ハクソク

世界を動かす技術を、日本語で。

米国最高裁判所がEU-USデータ転送を根本から覆した

2026年6月30日原文(noyb.eu)

概要

  • 米国最高裁はTrump v. Slaughter判決で FTCの独立性を否定
  • EUは 独立したFTC を前提に EU-US個人データ移転 を認めてきた
  • EU法は 独立した監督機関 を厳格に要求
  • 現行の EU-US Data Privacy Framework の根拠が崩壊
  • 今後は 欧州委員会の対応 と法廷闘争が焦点

米国最高裁Trump v. Slaughter判決の影響

  • 2024年6月、 米国最高裁FTCの独立性が憲法違反 と判断
  • 「ユニタリー・エグゼクティブ理論」 に基づき、大統領が全行政機関を統括すべきとする立場
  • これにより FTCを独立監督機関とする根拠が消滅
  • EU側が 個人データ移転の条件 としてきた 「独立監督」 が満たされなくなる事態

EU-US Data Privacy Frameworkの現状と問題点

  • EUは2000年以降、FTCの独立性を前提に米国を「十分性認定」
  • EU-US Data Privacy Framework では 259回もFTCの独立性に言及
  • EU憲法(TFEU16(2)、CFR8(3))独立監督機関の設置 を厳格に要求
  • 米国は FTCを独立監督機関 と主張してきたが、今回の判決で 前提が崩壊
  • Max Schrems :「独立監督がなければ、EU-USデータ移転の根拠が消滅」

欧州司法裁判所(CJEU)の過去判決

  • Schrems I 判決で「Safe Harbour」無効化
  • Schrems II 判決で「Privacy Shield」無効化
  • 理由は 米国監視法司法救済手段の欠如
  • 現行の Data Privacy Framework過去の取り決めと本質的に同じ構造

米国の「Data Protection Review Court」の限界

  • Biden政権 が大統領令で設置したが、 本質的には司法機関でなく行政機関
  • 大統領令 なので 政権交代で撤回可能
  • 独立性の担保が不十分 と評価

今後の法的・実務的影響

  • 欧州委員会の十分性認定 は形式上は有効のまま
  • CJEUまたは欧州委員会の決定 がなければ直ちに移転が違法になるわけではない
  • GDPR49条 で必要最小限のデータ移転は例外的に可能
  • SCCs(標準契約条項)やBCRs(拘束的企業規則) も影響を受ける
    • これらも 米国独立機関の「影響評価」 に依拠していたため
    • 企業は 即時に影響評価を見直す必要

欧州委員会・各国・企業の今後の動き

  • noyb(Max Schremsの団体)十分性認定の撤回を要請
  • 多くのEU加盟国デジタル主権強化米国サービスからの脱却 を表明
  • 米国クラウド事業者もEU域内データ処理 へのシフトを模索
  • noybはCJEUへの提訴も準備中 (判決まで2~3年かかる見込み)

まとめ

  • 米国FTCの独立性喪失 により、 EU-US個人データ移転の法的根拠が崩壊
  • 欧州委員会の対応と司法判断 が今後の焦点
  • 企業・組織は データ移転体制の見直しリスク評価 の再検討が不可避

Hackerたちの意見

ヨーロッパ市民として、愛国者法以来、アメリカにある企業が私のプライベートデータを乱用しないとは全く信じられない。もし私がその立場だったら、あんな取引は絶対に成立しなかっただろう。もしEUの企業がMicrosoft 365を使うことに決めたとして、Microsoftはアメリカの政府機関にアクセスを渡さないって保証できるの?絶対に無理だよ。EUの法律に従って行動したいなら、これは重要な問題なんだ。この取引は、基本的にEUが「大丈夫だよ」って言ってるだけだけど、実際には全然大丈夫じゃなかった。個人的には、EUは自分たちの法律に従った独自のことを始めるべきだと思う。公金、公コード。

じゃあ、誰にプライベートデータを乱用してほしいの?もっと身近な政府?そろそろ真剣に考えて、あまり知られていないローカルファーストの取り組みに全力を注ぐべきだよ。例えば、これを見てみて: https://elfaconsortium.eu/ 時間との戦いだね。

「ヨーロッパ市民として、愛国者法以来、アメリカにある団体が私のプライベートデータを乱用しないとは信じられない。EUは今、すべてのプライベートな暗号化メッセージをスキャンすることを義務付けようとしている。EUのデータ保護は、 gullible(騙されやすい人)向けのマーケティングだ。」 https://news.ycombinator.com/item?id=48707719

どちらも信用してないけど、少なくとも相互に認識されたデータプライバシーフレームワークを持つのはいいアイデアだと思う。そうすれば、裁判所がそれを強制できるからね。すべてがEUからでなければならないって言うのも少しおかしいし、代わりに認証(サイバー法?)みたいなものを持って、サービスの劣化を避けるために十分な競争があることを確保すべきだと思う。個人的には、暗号技術が国境を越えたデータ移転に関する多くのプライバシー関連の問題の解決策になるかもしれないと思ってる。それに、データがどこに保存され、どのサービスが使われるかは、購入する各商業組織の管理下にある。リスクは最終的に評価されて、問題があればプロバイダーが変わる。公的資金で運営される組織が市民のデータをアメリカに保存する理由は、プライバシー法に関係なく疑問だね。

公的資金、公的コード これは一般的に非常に良い原則だと思う。公的資金で賄われるものは、公共の利益に役立つべきだと思う。たとえば、特定の企業が運営している独占的なソフトウェアやサービスに公的資金を投入するのは、利益追求のために長期的な政府契約を通じて家賃を取ることだけが目的で、公共の利益からはほど遠いと思う。

シュレムスがどれだけのビリオンドルを大企業にロビー活動で損させたのか気になるな。彼がプライバシー法を守るように裁判所に強制して、条約や取引を潰してきたのは本当にすごい(そして印象的)。

スキマーやTL;DRの人のために言っておくと、この記事はある擁護団体が状況を分析して、行動を提案しているものだよ。「次のステップ:委員会はEU-USの取引を撤回すべき。noyb...」これは欧州委員会の代表や代理の意見を報告しているわけじゃない。

スキマーのために言っておくと、この擁護団体はマキシミリアン・シュレムスによって設立されたもので、彼の法的なケースが最初に欧州司法裁判所に国際セーフハーバープライバシー原則を覆させ、その後EU-USプライバシーシールドを覆させたんだ。この決定はシュレムスIとシュレムスIIと呼ばれている。このデータ移転フレームワークの最新バージョンはトランスアトランティックデータプライバシーフレームワークと呼ばれている。欧州委員会はそれを十分だと見なしたけど、特にデータ保護審査裁判所(これは行政機関の裁判所)を大統領から独立していると考えたからだ。しかし、2025年1月にトランプが審査裁判所の民主党メンバーを解雇したことで、決定を下すための定足数が取れなくなり、実際にはあまり独立していなかったことが浮き彫りになった。今は明らかに独立していない。シュレムスIIIが進行中でないわけがないと思う。

今の時代、アメリカとビジネスをするのは本当に無理だよ。このままの流れが続くと、アメリカは仲間もビジネスパートナーもいないピラニア国家になっちゃう。これが世界にどんな影響を与えるのか全然わからないけど、すぐにわかることになりそうだ。

パリア:追放者、嫌われ者 ピラニア:肉食魚

心配なのは、アメリカが友達を失うことじゃなくて、他のビジネスパートナーがもっと目立つようになることだよ。アメリカにはまだ使える社会的資本がたくさんあるからね。誰かがどれだけやり過ごせるか計算してないとは思えないけど…。

残念だけど、何も変わらないよ。- 大勢の政治家がクラウドやChatGPTを使ってるのは確かだし。- EUの研究者の大半はアメリカのSV企業に依存してる。代わりになるものはないし。ミストラルや他のオープンソースのLLMがあっても、どの大学や企業も結局はクラウドやOpenAI、Geminiにデータをアップロードしてる。- 大多数はそれを見てるけど、ただ流してるだけ。- 99%のEUの政治家は無関心か無気力か、ひどい場合は自分たちの世界に閉じこもってる。- 理想を言えば、EUはiPhoneやGoogleにオープンにさせることができたはずだけど、そうしなかった。- 課税についても同じ。アイルランドはEUと戦って税金の優遇を求めてる。ほんとに壊れたシステムだよ。

Hacker Newsで議論の続きを見る