米国最高裁判所の判断は、EU諸国とのデータ交換に影響を与える可能性がある

この文章は、米国最高裁判所の判断が、EUと米国の間の個人データ移転にどのような影響を与える可能性があるかを説明している。

この判断は、GDPRを直接扱ったものではない。

しかし、EUと米国の「Data Privacy Framework(DPF)」を支える政治的・法的な前提を弱める可能性がある。

  • 米国最高裁判所の判断
    • 2026年6月29日、米国最高裁判所は、Federal Trade Commission(FTC)に関する判断を示した。
    • その内容は、米国大統領は行政機関のすべての部分を完全に管理できなければならない、というものである。
    • そのため、FTCのような独立行政機関を独立したものとして設ける法律は、違憲であるとされた。
    • FTCは、個人データの処理にも関わる機関である。
    • この判断は、GDPRを直接対象にしていない。
    • しかし、EUと米国の間で結ばれたData Privacy Framework(DPF)に基づく米国へのデータ移転を、将来的に法的に不安定にする可能性がある。
  • DPFがすぐに無効になるわけではない
    • 米国最高裁判所の判断によって、DPFが自動的に無効になるわけではない。
    • 当事者がDPFを使い続け、欧州司法裁判所がこの問題を扱わない限り、DPFは有効に動き続ける。
    • しかし、問題は存在している。
    • その問題を放置すると、制度や企業に大きな困難が生じる可能性がある。
  • Data Privacy Frameworkの弱点
    • EUの個人データ保護規則では、加盟国の市民のデータを外国に移転するためには、その国がEUと少なくとも同等の法的保護を提供していなければならない。
    • 米国の法制度は、この条件を満たしていない。
    • そのため、EU加盟国が米国へデータを送れなくなるという、技術的・産業的な孤立を避けるため、欧州委員会は米国政府と複数の合意を結んできた。
    • しかし、これまでの合意は安定した解決にならなかった。
    • 欧州司法裁判所は、いわゆる「Schrems事件」で、それらの合意を順に無効にしてきた。
    • 現在も有効な最新の合意も、欧州司法裁判所に持ち込まれれば、同じ運命になる可能性がある。
    • 米国最高裁判所の判断は、その可能性を強める要素になり得る。
  • Brussels Effectの政治的な限界
    • GDPRをめぐる問題は、個別の裁判だけの問題ではない。
    • GDPRができてから10年たっても同じ問題が続いている理由は、GDPRの考え方、書き方、使われ方にある。
    • 文章では、GDPRは現実を見て作られたものではなく、規則の理論的な合理性が現実を変えるという発想に基づいている、とされている。
    • GDPRは古い規則であり、2000年代初めの考え方に強く影響されている。
    • GDPRの文言は、EU内でのデータ流通を容易にすることも目的としている。
    • しかし実際には、データ流通を妨げる形で使われている。
    • さらに、GDPRは加盟国の法制度を調和させるためだけでなく、米国に対するEUの地政学的な手段としても使われてきた。
    • また、EUが一方的に規則を作り、世界市場に影響を与えるというBrussels Effectの道具にもなってきた。
    • しかし、Brussels Effectが機能するのは、規則がよく書かれている場合だけである。
    • 文章では、GDPRとそれに基づく制度は、米国へのデータ移転の問題が示すように、その条件を満たしていないとされている。
  • 防衛と安全保障における国家の自律性
    • EUは、米国の安全保障機関や情報機関がEU加盟国の市民に関するデータへアクセスする方法を審査しようとしている。
    • CLOUD Actについては、米国企業が世界中に保有するデータを米国当局に渡す義務を負うことに懸念がある。
    • この義務は、支店や子会社が保有するデータにも及ぶ。
    • FISAのSection 702についても、米国外にいる外国人に対する技術的監視を可能にする点に懸念がある。
    • しかし、同じ論理を使うなら、他国もイタリア法137/2023に懸念を持つべきだと文章は述べている。
    • この法律では、一定の捜査の中で、イタリアの司法警察官が情報システムにアクセスしたり、データやプログラムを変更・削除したり、デジタルIDやドメインを使ったり、第三者の個人データを処理したりしても、処罰されない場合がある。
  • なぜEUはこの問題の解決策にならないのか
    • 文章では、これらの懸念は正当なものだが、GDPRとは関係がないと説明している。
    • 理由は三つある。
    • 第一に、EUの基本条約は、防衛と安全保障を各加盟国に残している。
    • そのため、EUの規則を、防衛や安全保障に関わる形で作ったり解釈したりすることはできない。
    • 第二に、武力を使う場合を除いて、ある国が別の国に対し、その国の国益の管理方法を制限することはできない。
    • 第三に、相互主義に基づく条約がない限り、国家は原則として自国民に対してのみ権利を保障する。
    • これは、以前、米国入国前に配られていた緑色の質問票、現在のESTAに置き換えられた制度に見られる、一見すると逆説的な質問を説明する理由でもある。
    • さらに、Lucio Caraccioloが指摘したように、ヨーロッパは加盟国より上位の主権を持つ政治主体ではない、という点も重要である。
  • 独立機関の問題
    • 米国最高裁判所の原則、つまり政府機関は独立していないし独立できない、という考え方が一般化されると、別の重大な影響が生じる可能性がある。
    • それは、EUの規則によって作られた独立機関、たとえば個人データ保護機関、いわゆるプライバシー機関にも影響する可能性である。
    • イタリア憲法において、独立している機関は司法だけである。
    • 司法は国家権力の一つであり、法律にのみ従う。
    • 司法官は公的な試験によって選ばれるのであり、共同選任によって選ばれるわけではない。
    • これに対し、独立機関は通常の法律によって作られる。
    • その構成員は政治的に選ばれる。
    • 法律上、学術的実績や個人データ保護分野での専門経験も考慮され得るが、それが必ずしも中心になるわけではない。
    • EUが独立機関を事実上、憲法上の機関にしたとも言えない。
    • もしそう言うなら、EUが加盟国の主権行使に影響を与える権限を持つことになる。
    • しかし、それはEUの条約によって禁止されている。
    • EU基本権憲章は、個人データについて「機関」に言及している。
    • しかし、それは新しい主体を作るという意味ではなく、基本権を守るためにその機関が持つべき性質を示しているにすぎない。
    • 民主国家では、権利を保護するのは司法である。
    • 司法は権威を持ち、憲法によって独立している。
    • したがって、厳密に言えば、その他の機関は権利を保護することはできず、司法ほど独立しているわけでもない。
  • これから何が起こる可能性があるか
    • 短期的には、何も変わらない可能性が高い。
    • 市民権を守るNGOは、すでに欧州委員会に対し、米国との合意を取り消すよう求めている。
    • しかし、欧州委員会が自発的にそれを行う可能性は非常に低い。
    • そのため、DPFに対する欧州司法裁判所への訴訟が起こされるかどうか、その結果を待つ必要がある。
    • ただし、現時点では、そのような訴訟はまだ提起されていない。
    • その間、米国とEUの産業全体は、不確実性にさらされ続ける。
    • その不確実性は、問題を先送りし、嵐が過ぎるのを待つという選択から生じている。
    • その嵐が本当に過ぎるかどうかは分からない。

A longer text in English is here.