EU司法裁判所、個人情報の移転に驚きの判決

2015年10月19日

EU司法裁判所は先日、セーフハーバー協定を無効とする判決を下しました。この協定では、「十分なレベル」のプライバシー保護が保証されていれば、米国企業はEU市民の個人情報を米国内に保存、移転することが認められています。この判決のニュースには良い面と悪い面があります。
no-safe-harbor-featured

良い面は、今回の判決で、人々がプライバシーに強い関心を持ち、個人情報の重要性を認識していることが示された点です。しかも、一部には個人情報の権利をめぐって最高裁判所に持ち込む構えを見せる人もいます。「スノーデン後」の今、このような動きは驚くことではありません。諜報機関が人々のプライバシーを絶えず侵害しているのは、今では疑う余地のない事実です。その意味で、保護レベルは「まったくもって不適切」と言えます。

そんなわけで、今回の判決で訴訟が終了したわけではありません。むしろ始まったばかりです。アイルランド当局(FacebookのEU本社がダブリンにあるため、この訴訟はアイルランドで起こされました)は、これから訴状を審査し、「個人情報に対する十分な保護レベルが提供されていない」ため、「EUのFacebook利用者のデータを米国に移すことを停止する」かどうかを決定しなければなりません。

さらに特筆すべきは、EU司法裁判所の判決は最終判決であり、上訴できないことです。

今回、データのプライバシーに関してEUがとった措置は初めてではありません。ロシア連邦は2015年2月、2015年9月1日以降、ロシア国民の個人情報をロシア国内に保存することを求める法案を可決しました。EUとは異なり、米国との間にセーフハーバー相当の協定がないことから、裁判所の判断は不要でした。

今回のように法案が即時可決されるロシアではよくあることで、施行期日は2016年1月に延長されました。ロシアで活動する企業が短期間で利用者の個人情報を移行するのは不可能だからです。Facebookなど一部の企業は、大金をかけて現地にデータセンターを建てるよりは新しい法律を無視し、(ほどほどの)罰金を支払う方を選ぶ可能性があります。

問題は、「あそこに駐車するのは安全じゃなさそうだから、うちの私道だけに停めることにしよう」といった具合に、データを実体のあるものとして捉えていることです。ですが、データはデータであって、そもそも実体のない存在です。データにアクセスする、移動する、コピーするのは簡単です。本当に難しいのは、データが流れる地理的な場所を完全にコントロールすることです。

Google、Facebook、VISA、MasterCardといった大企業は、世界中にデータセンターを設置していますが、自社の利用者情報が実際どこに保存されているかなど気にしていません。そもそもインターネットは、一瞬でどんなデータにもアクセスできる世界です。どの国かは関係ありません。

上記のような大企業にとって、データを整理し、どのデータをどこに保存すべきかを把握するにはそれなりの時間がかかるでしょう。つまり、悪い面は、時代遅れの人たちが物理的な世界に存在するモノと同じように、昔ながらの方法で情報を扱おうとしている点です。こういう人は、本来国境がなく、無限の空間が広がる仮想世界に壁を作ろうとしているのです。

これでは、問題の解決になりません。誰もがそのことに気付くまで、IT企業は政府の勧告に従うべく膨大な予算と労力を費やすことになるでしょう。その手始めが、EUとロシアです。その後、血の匂いを嗅ぎつけた他国の政府もIT企業の拷問に乗り出すでしょう。成り行きを見守るしかありません。

前述の車のたとえに戻りますが、真の課題はどこに駐車するかではありません。本当に問題とすべきは、ドアロックの安全強度はどれくらいか、車を盗むのは違法か、車泥棒にはどう対処するのか、といった事柄です。そして、何よりも重要な問いは、「みんなが『私の』車の鍵を持っているのは、一体どういうわけ?」でしょう。