ルクセンブルクのデータ保護当局は、米国家安全保障局の「プリズム」スパイプログラムに関連するデータ保護違反の疑いでマイクロソフトとその子会社スカイプを無罪としたと、同当局は月曜日に発表した。
データ保護当局CNPDは、SkypeとMicrosoftがNSAと協力した疑いについて調査を行っていた。両社とも欧州本社はルクセンブルクにある。
プライバシー保護団体「Europe-v-Facebook」が提出した2件の苦情申し立ては、ガーディアン紙の報道に基づいており、その報道は元NSA契約職員エドワード・スノーデン氏が提供したファイルに基づいていた。報道によると、マイクロソフトとSkypeは米国の情報機関と緊密に協力し、通信傍受を許可していたという。
このグループは、ヨーロッパのユーザーの個人データの米国への輸出を阻止しようとした。
同団体によると、データを米国に転送し、外国の諜報機関による大量アクセスを可能にすることはEU法に違反する。データの輸出は非EU加盟国で適切なレベルの保護がある場合にのみ許可されるからだ。
しかし、CNPDはデータ保護違反を発見しなかった。「2013年7月以降に実施された事実調査とその後の詳細な分析では、ルクセンブルクに拠点を置く2社が米国国家安全保障局(NSA)に顧客データへの大量アクセスを許可したという要素は明らかにされなかった」とCNPDは電子メールで送付したニュースリリースで述べた。
「さらに、両社のプライバシーステートメントに規定されているように、米国の関連会社への特定の個人データの転送は、セーフハーバー協定の規則に基づいて合法的に行われているようだ」とCNPDは述べ、したがってルクセンブルクのデータ保護法への違反は見つからなかったと付け加えた。
セーフハーバー枠組みは、EU企業が米国組織と個人情報を交換することを可能にするために、米国商務省と欧州委員会の間で締結された協定です。EUのデータ保護指令は、EUのデータ保護基準を満たしていない国への個人情報の移転を禁止しているため、このような規制が必要です。
「私たちの訴えは、たとえ欧州企業が欧州人のデータをNSAに引き渡したとしても、何も起こらないことを明確に示すもう一つの例です」と、Europe-v-Facebookはニュースリリースで述べた。同団体は欧州委員会に対し、米国企業が欧州人のデータをNSAに転送している相当の根拠がある場合、データ転送が違法であることを正式に規定する形でセーフハーバー協定を改正するよう求めた。
ルクセンブルクの決定は、アイルランドデータ保護コミッショナー事務局(ODPC)が7月に下した決定と一致する。同局は、FacebookとAppleのアイルランド子会社と米国間の個人データのやり取りはセーフハーバー原則に違反し、調査は不要と判断した。この決定は、Europe-v-Facebookがこれらの企業に対して同様の苦情を申し立てたことを受けて下された。
同団体の要請により、調査を行わない決定はアイルランド高等裁判所で再審理される予定だ。
ドイツでもヤフーに対して同様の苦情が申し立てられました。ドイツ連邦データ保護委員会は、この苦情に関する調査を12月に終了する予定です。調査の結果は異なる可能性があります。ドイツデータ保護委員会会議は7月に欧州委員会に対し、セーフハーバー協定の一時停止と、米国企業が引き続き遵守できるかどうかの審査を要請しました。
委員会は現在セーフハーバー協定の評価に取り組んでおり、年末までに提出される予定だ。
