最近の判決で、オーストリアのデータ規制当局は、EU GDPR規制に基づいてGoogleアナリティクスの使用を違法を言い渡した。判決は非常に具体的に議論され、言葉で表現されている。一方で、それが意味するところはこの特定のケースの範囲をはるかに超えている。
オーストリアのデータ規制当局の判決は、欧州司法裁判所による2020年の判決に基づいているが、その中心にあるのは、米国へ個人データを送信することで、米国の監視法によって、適切な保護に関する要件を破ってしまうという主張である。
第2の被告[Google]は、50 US Code §1881の意味における電子通信サービスのプロバイダーとして、50 US Code §1881a (“FISA 702”)に従って米国諜報機関による監視の対象となります。
外国情報監視法(FISA)のセクション702では、海外にいる米国以外の人物が監視活動の対象になる可能性があることが定められている。これには、テロ容疑者、スパイ、外国勢力のエージェントであるなどの特別な要件はない。FISAは、どのようにしてNSA、FBI、CIAなどの米国政府機関が、AppleまたはGoogleといったサービスプロバイダーから直接転送されたデータへのアクセスを要求し、アクセスするかも規制している。
ただし、これがすべてではない。実際、オーストリアの規制当局は、Googleのデータセンターで保存されているデータの暗号化など、データを保護するために講じられた追加の対策は、効果的ではないと考えてもいる。米国の諜報機関による監視とアクセスの可能性を排除できないためである。
これは、米国を拠点とする主要企業が顧客から受け取るデータを合理的に保護するという考えを実行するために採用する通常のアプローチに対する非常に厳しい攻撃である。オーストリアのDPAが言おうとしていることは、米国に送信されるEUデータは、サービスプロバイダーが何をしようとしても、適切な保護を受けられないということである。
オーストリアのDPA判決は、オーストリアの国境内でのみ適用され。それでも、そこには欧州司法裁判所(ECJ)からの前述の判決に対する裏付けがある。これは、EUと米国の間に存在する適切な「プライバシーシールド」の考えを実質的に崩壊させるものである。これは、オーストリアの判決が他のEU諸国に容易に反映される可能性があるという考えにつながる。
現時点では、米国を拠点とするクラウドサービスプロバイダーが、どのようにしてEUを拠点とする顧客のデータをGDPRに準拠する方法での取り扱い方を変更できるかは明確ではない。GDPRへの準拠に向けた試みを待つことがきっと適切であろう。それでも、主にEUベースのオーディエンスを持つEUベースの企業が、より高いプライバシー基準が適応される代替を考え始めるのが妥当かもしれない。
これには、欧州企業によってEUでホストおよび/または開発されたサービスやツールが含まれるかもしれない。たとえば、分析サービスの最前線では、Google Analyticsの代替手段として、Fathom、Plausible、Plausible, SplitBeeなどがある。ただし、EUで開発された代替サービスとツールの一覧は非常に多く、SaaS、監視、VPN、CDNなどの多くのカテゴリが含まれている。
まだ最終的なものではないが、オーストリアのDPA判決は、少なくとも15年間続いている対立の直近のステップにすぎないと見ることができる。その対立では、最初に「セーフハーバー」の原則が却下され、次に「プライバシーシールド」が却下された。