MetaにEUのプライバシー規制当局が米国への個人データ転送に関する新たな予備決定を送付
今回は「MetaにEUのプライバシー規制当局が米国への個人データ転送に関する新たな予備決定を送付」についてご紹介します。
関連ワード (不確実性、両方、米国間等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
TechCrunchが得た情報によると、Facebook(フェイスブック)は、EUのプライバシー規制当局から、ユーザーデータを引き続き米国へ転送できるかどうかに影響を与える「修正された」予備的決定案を受け取ったという。
「Meta(メタ、旧Facebook)には28日以内にこの予備的決定に対する意見を提出する権限が与えられており、その時点で他の関係監督機関向けに第60条の決定案を作成する予定です。これは4月中に行われると予想しています」と、アイルランドのデータ保護委員会(DPC)のGraham Doyle(グレアム・ドイル)副委員長は筆者に語った。
ドイル氏は、予備決定の内容については詳細を語らなかった。
しかし、2020年9月に関係者の発言を引用した当時のWall Street Journalの報道によれば、DPCは、Facebookにデータ移転の停止を指示する仮命令を出している。
最近そのデータマイニング帝国の名称を(Facebookから)変更したMetaは、投資家との電話会談で、EU-US間のデータ転送には継続的なリスクがあることを警告している。
同社は直ちに先のDPCの仮命令に異議を唱えようともしたが、2021年5月にアイルランド高等裁判所がDPCのやり方に対する異議を棄却する判決を下したため、この法的手段は頓挫していた。
欧州のデータ保護法と米国の監視権限との衝突を争点とするこの訴訟では、同社にデータ転送の一時停止を指示した先の仮命令以降、規制当局が今回は異なる結論を出すことになるような、事実関係に重大な変化があったかどうかは不明だ。
さらに、ここ数カ月の間に、欧州の他のデータ保護機関は、Google Analytics(グーグル・アナリティクス)など、米国へ個人データの転送を行う他の米国のサービスに対して「違法」との決定を下しており、少なくとも一般的な観点からは、DPCがMetaに対して最終的な決定を下す方向へ圧力が高まっている。
この規制当局はまた、当初の申し立て人であるMax Schrems(マックス・シュレムス)氏による手続き上の課題にも直面している。同氏は2021年1月に、長年の申し立てを速やかに最終決定するという合意を引き出している。つまり、もう1つの準期限があるということだ。
関連記事:フェイスブックのEU米国間データ転送問題の決着が近い
この合意条件に基づき、DPCはシュレムス氏が(並行して)「自らの意思」で行う手続きでも審理を受けることに合意した。これはシュレムス氏の最初の(2013年の)苦情に関する調査に加えて開始されたもので、現在はMetaに出されたこの新しい予備的決定を通して進められている。
シュレムス氏は、DPCから決定書が送られてきたことを認めたものの、それ以上のコメントはしなかった。
(さらにややこしいことに、2021年11月には、シュレムス氏が設立したプライバシー擁護団体が、他の苦情草案の公表を阻止しようとしたことに関連して、DPCが「手続き上の脅迫」を行ったとして、この規制当局に対して刑事上の汚職の訴えを起こしている……)
Metaにデータ転送の停止を命じる可能性のある最終的な決定が下されるまで、この数年にわたるデータ転送問題が、具体的にあとどれくらい続きそうであるかは、依然として不明だ。
しかし、もはや数年というよりは数カ月に近いはずだ。
第60条のプロセスには、利害関係のある他のデータ保護機関も加わることになる。これらの機関は、主導する機関の決定案に対して、まず1カ月の期間内に理由のある異議を唱えることができる。ただし、延長も可能だ。仮決定に対してデータ保護当局間で大きな意見の相違があった場合には、最終的な決定を下すプロセスに数カ月を要することになり、最後には欧州データ保護委員会が介入して最終的な決定を下すことになるかもしれない。
これらはまだ先の話だ。今のところ、ボールはMetaのコートに戻り、同社の弁護士がどんな新しい言い訳を思いつくか、見守る段階となっている。
この最新の進展についてMetaにコメントを求めたところ、同社の広報担当者は、次のように筆者に返答した。
「これは最終決定ではなく、アイルランドデータ保護委員会はさらなる法的提出を求めています。データ転送の一時停止は、当社のサービスを利用しているEU域内の何百万人もの人々、慈善団体、企業だけでなく、グローバルなサービスを提供するためにEU-US間のデータ転送に依存している他の何千もの企業にも損害を与えることになります。人々、企業、経済のつながりを維持するためには、EU-US間のデータ転送における長期的な解決策が必要です」。
この終わりの見えない物語には、もう1つ別の動きがある。それは、欧州委員会と米国の間で、無効となった「プライバシーシールド」に代わるデータ移転の取り決めについての交渉が続いていることだ。
ここ数カ月、FacebookとGoogleは、大西洋をまたぐ新たなデータ転送協定の合意を公に求めており、米国の数多くのクラウドサービス(少なくとも、個人データへの明確なアクセスを自ら放棄しないサービス)が直面している法的な不確実性を高レベルで修正するよう訴えている。
しかし欧州委員会は、今回は「迅速な解決」はないと以前から警告しており、欧州司法裁判所が2020年7月にプライバシーシールドを無効とする判決で指摘したすべての問題が解決された場合にのみ、代替案が可能になると述べている(これは、欧州の人々に合法的かつ簡単に利用可能な救済手段を提供すること、そしてインターネット通信の一括傍受に頼る米国の過度な監視力に対処することの両方を意味する)。
要するに、プライバシーシールド3.0の実現は、難しい注文のように思われる。Metaの通常時の要求のような、すぐにできる注文でないことは確かだ。同社の主任ロビイストであるNick Clegg(ニック・クレッグ)氏は、確かに難しい仕事を抱えている。
画像クレジット:Muhammed Selim Korkutata/Anadolu Agency / Getty Images (Image has been modified)
【原文】
Facebook has received a “revised” preliminary decision from its lead EU privacy regulator with implications for its ability to continue to export user data to the US, TechCrunch has learned.
“Meta has 28 days to make submissions on this preliminary decision at which point we will prepare a draft Article 60 decision for other Concerned Supervisory Authorities (CSAs). I’d anticipate that this will happen in April,” a deputy commissioner at the Irish Data Protection Commission (DPC), Graham Doyle, told us.
Doyle declined to detail the contents of the preliminary decision.
However, back in September 2020, the DPC sent a preliminary order telling Facebook to suspend data transfers, per a Wall Street Journal report at the time, citing people familiar with the matter.
Meta, as the tech giant has recently rebranded its data-mining empire, has been flagging the ongoing risk to its EU-US data transfers in calls with investors.
It also immediately sought to challenge the DPC’s earlier draft order in the courts — but that legal avenue ran out of road in May last year when the Irish High Court issued a ruling dismissing the challenge to the DPC procedures.
It’s not clear there has been any material change to the facts of the case — which hinges on the clash between European data protection law and US surveillance powers — since the earlier draft order telling the company to suspend transfers that would lead the regulator to arrive at a different conclusion now, regardless of what Meta submits at this next stage.
Moreover, in recent months, other European data protection agencies have been issuing decisions against other US services that involve the transfers of personal data to the US — such as Google Analytics — which is, from an optics perspective at least, amping up the pressure on the DPC to finalize a decision against Meta.
The regulator also faced a procedural challenge by the original complainant, Max Schrems, who extracted an agreement from it, in January 2021, that it would swiftly finalize the long-standing complaint — so that’s another quasi deadline in play.
Under the terms of that settlement, the DPC agreed Schrems would also be heard in its (parallel) “own volition” procedure — which it opened in addition to its complaint-based enquiry related to his original (2013) complaint, and which is now moving forward via this new preliminary decision issued to Meta.
Schrems confirmed he has been sent the decision by the DPC — but made no further comment.
(For yet more twists, back in November, the privacy advocacy group founded by Schrems filed a complaint of criminal corruption against the DPC — accusing the regulator of “procedural blackmail” in relation to attempts to prevent publication of other draft complaints… )
It’s still not clear how long exactly this multi-year data transfer saga could drag on before a final decision hits Meta — potentially ordering it to suspend transfers.
But it should be closer to months than years, now.
The Article 60 process loops in other interested data protection agencies — who have the ability to make reasoned objections to a draft decision by a lead authority within, initially, a month timeframe. Although there can be extensions. And if there is major disagreement between DPAs over a preliminary decision it can add months to the final decision-making process — and could ultimately require the European Data Protection Board to step in and push a final decision.
All that’s still to come; for now the ball is back in Meta’s court to see what fresh blather its lawyers can come up with.
The tech giant was contacted for comment on the latest development and in a statement a Meta spokesperson told us:
“This is not a final decision and the IDPC have asked for further legal submissions. Suspending data transfers would be damaging not only to the millions of people, charities, and businesses in the EU who use our services, but also to thousands of other companies who rely on EU-US data transfers to provide a global service. A long-term solution on EU-US data transfers is needed to keep people, businesses and economies connected.”
There is another moving piece to this apparently neverending story — as negotiations between the European Commission and the US on a replacement to the defunct Privacy Shield data transfer arrangement remain ongoing.
In recent months, Facebook and Google have been making public calls for a new transatlantic data transfer deal to be agreed — urging a high level fix for the legal uncertainty now facing scores of US cloud services (or at least those that refuse to give up their own access to people’s data-in-the-clear).
However the Commission has previously warned there will be no ‘quick fix’ this time — saying back in 2020 that a replacement would only be possible if all the issues identified by the European Court of Justice in its July ruling which invalidated Privacy Shield can be resolved (which means both a legal and accessible means of redress for Europeans and tackling disproportionate US surveillance powers which rely on bulk intercepts of Internet communications).
So, in short, Privacy Shield 3.0 looks like a tall order — certainly in the kind of short order that Meta’s business-as-usual demands… So chief lobbyist, Nick Clegg, certainly has his work cut out!
(文:Natasha Lomas、翻訳:Hirokazu Kusakabe)