セーフハーバー:米国のデータが米国の法律を「保護」する必要がある理由

これは、欧州連合(EU)と米国の国境を越えたデータの移転を支配する原則と、米国パトリオット法が米国外の企業、市民、および政府に対して及ぼしている影響を調査した一連の柱の中の第2のものです。これは米国向けのサイトですが、私は英国の市民ですが、ここに掲載されている問題は、米国内外で生活しているかどうかに関わらず、すべての読者に影響を与えます。

なぜセーフハーバーの原則が最初に作られたのですか?ヨーロッパとアメリカの間の貿易を維持するために、欧州は米国最大の企業のデータプライバシーに関する怠惰な試みを十分に認識している。

HotmailやYahoo!のようなWebベースのメール、FacebookやTwitterなどのソーシャルネットワーク、登録が必要なウェブサイトと同じくらいの数のWeb上のサービスを利用している人々の大半は、個人的な場所写真や電子メールのようなデータが保存されます。

全体として、これらのサービスは時間とエネルギーを節約するように設計されており、プライバシについてあまり考えずにオンデマンドでこれらのサービスの提供を望むようになりました。私たちは、世界のどこにいても、私たちのそれぞれの政府が、私たちが自由に行動し、コミュニケーションできるレベルに私たちを保護することを期待しています。

しかし、米国と欧州連合(EU)間の法的保護における不平等は、「雲」のユーザーにとって大きな影響を与える可能性がある。

データ保護の法律は、EUと米国で大きく異なります。ドットコムブームの中で世界中のオフィスに広がっている膨大な数の組織があることから、データ転送および保護法にはグローバルな見直しが必要であることは立法者にとって明らかでした。データ立法のための特定の分野は欧州連合であり、数十の国が同じ法律の要素を共有しています。

ヨーロッパ諸国のコミュニティである欧州経済圏(EEA)加盟国は、データ保護の「4つの自由」を認めています。これにより、欧州の国境を越えた商品や市民の自由を確保し、データにこれらの特権を利用することができます。

EUは、1995年に「データ保護指令」を批准し、現在および将来のすべてのEEA加盟国は、1998年末までに合意により合意された規則を自国の法律に組み込むことを義務づけた。例えば、英国では、保護法1984は既に存在していたが、EU指令の新規定に対応するように改正された。更新された法律は、1998年のデータ保護法の現在の化身となった。

この指令の基本原則は、データ使用の透明性とデータの正当な使用を考慮し、必要な個人データだけが企業によって収集されるようにしました。しかし、これらの原則は、データが安全かつ安全に保管されることを確実にするために一連の条件が満たされた場合、およびデータ所有者がこれらの条件が満たされていることに同意した場合にのみ、

EU指令は各EEA加盟国の個々の法律に影響を与えるため、この指令は各国の地方自治体によって執行されます。例えば、英国では、情報コミッショナーのオフィスが地方のデータ保護法を、したがってより広範なEU指令を施行している。

この指令は1995年に成功し、その後各国の法律に書き込まれました。しかし、欧州圏外にもかかわらず、米国は世界的な産業の主要な選手だったが、EEA加盟国が合意したのと同じ原則を受け入れなかった。

したがって、欧州から米国へのデータの安全な通過を確実にするために、米国商務省が先導するEUと米国の両方が(米国パトリオット法はそうではないが)共通の「セーフハーバー」フレームワークこれは2000年にEUが審議した後に承認された。

米連邦捜査局(FBI)は、米国務長官のハッキングに対する態度で、クッカラのメンバーを逮捕している、セキュリティ、米連邦最高情報セキュリティ責任者(CFO)、米連邦最高裁判所投票システム

セーフハーバーの原則は、たとえ米国の法律が変更されないとしても、セーフハーバーリストに署名した民間企業は、EUが定めた規則を遵守することを前提として合意されました。これらのルールには、EUの要請に応じて個人のデータに米国の民間組織へのアクセスを可能にするEUが含まれますが、データ保護がデータ保護を保証するのに十分有効であることを保証します。

セーフハーバーは米国政府によって規制されていないことに注意することが重要です。連邦取引委員会(FTC)は米国商務省の監督下でシステムを管理していますが、セーフハーバープログラムは民間部門で自己規制されています。しかし、法律が施行された場合には、連邦政府または州政府によって施行をバックアップすることができます。

FTCはセーフハーバーの原則を真剣に受け止め、場合によっては違反が発見された企業や組織に対して制裁を制定しています。

セーフハーバーの原則が欧州委員会を満足させることにより、米国と欧州との間の貿易は継続することができます。

企業は、他の場所に本社を置くか、単に大企業の子会社(Google UKの子会社であるGoogle UKなど)であるかにかかわらず、EEA以外の者に個人情報を送信することはできません。 「適切な」保護を受けるとの見通しを示した。セーフハーバーの原則は欧州委員会(EEAとEUの統治機関)によって合意されているため、米国は欧州規制当局による適切なデータ保護を提供するようになっている。

GoogleやMicrosoftなどのEEA企業が米国内の企業に安全にデータを渡す必要がある場合、米国本社または支社がSafe Harborのリストに記載されている場合に限ります。子会社(通常は同じ会社であるが、異なる地域、地域、州の親会社が所有する)は、セーフハーバーの対象となります。親会社がリストに含まれている場合に限ります。

GoogleやMicrosoftがセーフハーバーの対象となる場合は、Google UKやMicrosoft UKも同様です。これにより、ローカライズされたオフィスを持つ組織は、あまり問題なくヨーロッパの米国本社にデータを前後に共有できます。

米国商務省がEUの規定する「データ保護指令」に準拠するように設定されたセーフハーバーの原則は、EEAの組織、子会社、または政府から米国に送信される個人データを許可します。

しかし、データが米国に到達すると、データは自動的に米国パトリオット法に脆弱になります。これは、データ要件に応じて裁判所命令の有無にかかわらず呼び出すことができます。

企業は特に、米国パトリオット法の下で米国当局による検査の責任を負う可能性があるため、クラウドに入力したデータに注意する必要があります。また、EUのデータ保護法に基づいてデータ・コントローラを使用することもできます。

米国セーフハーバーの枠組みは、米国裁判所が別途宣言するまで、米国パトリオット法の個人データを保護するものではありません。

Google UKやMicrosoft UKのような会社のオフィスが米国外にある場合でも、その子会社を所有する会社が米国企業の完全所有者であれば、米国パトリオット法を発動することができます。

米国に本拠を置く完全所有の会社が、米国内に住む米国市民に唯一のクラウドストレージまたはサービスを提供した場合、その顧客と会社は全面的に米国の法律に従います。したがって、米国パトリオット法を呼び出すことができます。

一方、大西洋を横断して同じシナリオをとる。今回は英国に本拠を置く完全所有の会社で、英国内に住む英国市民のみにクラウドストレージやサービスを提供しています。顧客と会社は、英国の法律に完全に準拠しており、場合によっては欧州の指令に基づいて他のEU諸国と共有されています。英国とカナダは同様のテロ対策法を制定しているが、米国パトリオット法は適用されていない。

しかし、米国のGoogleが提供するGmailを使用するヨーロッパの市民として、あなたは外国政府の法律に責任があります。したがって、お客様のデータは米国の検査の対象となります。

クラウドのユーザーは、クラウドデータセンターの場所や子会社の登録されたオフィスの所在地、本社などの外国の法律を認識する必要があります。子会社は、米国の親会社によって、自分が所属していない国の法律に従うように強制することができます。

学校や大学を含むEUの企業クライアントは、自国以外の国の法律の危険性がないことを書面で保証することができないローカリゼーション企業には非常に注意する必要があります。

続きを読む:データコントローラの同意の有無にかかわらず、ヨーロッパ(およびさらに遠方)で開催されているデータにアクセスするために米国パトリオット法を呼び出すことができるケーススタディ。続きを読む。

あなたのコメントと考えを以下に残してください。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

米国の法執行機関は、オンラインの詐欺師をバーの後ろに投げつける

FBIは米国の州議決権行使システムの違反を発見