欧州委員会は2日、個人情報の移転に関するEU・米国間の取り決めである「セーフハーバー協定」に代わる新たな枠組みについて、米国と基本合意したと発表した。「プライバシーシールド」と名づけられた新協定では、EU市民の個人情報を扱う米企業に対してより厳格なプライバシー保護を義務づけるほか、米国の公的機関による個人情報へのアクセスも厳しく制限する。EU司法裁判所が昨年、従来のセーフハーバー協定は「無効」との判断を示したことで、グーグルやフェイスブックをはじめとする米ネット企業などは懸念を強めていたが、これで判決の影響による混乱はひとまず回避できる見通しとなった。
EUのデータ保護指令は十分なレベルの保護措置が確保されていない第3国への個人情報の移転を禁じており、日本への移転も原則として認められていない。米国とは2000年にセーフハーバー協定を結び、商務省が十分な保護水準にあると認定した企業に対してEU内から米国へのデータ移転を認めている。これまで同協定に基づいて、約4,400社が米国内のサーバーにEU市民の個人情報を移転してきたが、米中央情報局(CIA)の元職員エドワード・スノーデン氏が13年、米国家安全保障局(NSA)などがネット企業を通じて大規模な情報収集活動を行っていたことを暴露した「スノーデン事件」をきっかけに、EU内で協定の見直しを求める声が高まった。
欧州委と商務省の間で新たな協定の枠組みについて交渉が続くなか、EU司法裁判所は昨年10月、セーフハーバー協定は「無効」との判断を示した。これはフェイスブックが欧州のユーザーから集めた個人情報を米国内のサーバーに移転してNSAの情報収集活動を手助けしているとして、オーストリアの法学生が起こした訴えに対するもの。司法裁は判決で、実際にはセーフハーバーの規定より米国の安全保障や法執行機関の要請が優先されるため、米当局の情報監視によって「EU市民の個人情報は十分に保護されていない」と指摘し、「協定は無効」と結論づけた。
新協定によると、個人情報をEU内から米国に移転する米企業は従来より厳格なデータの取り扱いが義務づけられ、商務省が遵守状況を厳しく監督する。一方、米国の公的機関が国内に移転された個人情報にアクセスする際は、明確な保護手段とチェック体制の確保を条件とし、情報機関による「無差別な集団的監視」を禁止する。また、個人情報の取り扱いについてEU市民から照会や申立てがあった場合、企業は一定の期間内に回答しなければならない。さらに米当局による個人情報へのアクセスが疑われる場合、EU市民は新たに設置される「オンブズパーソン」に苦情を申し立てることができる。