データ・プライバシー・フレームワークは単なる「プライバシー・シールドのコピー」であり、失敗しなければならない。

EUと米国、新たなデータ共有法で合意:データ・プライバシー・フレームワーク問題:米国の監視体制は変わらず、EU市民のデータは危険にさらされている。

再挑戦EUとアメリカの間で結ばれたいくつかのデータ保護協定がすでに失敗に終わった後、彼らは今、データ・プライバシー枠組みで再挑戦を試みている。しかし、データ共有協定の根底にある問題である米国の監視は、その間も奇跡的に解消されたわけではない。


データ・プライバシー・フレームワーク批判

データ・プライバシー・フレームワークは、著名なデータプライバシー活動家マックス・シュレムスによれば、プライバシー・シールドの単なるコピーである。

問題は、アメリカのシークレットサービスが、EU市民のデータも含むデータをアメリカのテック企業に簡単に要求できることだ。しかし、このデータは欧州GDPRによって過剰な監視行為から保護されるべきである。したがって、EU市民のデータを米国に送り、そこに保管することは違法である。

データ・プライバシー・フレームワークによって、EUは現在、米国の諜報機関からの保護で十分だと考えているにすぎない。

もちろん、これには激しい批判がある。

フェイスブックがEU市民のデータを米国に保管し続けているとしてフェイスブックを訴えた弁護士のマックス・シュレムスは、『シュピーゲル』紙にこう語っている:

「狂気の定義は、同じことを何度も繰り返しながら、違う結果を期待することだと言われる。(中略)私たちは今、“ハーバー”、 “アンブレラ”、 “シールド”、“フレームワーク”を手に入れた。「現在の報道声明は、23年前のものをほぼ一言一句コピーしたものである。米国の監視法には変化が必要だったが、それは存在しない」。

データ・プライバシー・フレームワークで新しいのは、米国の監視に関するEUの定義だけである:EU委員会は、米国のデータ保護がEUの保護レベルと同等であると宣言した。そうすることで、EU当局は、EU市民のデータをアメリカに送りたい企業にとって、新たな法的根拠を作り出そうとしている。

ECJが2020年に欧米データ協定「プライバシー・シールド」を違法と宣言して以来、法的状況は不透明だった。データ・プライバシー・フレームワークによって、大西洋の両岸の企業は再びデータを共有するための法的根拠を得ることになった。

ECJへの提訴

しかし、NOYBはすでに、この法律を欧州司法裁判所に提訴すると発表している。

「EUと米国間のデータ移転に関する安定的な合意に向けた欧州委員会の3度目の試みは、数カ月後に再び欧州司法裁判所(ECJ)に持ち込まれることになる。新しい」はずの大西洋横断データ保護協定は、大部分が失敗に終わった「プライバシー・シールド」協定のコピーである。欧州委員会の主張とは裏腹に、米国の法律はほとんど変わらない。FISA702の根本的な問題は米国によって解決されていないため、従来通り、米国人だけが憲法上の権利を持ち、令状なしの監視を受けることはできない。

この批判こそが、プライバシー・シールドの無効化につながった。したがって、データ・プライバシー活動家は、新法も成立しないと批判している。

データ・プライバシー・フレームワークは、プライバシー・シールドと同様に欧州市民の個人データに対する監視リスクをもたらす。

EU市民のデータ保護をより良くするための判断を得るためには、この件が法廷に持ち込まれるまで待つ必要がある。

データ・プライバシー・フレームワークが批判される理由

データ・プライバシー・フレームワークは、悪名高いプライバシー・シールド(セーフハーバーの枠組みを踏襲したもの)に続く、欧州連合(EU)と米国(US)の間の協定であり、EUから米国への、主にフェイスブックやグーグルのような米国企業による個人データの移転を規制することを目的としている。これは、米国企業が一定のプライバシー基準を満たし、個人データに対して適切な保護を提供することを保証するためのものである。

しかし、データ・プライバシー・フレームワークは大きな批判に直面しており、最終的にはプライバシー・シールドと同様の運命をたどることになるだろう。批判されている要因はいくつかある:

  1. 米国の監視に対する不十分な保護:問題は(プライバシー・シールドと同様に)、国家安全保障局の大規模な監視活動など、米国の監視プログラムがEUのプライバシー基準に合致していないことである。デート・プライバシー・フレームワークは、このような慣行に対して十分なセーフガードを提供しないため、EU法と両立しない。
  2. EUの個人に対する救済措置の欠如:データ・プライバシー・フレームワークは、米国企業によって個人データが誤って取り扱われる可能性のあるEU個人に対して、効果的な救済策や法的手段を提供しない。
  3. 不十分な監督と執行:批評家は、データ・プライバシー枠組みには効果的な監督と執行のメカニズムが欠けていると主張している。コンプライアンスを確保する責任は主に米国当局にあり、米国当局は何千もの参加企業を適切に監視する能力が不十分であると見られている。
  4. 米国当局によるデータアクセスに関する未解決の懸念:この協定は、米国政府による国家安全保障目的の個人データへのアクセスという広範な問題に対処していない。プライバシー・シールドでは、ECJの判決により、米国の情報機関によるアクセスや監視のやり方は比例的でも限定的でもないことが強調され、EU市民のプライバシー権の保護に懸念が生じた。

データ・プライバシー・フレームワークに関する主な批判は、米国に移転される個人データに対して適切なレベルの保護が提供されていないというものである。

暗号化でデータを保護する

違法な大量監視からデータを守る最善の方法は、可能な限りデータを暗号化することだ。

幸いなことに、特にヨーロッパには、データ保護と暗号化に重点を置き、監視されるリスクなしに安全かつ個人的にオンライン・コミュニケーションを可能にする、プライバシーを第一に考えたサービスがたくさんあります。