基づくことができます。ここでも、その有効性に関する要件は非常に高い。最後に、企業グループ内では、いわゆる「拘束力のある企業規則」が考慮されます。これは、企業グループ内で適切なレベルのデータ保護を実現するためのものです。
ECJの前でさらに交渉?
米国へのデータ移転に関する新しい規制は、さらなる裁判の対象となります。最終的には、ECJによる「シュレムス3世判決」が出るかもしれません。これは、オーストリアのデータ保護活動家マックス・シュレムスが、米国とEUの合意に関する最初の2回の試みをすでに法廷に持ち込んでいたことにちなんでいます。彼の評価はこのようなものです: “一見すると、彼らは法的根拠なしにここで3つ目の協定を結ぼうとしている。” そしてさらに、”新しい協定であっても、すぐにECJによって覆されると推測される “という。
要するに、法的な不確実性が残り、さらなる訴訟が予想されるということです。現在議論されている新しい手続きが、いつかECJによるシュレムスIIIの判決で覆されるようなことがあれば、プロセスはまた最初からやり直しになる。シュレムスXになるまでか…?
CookieFirstブログより引用