米国最高裁判所 Trump v. Slaughter 判決が EU‑US データ転送に与える影響

Trump v. Slaughter 判決が EU‑US データプライバシーを揺るがす

米国最高裁判所の Trump v. Slaughter 判決は、米国連邦取引委員会（FTC）の独立性を実質的に無効化し、欧州連合条約法と法的対立を生じさせました。EU‑US データプライバシーフレームワークは、個人データ保護を確保するための独立した執行機関として FTC に依存しているため、FTC の独立性が失われることは、両地域間の合法的なデータ転送の主要なメカニズムを失うことを意味します。

法的対立：EU の独立要件 vs. 米国の単一行政理論

対立の核心は、データ監督に関する法的要件の違いにあります。EU 条約法、特に TFEU 第 16 条(2) および基本権憲章第 8 条(3) は、データ保護監督が「独立した」機関によって行われなければならないと規定しています。

EU 市民のデータに対して「実質的に同等」の保護を維持するためには、データを受け取る第三国が同様の独立した監督を提供しなければなりません。EU‑US データプライバシーフレームワークは、FTC が独立機関であることを根拠にこの要件を満たしており、判決文中で FTC の独立性は 259 回言及されています。

Trump v. Slaughter では、米国最高裁が「単一行政理論」を採用し、大統領がすべての行政機関を支配すべきだと判断しました。この決定は、FTC のような機関を独立させる法律を違憲とし、EU 法が求める独立性を FTC から奪いました。

データ転送メカニズムへの影響

EU‑US データプライバシーフレームワークはデータフローの主要メカニズムですが、最高裁判決は個人データ転送の複数の法的経路にも影響を及ぼします。

EU‑US データプライバシーフレームワーク

このフレームワークは、欧州委員会が撤回するか欧州連合司法裁判所（CJEU）が無効化するまで形式的に有効です。しかし、フレームワークの法的根拠である FTC の独立性は崩壊しました。擁護団体 noyb は、欧州委員会に対し米国に対する適合性決定の撤回を求めています。

標準契約条項（SCC）および拘束的企業規則（BCR）

SCC や BCR を利用する企業は、しばしば「影響評価」に依存して転送を正当化します。これらの評価は、PCLOB や Data Protection Review Court といった独立した米国執行機関の存在に基づくことが多いです。Trump v. Slaughter 判決がこれら機関の独立性に影響を与えるため、これらの転送メカニズムも法的に成立しなくなる可能性があります。

データ保護審査裁判所

バイデン政権は、政府監視に対する法的救済を提供するために Data Protection Review Court を設置しました。しかし、この機関は米国司法省内の行政機関であり、その独立性は大統領が随時変更または撤回できる大統領令によって付与されています。

限界と例外

すべてのデータ転送がこの法的変化の影響を受けるわけではありません：

• 非個人データ: このデータは EU と米国間で自由に流通し続けることができます。
• 必要な転送: GDPR 第 49 条に基づき、特定の取引（例：ホテル予約）など、厳密に必要な転送は許可されますが、構造的なオフショアリングは認められません。

業界および政治的影響

法的専門家やコミュニティメンバーは、この判決が EU 内での「デジタル主権」の必要性を加速させると指摘しています。

"EU は、米国企業への全面的な禁止や制限ではなく、データ規制を通じて欠けている欧州データインフラを実現しようとし続けている。中国がやったように。"

批判者は、EU が米国のクラウドプロバイダーに依存していることがシステム的リスクであると主張します。たとえば、欧州連合の公式ウェブポータル europa.eu は現在、Amazon の CloudFront を CDN プロバイダーとして使用しており、EU インフラと米国サービスの深い統合を示しています。他方、欧州の代替案は存在するものの、規模や機能面で米国プロバイダーに太刀打ちできず、EU ベースの処理への移行は困難かつコストがかかると指摘されています。