欧州連合(EU)の欧州議会は、米国企業が欧州市民の個人データを欧州域外に持ち出せる法的枠組みである「プライバシーシールド」について、米国が2018年9月1日までに順守できない場合、「個人情報の保護が不十分だ」として停止するよう決議した。停止されれば米IT企業などに大きな影響を与える。

図 欧州議会の報道発表
(出所:欧州議会)
[画像のクリックで拡大表示]

 EUは2018年5月に適用を開始した一般データ保護規則(GDPR)によって欧州域外への個人データの持ち出しを原則禁止する一方、例外的に米国企業にはプライバシーシールドという枠組みで域外へのデータ移転を認めている。プライバシーシールドは2016年8月に発効し、米国企業に対する法執行や米国政府に対する規制、EU市民の権利保護を強化した。

 米国企業はEUのプライバシー原則を順守すると自己申告して米商務省に登録すれば個人データを持ち出せる。グーグルやマイクロソフト、フェイスブックなどの2400社を超える企業が登録している。プライバシーシールドが停止した場合、米国企業は標準データ保護条項(SDPC)や拘束的企業準則(BCR)といった契約を個別に結ぶ必要に迫られる。

10月の年次報告が鍵に

 欧州議会は加盟国から直接選挙で選出された議員で構成され、加盟国政府の閣僚で構成する意思決定機関「EU理事会」と共同で立法を行う。EU市民約5億人を代表する世界で最も影響力が大きい立法機関の1つとされる。EUの行政執行を担う欧州委員会が提出する予算案に対して拒否権を持つなど、EUの政策立案にも大きな影響力がある。

 欧州議会がプライバシーシールドの枠組みを停止すると決議したのは2018年7月5日。フェイスブックと英国のデータ分析会社ケンブリッジ・アナリティカ(CA)が個人データを不正利用したという疑惑が2018年3月に明らかになったためだ。

 CAはFacebookユーザーの個人データ8700万人分を不正に入手してデータ解析に使い、政治広告を通じて2016年の米大統領選で投票行動に影響を与えたとされる。フェイスブックとCAの両社はプライバシーシールドの登録企業だ。

 欧州議会は決議のなかで「個人データが政治的意見や投票行動の操作に不正利用されれば民主的プロセスに脅威を与える可能性がある」と懸念を表明。2018年3月に成立した米クラウド法にも懸念を示している。クラウド法は米国と海外の法執行機関が国境を越えた個人データにアクセスできる法的枠組みを作るものだ。

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら