欧州委員会は6日、欧州司法裁判所が個人情報の移転に関するEU・米国間の取り決めである「セーフハーバー協定」を無効とする判決を下したことを受け、欧米間で事業展開する企業が合法的にEU市民の個人情報を米国に移転するための手引きを公表した。同協定の枠組みで個人情報を米国に移転している多くの企業に判決の影響が及ぶのを防ぐための措置。一方、欧州委はセーフハーバーに代わる新たな協定について米国との交渉を加速させ、3カ月以内の合意を目指す方針を明らかにした。
EUのデータ保護指令は十分なレベルの保護措置が確保されていない第3国への個人情報の移転を禁じており、日本も原則として認められていない。米国とは2000年にセーフハーバー協定を結び、商務省が十分な保護水準にあると認定した企業に対してEU内から米国へのデータ移転を認めている。しかし、米国家安全保障局(NSA)が大手IT企業を通じて大規模な情報収集活動を行っていることが暴露された「スノーデン事件」をきっかけに、EU内で協定の見直しを求める声が高まり、欧州委と商務省の間でセーフハーバーに代わる新たな枠組みについて協議が進められている。
こうした中で欧州裁は先月、セーフハーバー協定は無効との判断を示した。これはフェイスブックが欧州のユーザーの個人情報を米国内のサーバーに移転してNSAの情報収集活動を手助けしているとして、オーストリアの法学生が起こした訴えに対するもの。司法裁は判決で、実際にはセーフハーバーの枠組みより米国の安全保障や法執行機関の要請が優先されるため、米当局の情報監視によってEU市民の個人情報は十分に保護されていないと指摘し、同協定は無効と結論づけた。
欧州委がセーフハーバーに代わる新協定が発効するまでの「つなぎ」として策定した手引きによると、米国にデータ移転を行う企業は個人情報の取り扱いやセキュリティ対策などの取り組みをまとめた契約書を作成する必要がある。また、多国籍企業は個人情報の取り扱いに関する社内規定を策定し、加盟国のデータ保護機関から承認を得ることで、欧州と米国のグループ企業間で合法的に顧客や従業員の個人情報をやり取りすることができる。
