本年2月9日および2月12日の本ブログで、米国から強く要請があり、他方でEU市民の人権侵害につながる大きな問題として取り上げられ、EU議会だけでなくEU加盟国の情報保護委員等も巻き込んだ論議の内容について詳しく紹介した。
その後、EUの欧州委員会や米国のハイレベルの協議が行われていたが、6月上旬に欧州委員会域内担当委員セシリア・マルムストロム(CECILIA MALMSTRÖM)氏は米国とのハイレベル協議の結果を踏まえ、改正案を議会に提出していた。
CECILIA MALMSTRÖM 氏
6月28日(月)、欧州連合理事会の輪番議長国(rotating presidency)であるスペインのアルフレド・ペレス・ルバルカバ(Alfredo Pérez Rubalcaba )内務相と、マイケル・ドッドマン(Michael Dodman)駐EU米国大使館経済担当官は、マルムストロム氏の立会いの下で署名した。
最終的に改正協定案は7月8日の本会議に諮られ、投票では、賛成484票、反対109票、棄権9票で可決・承認され、2010年8月1日施行されることとなった。
今回のブログは本年2月以降の動向等も踏まえ問題点を整理することであるが、7月8日のマルムストロム委員の声明のとおり、EU市民にとって(1)個人データへのアクセスと使用に関する透明性確保の完成、(2)プライバシー保護を保証するための適切な手段と救済措置が手当てされたといえるのか、今後改めてEDPSの意見書や“StateWatch”や“EDRi(Digital Civil Rights in Europe)”等関係団体による法的問題や人権上の課題が明確となった段階で詳しく分析のうえ論じてみたい。 (筆者注1)
なお、この問題だけではないがEUの議会関係者が指摘するリスボン条約に基づく議会の権限強化のあり方論がある。この問題についても機会を改めたい。
1.改正協定の議会での承認にいたる経緯
(1)6月上旬に、 EU議会、欧州委員会、米国当局間の外交交渉に基づく協議によりマルムストロム委員による改正協定案が提示された。また、6月15日、委員会の最終協定案(COM 316)が決定された
(2) 6月22日、欧州情報保護監察局(EDPS)による欧州委員会の最終協定案に対する公式意見書(Opinion of the European Data protection Supervisor)が提出された。
(3)6月24日、 EU・米国間の改正TFTP協定にかかる欧州連合閣僚理事会決定が行われた。
(4)6月28日、EU理事国と米国との改正協定の署名が行われた。この点につき、同日のわが国の欧州連合サイトは、「本日、欧州連合(EU)を代表するスペインのアルフレド・ペレス・ルバルカバ内務相(筆者注2)と、マイケル・ドッドマン駐EU米国大使館経済担当官は、テロの容疑者が残した金融取引の痕跡の追跡をより容易に行えるよう、銀行間決済ネットワーク(SWIFT)に関する協定に調印した。
同協定は、欧州委員会のセシリア・マルムストロム内務担当委員出席の下、ブリュッセルで調印された。今後は欧州議会に提出され、7月5日から8日にかけて開催される本会議で議員の過半数の賛成で批准されれば、発効に至る。」と報じている。
(5)7月8日、欧州議会本会議で改定協定案の採決・承認され、同日、マルムストロム委員は採決・可決につき声明を発表した。声明自体、これまでの経緯を含め米国との協議内容にはほとんど言及していない。今後、EU加盟国の関係機関等からも各種意見が出されると思うが、問題点を整理するうえで筆者が従来からしばしば引用する“EurActive”の最新記事等に基づき解説する。
議会筋によると議員の賛意を得られた最大の理由は、米国当局への大量データ(bulk data)に移送制限を明記したことである。議員は賛意の見返りに米国のTFTPに必要性を排除するためにそれに相当するEUの作業が今後、12か月以内に開始する保証を得た。EUが独自に同地域内での追跡システムによるデータ分析を可能にするとEUが必要とする特定のテロリストの追跡システムにデータを移すだけでよくなるという効果があるからである。
2.新協定の主な改正内容
欧州委員会は、今回の改定協定案と2009年11月に欧州連合理事会で採決、米国との間で締結した「暫定協定」との相違点につき公式な資料を作成、公表している。
その主な点につき以下のとおり紹介しておくが、EUの関係機関での意見が強く反映されていることは間違いなく、その点は2月9日付けの本ブログで確認されたい。
(1)改定協定は、本協定の下で行われるEU市民の個人情報の移送に関し、そのプライバシー保護を保証するため、次のような法的な約束事を定める。
①対象とするデータは、テロおよびテロ資金の阻止、捜査および起訴にかかわるもののみ排他的に限定して扱う。
②いかなるデータ・マイニング(data mining)形式 (筆者注3)の禁止
③EUのリテール決済サービス市場の統合に向けたSEPA(Single Euro Payments
Area) (筆者注4)に関するすべての個人情報の米国への移転の禁止
(2)個人情報保護の保証をより強化する。TFTP手続の透明性に関し、米国連邦財務省はTFTPに関するデータ主体の権利、すなわちアクセス権、訂正権およびどのように司法や行政機関への救済手続きを行うかにつき、すべての情報を同省のウェブサイトに掲示する。従来の暫定協定と異なり、アクセス権の保証、不適切なデータであると判断するときは、これらデータの訂正、削除やブロッキングを規定する。
(3)データ主体の救済手続を明記する。協定では、連邦財務省はその行政手続の適用において、すべての人につき国籍や居住国にかかわらず平等に扱うこととした。また、これに続けて不利な行政処分に対し米国法に基づく司法救済を定める旨を明記した。
(4)本協定は、EUの公的機関すなわち「欧州警察機構(Europol)」が米国の要求が本協定の条件を充足しているか確認する包括的メカニズムを定めた。特に、“Europol”は米国のデータ提出要求につき次のようなチェックを行う。()米国機関からの要求データの可能な限りの特定(identify as clearly as possible)、()なぜ当該データが必要なのかの理由説明を求め、また、テロやテロ資金と戦う目的のため最小化する意味でその目的に適合した可能な限り狭い範囲であるかにつきチェックする。さらに、“Europol”は要求データの量自体もチェックする。
仮に連邦財務省の要求がこれらの基準に合致しないときは当該要求は拒否され、データは移送されない。
(5)改定協定では、欧州委員会は日々TFTPのデータにつきその抽出とアクセスの監視を行う者の任命権を定める。その者は問題が起き、モニタリングができるポストにつく。特定に人物に対する検索を正当化できる十分なデータが存しないとみられる場合は検索をブロックできる権限が与えられる。
(6)改定協定はTFTPの詳細および監視に関する点ならびに適用の詳細を定める。EUは改定協定施行6か月以内に具体的準備を開始し、データ保護に係る法遵守状況につき定期的に詳細なモニタリングを行う。このEU専門家チームは米国当局により行われた検索内容につきプライバシーが正当に尊重されているかランダムに調査する権限を持つ。
EUの検査チームは、欧州委員会により指揮されEUの2つの情報保護機関 (筆者注5)および司法経験者の代表を含むメンバーで構成される。
(7)改定協定は、テロリストを推定させる人物の情報を第三国に移送する前に行うべき重要な詳細な要求条件―EU市民や住民にかかわる当該国所管当局の事前同意の取得要件―を定める。
(8)改定協定は、個人情報保護に関しEUと米国の将来におけるより拘束力をもつ協定の締結の原型となり、また、将来EU・米国間でそのような協定が締結されるときTFTP協定がそのベースになるという性格を確立させた。
(今回の協定で暫定協定と変更しない事項)
データの保持期間(Data Retention Periods):従来から欧州議会から出されていた米国との交渉の負託(Mandate)において「出来る限り短期でかついかなる場合でも5年とすべき」と定めていた。しかし、米国との交渉において連邦財務省は3年から5年という条件(TFTPの分析から引き出された結果では28%がその期間に対応する)を引用し、今回の協定案では5年となった。ただし、保持期間については施行以降その短縮化につき欧州委員会・米国財務省間で3年以下とすることを基本としつつ、分析するということとなった。
3.米国のコメント
米国のオバマ大統領は「終わりよければすべて良し(all’s well ends well)」とEU議会の承認を歓迎するコメントを述べている。ホワイトハウスによると、2001年9月11日のテロの後、米国TFTPはEU加盟国に1,550件以上の重要な捜査情報を提供してきたと述べている。
******************************************************
(筆者注1) “EDRi”は、EDPS やEU情報保護指令第29条専門委員会はEU・米国間の改定協定はEUの保護基準を完全には満たしていない点や改正協定にいう「テロリズム」の定義が広すぎるなど更なる問題点をまとめたFAQを7月7日に公表している。
また、“statewatch”は欧州議会の議員による未解決の課題の指摘について紹介している。
(筆者注2) EUでは常識的なことであるが、スペインの現内務相がなぜ署名にあたりEU代表となる意味が説明されていない。正確にいうと、6か月ごとに交代する欧州連合理事会の現議長国の代表として署名したものである。(スペインの任期は2010年1月から6月である)
(筆者注3) 米国のテロ対策における「データ・マイニング」の効果に関し、米国学術研究会議(National Research Council:NRC)の調査報告:複数の米国連邦機関がテロリストの疑いのある人物を特定するのに利用している、行動パターン特定データ・マイニングおよび態度観察(behavioral surveillance)技術の類は、信頼性があまりに低すぎて有効であるとは言いがたいーとする記事が紹介されている。要するに、テロリストの特定は消費者行動の分析のようにはいかない。さらにデータ・マイニング・ツールや態度観察ツールのような技術を無計画に使用し続けた場合、個人の情報プライバシー侵害の問題が生じるおそれもあると記している。」という解説記事が、わが国の「コンピュータ・ワールド」2008年10月15日号で紹介されている。
(筆者注4) 「 リテール決済サービス市場の統合に向けたSEPA(Single Euro Payments Area)と呼ばれるプロジェクトが進められている。SEPA とは「効率的な競争が機能し、ユーロ圏内におけるクロスボーダー決済を国内決済と同じように利用することができる、統合された決済サービス市場」の実現を目指すプロジェクト」をいう。(日本銀行金融研究(第28巻第1号(2009年3月発行)のSEPAの解説から引用)。
(筆者注5) EUの2つの情報保護機関につき、1つはEDPSであることは間違いないがもう1つは何を指すのか。協定第13条〔Joint Review〕規定の原文等からも判明できなかった。
EU指令第29条専門委員会を指すのか。
[参照URL]
・http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/10/308&format=HTML&aged=0&language=EN&guiLanguage=en
7月8日付けのセシリア・マルストロム(Cecilia Mastrom)EU内務担当委員の公式声明
・http://register.consilium.europa.eu/pdf/en/10/st11/st11222-re01.en10.pdf
EU・米国の改定協定原本(full text)(全37頁) :11222/1/10 REV 1
・http://ec.europa.eu/commission_2010-2014/malmstrom/archive/improvements_tftp_agreement_20100629_en.pdf
今回の協定の旧協定との主な変更点(公式資料)(全3頁)
・https://db.eurocrim.org/db/en/doc/1358.pdf
6月15日、 EU・米国間の改正TFTP協定にかかる欧州委員会の最終協定案(COM(2010) 316 final) (全20頁)
・http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2010/10-06-22_Opinion_TFTP_EN.pdf
欧州個人情報保護監察局(EDPS)による欧州委員会改正協定案(COM 316)への公式意見書
**************************************************************
Copyright © 2006-2010 芦田勝(Masaru Ashida).All Rights Reserved.No reduction or republication without permission