GDPR アメリカ(米国) プライバシーシールド

MENU

アメリカのプライバシーシールドとは?

 

アメリカ合衆国は、十分性認定はされていませんが、プライバシーシールドに基づき、EU域内の個人データをアメリカに移転することが認められています。

 

「プライバシーシールド」というのは、EUとアメリカ間の新たな個人情報移転フレームワークのことです。2016年2月2日に欧州委員会と米国の間で合意され、2016年8月1日からスタートしています。

 

それ以前は、2000年7月に合意され、使用されてきた「セーブ・ハーバー」という制度がありましたが、セーフ・ハーバーが2015年10月に欧州司法裁判所により無効とされた後、新しい制度として創設されたのが、「プライバシーシールド」です。

 

これを聞くと、なんでセーフハーバーが無効になったのか気になりませんか?
この背景を見ていきますね。

 

どうしてセーフハーバーは無効になったの?

 

セーフハーバー法は、「EUとアメリカはお互いに通信のプライバシーは尊重する」という紳士協定みたいなものでったので、違反の疑いがあっても証拠の開示を要求することができなかったんです。

 

そんな中、2013年に起きたのが「スノーデン事件」です。
元米国中央情報局(CIA)職員のエドワード・スノーデン氏が、米国家安全保障局(NSA)が米国内のIT企業が所有する個人情報を監視・収集していた事実を明らかにした、という事件です。
大規模な盗聴記録によりメルケル首相の電話も盗聴されていたことが公になりました。


 

この事件もあり、セーフハーバー合意の内容や要件を見直しの検討がされていた時に、欧州司法裁判所に対して、Facebookがデータ保護のルールを順守しているのか疑問が投げかけられました。
オーストリア人男性が自らの Facebook上の個人情報が米国に移転されたとして、申し立てを行ったのです。

 

そして、2015年10月、EUの裁判所はセーフハーバー協定自体が無効であるとの判決を下しました。Facebookがルールを守っているかどうかではなく、広い意味でセーフハーバーが無効とする判決を出してしまったんです。

 

その後、それに代わるものとしてEUとアメリカは「プライバシー・シールド」という特別合意として制定することになりました。これは、毎日のように集中的な交渉をして、なんどわずか4ヶ月月間で合意に達したそうです。

 

プライバシーシールドとセーフハーバーの違いは?

「プライバシー・シールド」は、セーフハーバーよりも、以下のような点で強化されました。
①米国企業が取り扱う個人情報の保護に対してより一層の義務付けを図った
②米国の公的機関によるアクセスに対して明確な制限と保護規定を設けた
③EU市民の権利を効果的に守るための仕組みを定めた。

 

「プライバシー・シールド」は、EU市民にはEUの基準に沿ったプライバシーを守り情報の開示にも応える、またEU市民が米国の司法省に米国企業を訴える事ができるというもの、になっています。

 

具体的には、プライバシーシールドでは新たに、米国務省にオンブズマン(行政監視員)という新しいポストを設けています。ここに、EUの政府や市民が、自分たちのデータが米国の諜報機関によって誤って利用されているという懸念を伝えられるようになったんです。
 また、プライバシーシールドでは、連邦取引委員会(FTC)が必要な権限を行使していないと欧州市民が懸念を持った場合、仲裁を申し立てられるようになりました。FTCは政府から独立した組織として、プライバシー保護ルールに違反した米国企業に処分を下すことができます。さらに、EU市民が米国の裁判所を利用できるように「Judicial Redress Act(法的救済法)」が米議会で承認されました。

 

こんな対策で、よりEU市民のプライバシーが守られるようになったんですね。

 

プライバシーシールドは、Google、Facebook、マイクロソフトなどのアメリカを代表する企業をはじめとした1500社が署名し、発効されました。適用している在米企業の一覧などは、プライバシーシールドのwebサイトで確認できます。
https://www.privacyshield.gov/welcome

 

「プライバシーシールド」の合意によって、GoogleやFacebookなどのアメリカ企業は、EUの個人データを域外に持ち出して利用できるんですね。

 

オバマ大統領から、トランプ大統領に代わって変化は?


プライバシーについての考え方も、オバマ大統領とトランプ大統領で異なるようです。

 

バラク・オバマ米国大統領は、スノーデン事件を受け、2014年1月に大統領政策指令28号 (Presidential Policy Directive 28=PPD-28)を発令し、諜報活動に一部制限をかける決定を下しています。
この指令では諜報活動におけるデータ収集を特定対象に限るとともに、収集したデータの利用をテロや大量破壊兵器といった国防に関わる6つの目的のみとしました。
また、プライバシー保護の対象には米国民以外も含まれています。

 

これが、トランプ大統領に代わって変わりました。
トランプ大統領令 第14条では、アメリカ国内ではアメリカ人か合法永住者でなければプライバシーは保護されない、と明言しています。

 

“Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information”.

 

「政府機関は、適用法の範囲内で、アメリカ市民または合法永住者ではないものを個人情報に関するプライバシー法の範囲外にする事を確約する。」

 

これからどうなるのでしょうか?

関連ページ

GDPR 最低限すべきことは?結局どこまで対応すればいいの??
GDPR 最低限すべきことは?結局どこまで対応すればいいの?? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPRで認められた「忘れられる権利」日本での現状は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRで認められた「忘れられる権利」日本での現状は?
GDPRは悪法か?グーグルやフェイスブックとプライバシーを考える
GDPRは悪法か?グーグルやフェイスブックとプライバシーを考える。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR フェイスブックのデータポータビリティ機能
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR フェイスブックのデータポータビリティ機能を見つけました。
GDPR対策 「クッキーの取得」の同意の確認を簡単にできるツール
GDPR対策 必要になったCookie(クッキー)の取得・使用することについての同意の確認。 このサイトでも、クッキーの同意の取得をはじめました。ツールを使って簡単にできました!