個人データの移行は？ セーフハーバー協定から再考するビッグデータの保管：ビッグデータ利活用と問題解決のいま（1/3 ページ）

EUから米国への個人データ移転に大きく影響する判決が下されたが、このことは企業が個人などに係るビッグデータの取り扱いにも多大な影響を与えることになりそうだ。

[笹原英司，ITmedia]

　2015年10月6日、欧州連合（EU）司法裁判所が「EUから米国への個人データ移転に関するセーフハーバー協定は無効」との判断を下した（関連記事）。今回はガバナンスやポリシーの観点から、クラウド化・グローバル化が進むビッグデータストレージの保管への影響を考える。

デジタル化と個人保護の間で揺れるセーフハーバー協定

　本連載の第25回で「EU個人データ保護規則」策定に向けた動きを取り上げたが、今回はEUのデジタル化推進政策と個人データ保護政策のバランスの観点から、その後の動向を紹介する。

　欧米間では2013年11月に欧州委員会が公表した「EU-米国間のデータ流通における信頼の再構築」（関連PDF）に基づき、セーフハーバー協定交渉と同時並行で、犯罪・テロ捜査に係る個人データ保護の協議が行われていた。2015年9月、欧州委員会は、EU-米国間の個人データ保護に係る包括的合意をめぐる交渉が妥結したと発表した（関連リリース）。

包括的合意を発表したEUと米国の担当者（欧州委員会の報道資料より）

　合意書は、EU加盟国市民がプライバシー権を侵害されたとみなした場合、米国の裁判所に提訴することを認める法律を米国政府が制定することを条件として、以下のような措置を挙げている。

• 犯罪行為の防止、捜査、訴追を目的としたデータの共有を制限する
• 米国やEU加盟諸国による共有データの第三国への移転を制限する
• 米国は個人データを内密に保持する場合、その期間を公表しなければならず、恒久的に持ち続けることはできない
• データ侵害によって個人情報が流出した場合に備え、EUと米国が対処の仕組みを設ける

　このように、犯罪・テロ捜査を目的とした場合については、個人データの生成から廃棄に至るまでのライフサイクル管理を厳格化する方向で、欧米間の調整が進んでいる。

　他方でビッグデータやIoTの観点からは、2015年9月に欧州議会の市民的自由・司法・内務（LIBE）委員会が「ビッグデータおよびスマートデバイスとそれらがプライバシーに及ぼす影響」と題する報告書を公表している（関連PDF）。

　この報告書は、EUにおける「個人データ保護規則」と域内デジタルマーケットの障壁撤廃を目指す「デジタル単一市場戦略」とのバランスに着目して、ビッグデータやスマートデバイス／IoTの動向を分析した点が特徴だ。供給の増加やサービスの効率化、気候変動や健康状態、病気の流行のモニタリング、政府の不正や無駄の防止など、ビッグデータやIoTがもたらすメリットの重要性を挙げる一方で、個人のプライバシーに係る権利が脅かされるリスクを指摘している。

　「EUデータ保護規則」に関しては、ビッグデータ／IoTがプライバシー／個人データ保護にもたらす脅威の見直しとともに、国境を越えたデータ移転、クラウド環境上でのコンフリクトなど、ビッグデータ／IoTとクラウドコンピューティングの相互連携に伴う課題について言及している。

　このように、デジタル化推進政策と個人データ保護政策の間のバランスが揺れ動く中で、EU-米国間のセーフハーバー協定を無効とする判断が下されたが、最終的にはEU域内の当事国であるアイルランドの監督機関の判断に委ねられることになる。いずれにせよ、セーフハーバー協定に基づきEU域内から米国への個人データ移転が認められていた企業にとって、米国内のストレージシステムに保存しているEU域内発の個人データの扱いは大きな課題だ。なお、米国政府側の対応状況については「export.gov」のセーフハーバー協定に関するWebサイトが参考になる（関連情報）。

セーフハーバー協定に関する米国サイト