シュレムスII、5年後の現状

わずか3時間でルールを塗り替えた判決

2020年7月16日、ルクセンブルク時間の午前10時15分頃、欧州連合司法裁判所（CJEU）は事件C-311/18の判決を公表しました。その後3時間足らずで、欧州から米国への日常的な個人データ移転を支えていた法的枠組み、いわゆるプライバシー・シールド（公式名称：Privacy Shield）は消滅しました。その日の昼食を終える頃には、欧州のデータ保護責任者がそれまで依拠していた企業や行政の運用枠組みは、もはや機能しなくなっていたのです。

この判決は、Facebook Irelandに対する申し立てを行ったオーストリアの活動家マクシミリアン・シュレムスの名にちなみ、今日「シュレムスII」として知られています。この申し立ては、具体的にはFacebook IrelandとFacebook米国間の移転に関するものでした。しかし、判決の及ぶ範囲はそれをはるかに超え、欧州域内で収集されたあらゆる個人データがどのような条件で米国へ渡ることができるかを規定しています。

約6年が経過し、代替の枠組みである「EU-USデータ・プライバシー・フレームワーク」が2023年7月に採択されましたが、これもまた法的圧力を受けています。新たな「シュレムス・ラウンド」が準備されています。その一方で、欧州の中小企業は日常業務で米国のクラウドサービスを使い続けており、それらのサービスが依拠する法的基盤がいまだ未解決であることを、多くの場合知る由もありません。

シュレムスIIの正確な内容

判決は3つの要素に基づいています。第1は、欧州連合基本権憲章、特に第7条（私生活および家族生活）、第8条（個人データの保護）、第47条（実効的な救済手段）です。第2は、GDPR（欧州の多くの人々がクッキー通知でのみ記憶している一般データ保護規則）で、特に国際移転に関する第5章（第44条から第50条）です。第3は、米国の情報機関関連法、すなわち外国情報監視法第702条（法務用語でFISA 702）および大統領令12333です。

裁判所は対比によって審理を進めました。基本権憲章は、欧州市民の個人データが連合外へ移転される際、GDPRによって保証されているものと「本質的に同等」な保護レベルを享受することを要求しています。したがって、問題は米国がその本質的に同等なレベルを提供しているかどうかでした。

回答は否定的でした。しかも、それは単なる細かな差異によるものではありません。FISA 702は、米国政府に対し、個別的な司法許可なしに、対象者への通知なしに、かつ欧州と同等の実効的な救済手段なしに、国外に居住する非米国人の通信を収集することを許可しています。大統領令12333は、同様の能力を国外でも拡大させています。裁判所は、欧州市民は米国の法体系において、憲章が要求する本質的に同等な保護を享受できないと結論付けました。したがって、同等性は存在しないのです。

その直接的な結果として、プライバシー・シールドを適切な移転枠組みとして認めていた欧州委員会の決定2016/1250は無効と宣言されました。その枠組みのみに基づいたすべての移転は、その瞬間から法的根拠を失いました。

生き残ったもの（およびその条件）

シュレムスIIはすべての手段を排除したわけではありません。標準契約条項（国際用語でSCC：Standard Contractual Clauses）は生き残りました。これは欧州委員会が承認したモデル契約であり、欧州の輸出者と仕向国の輸入者が、欧州の基準に従ってデータを処理することを約束して署名するものです。2020年7月17日に、SCCをプロバイダーと締結して問題を解決したと考え、満足した企業もありました。

不安は、判決をじっくり読み解くことで生じました。裁判所は、SCCが引き続き有効であることを明確にしましたが、その有効性は一つの条件にかかっていることを強調しました。それは「データの輸入者が実際にそれを遵守できること」です。もし仕向国の国内法（例えばFISA 702に基づく命令が、欧州側に通知せずにデータを引き渡すことを強制する場合など）が条項の遵守を妨げるのであれば、その条項は実際には保護機能を果たしません。その場合、裁判所は、欧州の輸出者は移転を停止しなければならないと述べています。

これにより、欧州のデータ保護実務に新たな対象が導入されました。移転影響評価、いわゆるTIA（Transfer Impact Assessment）です。欧州企業がSCCに基づいて米国にデータを移転するたびに、適用される法律に照らして受領者が条項を遵守できるかどうかを正式に評価しなければなりません。欧州データ保護会議（EDPB）は、TIAの実施方法に関する詳細なガイドラインを公表しました。誠実に実務を行えば、通常は同じ結果に行き着きます。輸入者が大手クラウド企業の米国子会社である場合、TIAに対する率直な回答は「条項は書かれている通りには遵守できない」となります。

プライバシー・フレームワークと保留中のシュレムスIII

2023年7月10日、欧州委員会は新たな十分性認定2023/1795を採択しました。これは廃止されたプライバシー・シールドに代わるもので、「EU-USデータ・プライバシー・フレームワーク」の名で運用されています。米国はこれに先立ち、大統領令14086によって国内制度を修正しました。これにより、シグナル・インテリジェンス（信号情報収集）の範囲を、欧州の読者には馴染み深く、米国の行政実務には必ずしもそうではない「必要かつ均衡」な範囲に限定し、データ保護審査裁判所（DPRC）と呼ばれる再審査機関を創設しました。欧州委員会は、これらの修正が本質的に同等なレベルを回復させるのに十分であると判断しました。

シュレムスが設立した組織noybは、2023年9月7日、新たな決定に対して申し立てを行いました。議論の内容は予想通りです。DPRCは憲章第47条が意味する独立した裁判所ではないこと、「必要かつ均衡」という概念は欧州の基準を機械的に翻訳したものではないこと、そして最終的に、大統領令に基づく保護は次の大統領令によって取り消される可能性があることです。新たな決定に対するCJEUの判決（多くの人が諦めを込めて「シュレムスIII」と呼んでいるもの）は、数年以内に出る見通しです。結果は予測できませんが、議論の構造は2020年のものと酷似しています。

欧州の中小企業の耳に届かないこと

CJEUの大法廷が審議を続けている間も、中規模の法律事務所は、FISA 702の対象である米国企業が所有する欧州リージョンのMicrosoft 365を通じて顧客と連絡を取り続けています。個人経営の診療所はGoogle Workspaceでスケジュールを同期し、税理士はDocuSignで署名済みの申告書を送り、心理学者はNotionのスプレッドシートで請求を行い、労働弁護士はDropboxに事件記録を保管しています。そして、ほぼ全員がWhatsAppで顧客に対応しています。プロバイダーによれば、これらすべては十分性認定2023/1795の下で運用可能です。しかし、シュレムスIIIでその認定が無効になる日は、これらすべての関係が瞬時に保護を失う日となります。

これは修辞的な問題ではありません。2022年から2024年にかけて、欧州の複数の当局は、プライバシー・フレームワークの発効前であっても、CJEUの論理を逐一適用し、適切な移転手段なしにGoogle Analyticsを使用した管理者に対して処分を下しました。フランスの当局であるCNILが2022年に最初に基準を公式化し、オーストリア、イタリアなどの当局がそれに続きました。欧州の中小企業の現在の運用設計における不備は、見るべき人が見ればリアルタイムで記録されています。

儀式ではなくツールとしてのTIA

欧州の事務所で流通しているTIAの多くは、注意深く読めば形式的な演習にすぎません。契約手段を並べ、プロバイダーの認証を列挙し、技術的な保証を引用してチェックボックスを埋めるだけです。FISA 702の命令がプロバイダーにデータの引き渡しを強制するかどうかを真剣に問うものはほとんどありません。プライバシー・フレームワークが仮に修正された場合にその移転がどうなるかを問うものはさらに少数です。GDPR第5条は、管理者に遵守を証明できることを要求しています。真剣に行われないTIAは何の証明にもなりません。それは、実際には逆のことを行いながら、書面上だけ遵守しようとする意思を示しているにすぎないのです。

TIAの誠実なバージョンは、単純な問いから始まります。「明日、このプロバイダーにこの特定のデータに関するFISA 702の命令が届いたらどうなるか？」もし率直な答えが「私たちに知らせることなくデータを引き渡さなければならない」であるならば、契約条項は問題を解決しません。この問いが真に重要となるケースにおいて問題を解決するのは、そのプロバイダーの手にデータを委ねないことだけです。

構造的リスクとしての政治的変化

さらに、劇的にならない程度に言及しておくべき政治的な層があります。十分性認定2023/1795は、究極的には2022年10月にバイデン大統領が署名した大統領令14086に基づいています。大統領令は大統領が署名するものであり、次期大統領が取り消し、変更し、または内容を空洞化させることができます。このように、米国における欧州データの保護は、米国議会が保証するものでも、米国の法体系が他の国内事項と同等の強固さで保護するものでもない行政判断に依存しています。2025年1月から新たな政権が米国を統治しており、大統領令14086の実質的な継続性に関する問いは、もはや仮説ではなく、現代的な課題となっています。政権がこの命令を撤回または緩和することを決定するいかなるシナリオも、欧州の決定をその土台から崩壊させることになります。

これは陰謀論ではありません。法設計を冷静に読み解いた結果です。大西洋間のデータ保護の枠組みは、これまでに2回崩壊しています。2015年のセーフハーバー（シュレムスI判決）と2020年のプライバシー・シールド（シュレムスII）です。3番目の枠組みは、前2者よりもさらに脆弱な土台の上に成り立っています。今日、その土台にデータ処理を賭けている欧州企業は、単なる法令遵守ではなく、リスク管理上の判断を行っているのです。

プロフェッショナルな読者のために

プロフェッショナルなデータのためにクラウドサービスを選択する前に自問すべき運用の問い（データ保護検査官が提示するような厳格なもの）は以下の通りです。

1. データは物理的にどこに保存されていますか？オペレーターが米国企業である場合、欧州リージョンであるというだけでは十分な回答になりません。
2. 誰がサービスを運営し、どの管轄区域に法人化されており、どのような法的命令に従う義務がありますか？
3. どのような移転手段が引用されていますか：2023/1795十分性認定、TIAを伴うSCC、GDPR第49条の逸脱規定？その選択は検査の際に正当化できますか？
4. 十分性認定が明日無効になった場合、事業を継続するためのどのような運用計画がありますか？
5. その機能に代わる欧州製またはセルフホストの選択肢はありますか？また、移行にかかる実際のコストはどれくらいですか？

日常業務のすべての機能が同じ回答を必要とするわけではありません。内部会計用のスプレッドシートであれば、おそらくこのレベルの問いは必要ないでしょう。しかし、顧客の刑事事件記録、診療記録、従業員の給与明細などは別です。比例性は正当なものですが、欧州の中小企業が最も機密性の高いものに至るまで、あらゆるものを米国のプロバイダーに依存し続けてきた集団的慣性は、正当とは言えません。

---

シュレムスII判決から、この7月で6年が経過します。この判決は、大多数の欧州企業の日常的な習慣を変えたわけではありません。しかし、それらの企業がさらされているリスクの地図は確実に変えました。米国の行政判断が欧州の規則と中小企業の実際の運用の間に介在するとき、少なくともその判断が存在し、かつ脆弱であることを知っておくべきです。Cuadernos Lacre（封蝋ノート）を貫く糸である、介在者のいないアーキテクチャを選択した私たちは、シュレムスが異議を申し立てるたびにこのような分析を書かずに済むことを願っています。しかし、私たちはこれからも書き続けるでしょう。