欧州 欧州政策研究センター EUと米国のデータ・プライバシー問題に終わりは見えない (2024.05.22)

こんにちは、丸山満彦です。

EUと米国の間の越境データ問題は、セーフハーバー、プライバシーシールドと来ていますが、なかなかうまくいきませんね...

欧州政策研究センターというシンクタンクが、EUと米国のデータ・プライバシー問題についての報告書を公開していますね...

その原因の一つは、インテリジェンス活動におけるデータの一括収集だったりするわけですが、これから日本は安全保障の話がもりあがり、インテリジェンス活動が活発になるのかもしれないですので、ちょっとこのあたりはよく考えないと、米国と同じことになるかも...

まぁ、日本ではシギントはできないから大丈夫か...(^^;; 

でも、インターネットで情報を集めることができるか...

 

● Centre for European Policy Studies

・2024.05.22 In the EU-US data transfer and privacy quarrel, the end is not in sight

 

In the EU-US data transfer and privacy quarrel, the end is not in sight	EUと米国のデータ・プライバシー問題に終わりは見えない
Third time wasn’t the charm. After  Safe Harbour and Privacy Shield both met their maker at the hands of the EU’s Court of Justice (CJEU), a new report predicts that the US’  latest attempt to offer adequate protection to EU citizens and residents when it comes to the transfer of their data could be the next fatality.	3度目の正直はなかった セーフハーバーとプライバシー・シールドがEU司法裁判所（CJEU）の手によって終焉を迎えた後、新しい報告書は、EU市民と居住者のデータ移転に関して十分な保護を提供しようとする米国の最新の試みが、次の命取りになるかもしれないと予測している。
The report assessed the new EU-US Data Privacy Framework (DPF) based on a legal ‘fitness check’ that considers the benchmarks established by EU law and the CJEU in judgments like Schrems I and Schrems II.	報告書は、シュレムスIやシュレムスIIのような判決でEU法とCJEUによって確立された基準を考慮した法的「適合性チェック」に基づいて、新しいEU-USデータ・プライバシー枠組み（DPF）を評価している。
Any international data transfers deal between the European Commission and third states must strictly conform to EU Treaty principles, while providing persons in the EU with privacy safeguards that are essentially equivalent to those envisaged in the GDPR and the EU Charter of Fundamental Rights. This is what the US was aiming for with Executive Order (EO) 14086, which received the European Commission’s approval following an Adequacy Decision.	欧州委員会と第三国との間で結ばれる国際的なデータ移転の取引は、EU条約の原則に厳格に準拠する一方で、GDPRやEU基本権憲章で想定されているものと本質的に同等のプライバシー保護措置をEU内の個人データに提供しなければならない。これは、米国が大統領令（EO）14086で目指していたものであり、十分性認定を受けて欧州委員会の承認を得た。
However, the DPF falls short for four main reasons.	しかし、DPFは4つの主な理由で不十分である。
Firstly, it remains unclear whether it will lead to any meaningful change in the way US intelligence authorities monitor EU citizens. US surveillance instruments such as Executive Order 12333 on foreign signals intelligence information and Section 702 of the Foreign Intelligence Surveillance Act (FISA) will remain in force. These allow US authorities to collect the large-scale electronic communications of non-Americans outside the country for intelligence purposes without individual judicial review.	第一に、米国の情報当局がEU市民を監視する方法に意味のある変化をもたらすかどうかが不明確なままである。外国信号情報に関する大統領令第12333号や外国情報監視法（FISA）第702条といった米国の監視手段は、引き続き有効である。これらは、米国当局が個別の司法審査なしに、諜報目的で米国外の非米国人の大規模な電子コミュニケーションを収集することを認めている。
EO 14086 explicitly authorises bulk collection if intelligence actors are pursuing at least one of six listed ‘legitimate objectives’. These objectives are too broad and could encompass large volumes of data. The DPF is also silent on the increasing use of automated data processing and AI in the US.	EO14086は、諜報機関がリストアップされた6つの「正当な目的」のうち少なくとも1つを追求している場合、一括収集を明確に許可している。これらの目的はあまりにも広範であり、大量のデータを包含する可能性がある。DPFはまた、米国で増加する自動データ処理とAIの使用に関しても沈黙している。
Secondly, EO 14096 doesn’t adequately define crucial terms such as ‘bulk collection’. Instead, the EO opted for a definition and scope of ‘bulk collection’ that the CJEU criticised in Schrems II. Data collected for national security purposes is also subject to restrictions and safeguards in the context of international data transfers, in line with the CJEU’s data retention case law.	第二に、EO14096は「一括収集」などの重要な用語を適切に定義していない。代わりにEOは、CJEUがシュレムスIIで批判した「一括収集」の定義と範囲を選んだ。国家安全保障のために収集されたデータも、CJEUのデータ保持の判例法に従い、国際的なデータ移転における制限と保護措置の主体となっている。
Thirdly, following the Schrems judgments, EO 14086 introduces the notion of proportionality as a limit to signal intelligence collection. Yet the vast differences between how this principle is interpreted and applied in the EU and the US have gone unaddressed. Under EU law, a balancing exercise is off the table once the ‘very essence’ of a fundamental right is affected by any policy. Even though these standards are not observed stateside, the EO states that proportionality assessments will only exclusively consider US law.	第三に、シュレムス判決に続き、EO14086は、シグナル・インテリジェンス収集の制限として比例性の概念を導入している。しかし、この原則がEUと米国でどのように解釈され、どのように適用されるかの間には大きな違いがある。EU法では、基本的権利の「本質」が何らかの政策によって影響を受けると、バランスを取ることはできない。これらの標準が米国内では守られていないにもかかわらず、EOは比例アセスメントは米国法のみを考慮するとしている。
Finally, EO 14086 introduced a novel redress mechanism to provide an effective remedy, a core requirement formulated by Schrems II. However, the Data Protection Review Court (DPRC) – despite its name – doesn’t qualify as an independent judicial tribunal, which is an indispensable condition for a fair trial and the rule of law in the EU legal system. Rather, it’s an administrative body falling under the US Department of Justice and is directly accountable to the President. The so-called judges will review individual complaints in confidential, one-sided proceedings and issue decisions that cannot be appealed.	最後に、EO14086は、シュレムスIIによって定式化された中核的要件である効果的な救済を提供するために、斬新な救済メカニズムを導入した。しかし、データ保護審査裁判所（DPRC）は、その名称とは裏腹に、EU法体系における公正な裁判と法の支配に不可欠な条件である独立した司法裁判所としての資格はない。むしろ、司法省に属する行政団体であり、大統領に直接責任を負う。裁判官と呼ばれる人たちは、極秘の一方的な手続きで個々の訴えを審査し、上訴できない決定を下す。
As highlighted by former Justice Commissioner Didier Reynders to US authorities in June 2023, the legal safeguards the EU expects from third countries are not only the default at EU level but all Member States are also expected to apply them. In fact, the European Parliament has called for more effective enforcement of the EU’s data protection acquis and the rule of law concerning national intelligence authorities. Anyone on EU soil, regardless of their nationality, and whose data is transferred to the EU, is entitled to effective remedies before independent courts – even the European Court of Human Rights.	2023年6月、ディディエ・レインダース前司法委員が米国当局に対して強調したように、EUが第三国に期待する法的保護措置は、EUレベルでの既定事項であるだけでなく、すべての加盟国もそれを適用することが期待されている。実際、欧州議会はEUのデータ保護協定と国家情報当局に関する法の支配をより効果的に執行するよう求めている。EU域内にいる者であれば、国籍に関係なく、またEU域内にデータが転送された者であっても、独立した裁判所、さらには欧州人権裁判所で効果的な救済を受ける権利がある。
Nevertheless, as intelligence communities in EU Member States fall outside the scope of the Adequacy Decision and aren’t considered by the CJEU if evaluating data transfers arrangements, the Commission’s assessment must focus on whether these are ‘EU Charter-proof’. Overall, debates over transatlantic data transfer adequacy shouldn’t be a ‘beauty contest’ or a finger-pointing exercise as this could lead to a worldwide race to the bottom.	とはいえ、EU加盟国のインテリジェンス・コミュニティは、十分性認定の対象外であり、データ移転の取り決めを評価する際に欧州司法裁判所は考慮しないため、欧州委員会の評価は、これらの取り決めが「EU憲章に適合しているかどうか」に焦点を当てなければならない。全体として、大西洋を越えたデータ移転の妥当性をめぐる議論は、世界的な底辺への競争につながる可能性があるため、「美人コンテスト」や指弾合戦になるべきではない。
Despite genuine efforts from negotiators on both sides, key conditions haven’t been fully met. Until US policy lives up to these standards, the protection offered to EU persons in the US cannot yet hold merited trust. The Commission’s Adequacy Decision features crucial gaps that ultimately allowed the EU to greenlight an arrangement that doesn’t completely fulfil the EU’s constitutional requirements.	双方の交渉担当者の真摯な努力にもかかわらず、重要な条件は完全に満たされていない。米国の政策がこうした標準を満たすまでは、米国にいるEU加盟国の人々に提供される保護は、まだ信用に値するものではない。欧州委員会の十分性認定決定には、EUの憲法上の要件を完全に満たしていない協定を承認することを最終的に可能にした決定的なギャップがある。
With the DPF now up and running, we’ll have to wait and see what the CJEU says should a new case question its lawfulness. If that happens, we hope it won’t relent in its quest to ensure EU citizens and residents are subject to the same rights and remedies that they legitimately hold in the EU. This would help to finally relieve a deepening feeling that our private lives are indeed under constant surveillance.	DPFは現在稼働中であるため、その合法性を問う新たな事例が発生した場合、CJEUがどのような判断を下すかを見守る必要がある。もしそうなったとしても、EU市民と居住者がEU内で合法的に保持するのと同じ権利と救済措置に服することを保証するために、EUがその探求を緩めないことを望む。そうすれば、私たちの私生活が常に監視下に置かれているという、深まる思いをようやく和らげることができるだろう。

 

 

・[PDF] RECONSTITUTIONALISING PRIVACY - EU-US data transfers and their impact on the rule of law, rights and trust

 

・[DOCX][PDF] 仮訳

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.11 欧州委員会 安全で信頼できるEUと米国のデータフローに関する新たな十分性認定を採択

・2023.04.24 アイルランド データ保護局 GDPR第30条 取扱活動の記録についてのガイダンス

・2023.03.02 EDPB EU-米国データ・プライバシー・フレームワークにおける改善を歓迎するが、いいたいことは54ページ分ほどある(^^)

・2022.12.16 欧州委員会 米国との安全なデータの流れを確保するための適切な決定の採択に向けたプロセスを開始

・2022.10.11 米国 米国におけるシグナル・インテリジェンス活動のための安全保障の強化に関する大統領令（GDPR対応） 

・2022.03.27 米国と欧州委員会が米国ー欧州間のデータプライバシーフレームワークに合意したと発表していますね。。。

・2021.03.28 EU-USプライバシーシールドを強化するための交渉を推進 - 米国商務長官と欧州司法長官による共同記者会見

・2020.07.16 EU-USのプライバシーシールドを無効にしま〜す by EU裁判所