米国の誤算は、スノーデン事件とセーフハーバー違憲判決
本連載の第5回において、EUは独自の基準に照らしてパーソナルデータの保護が十分でないと判断される国へのデータ移転を原則的に認めない「データの越境移転規制」を設けていることを紹介した。日本は保護が十分であるとはEUから認められておらず、この結果、EUからパーソナルデータを日本に移転するためには、企業は特別の契約*2を、EU構成国の個人情報保護の監督機関と交わさなければならない状況にあり、大きな負担となっている。
一方、米国にだけは、これまで「セーフハーバー協定」という特別なEUとの取り決めがあり、米国に所在する企業であれば、米国商務省の提供する認証プログラムに参加することによって、比較的小さな負担で、EUからパーソナルデータを持ち出すことが認められてきた。セーフハーバー認証プログラムへの参加は、セーフハーバー協定で定められた原則を遵守すると自社のプライバシーポリシーで宣言し、米国商務省のウェブサイトに掲載される手続をとることで実現できた。
セーフハーバー協定は1995年に発行されたEUデータ保護指令を受け、米国が欧州との通商を確保するために、2000年までの間に、米国商務省が欧州委員会との長い交渉を経て実現したものである*3。妥協の産物と呼ばれたものの、自主規制を基調とする米国の個人情報保護制度に適合しており、近年はプログラムに参加する企業が4000社を超えるなど、米国にとって、核心的利益と言えるほどの重要な意義を持っていた。
しかし、2013年に生じたスノーデン事件によって、米国政府機関による大量の無差別アクセスの実態が明らかとなり、この状況が一変する。もともと欧州委員会は、米国企業の透明性や苦情対応、米国政府による企業の監督が不十分であるという理由でセーフハーバー認証プログラムに不満を持っていたところ、この事件によって、プログラムの見直し作業が本格化する。そして、2015年10月の欧州司法裁判所が下したセーフハーバー違憲判決が決定打となり、セーフハーバー認証プログラムは打ち切られ、新たな認証の仕組みを模索することとなった。
