旅客個人情報の提供に関するEC・米国間協定の適法性

事　実

　2001年9月の同時多発テロを受け、米国議会は、同年11月、米国内を離発着または通過する飛行機の旅客情報（Passenger Name Records - PNR） の開示を航空会社に義務付ける法律を制定した。これによって、EU内の航空会社も搭乗者の個人情報を提示しなければならなくなったが、これはECや加盟国の法令、とりわけ、ECの 個人情報保護指令（Directive 95/46/EC of the European Parliament and of the Council）に抵触する疑いがあり、欧州委員会はアメリカ合衆国と協議することになった。 その結果、提供されるべき情報は、米国法の規定より少なくすることなどで合意がまとまり、両者間で協定（国際条約）が締結されることになった。

　前掲指令第25条によれば、個人情報が第3国に提供される場合には、第3国によって適切に保護されなければならない。同条第6項に基づき、欧州委員会は調査 し、2004年5月14日、米国当局によるデータの保護は適切であると判断した（Decision 2004/535/EC of 14 May 2004 on the adequate protection of personal data contained in the Passenger Name Record of air passengers transferred to the United States Bureau of Customs and Border Protection, OJ 2004 L 235, p. 11）。

　これを受け、EU理事会は、2004年5月17日、米国との協定締結を承認した（Decision 2004/496/EC of 17 May 2004 on the conclusion of an Agreement between the European Community and the United States of America on the processing and transfer of PNR data by Air Carriers to the United States Department of Homeland Security, Bureau of Customs and Border Protection (OJ 2004 L 183, p. 83, and corrigendum at OJ 2005 L 255, p. 168） 。

　協定は、2004年5月28日、EU･米国間で懸案の協定は締結され、即時、発効しているが（OJ 2004, C 158, p. 1）、かねてから、旅客の個人情報提供の適法性を疑問視していた欧州議会は、前掲の委員会決定と理事会決定決の適法性を争い、EC裁判所に提訴した。

　　　　　　　　 事実関係について、こちらも 参照

判　決

(1) 委員会の決定の適法性（Case C-318/04）
　
　前述したように、委員会は、指令第25条に基づき、米国によるデータ保護が適切かどうか判断しているが、同指令は、公共の安全、防衛、国家の安全保障、また、刑事分野における国の活動のために 個人情報が利用される場合には適用されない（指令第3条第2項）。しかし、米国当局に提供される旅客情報は、公共の安全および刑事分野における国の活動のために使用されることは明らかである。そのため委員会の決定は指令第3条第2項に違反し、無効である（paras. 54-60）。
　
　なお、欧州議会は、委員会決定が基本権や比例性の原則に違反することも挙げているが、すでに指摘した点に基づき、委員会の決定は無効であると解されるため、さらなる審査は不要である（para. 61）。


(2) 理事会の決定の適法性（Case C-317/04）

　米国との協定を締結する法的根拠として、理事会はEC条約第95条を挙げているが、同規定は、域内市場の設立および機能維持を図るために、理事会は法令（第2次法）を制定しうると定めているに過ぎない。もっとも、第3国への個人情報の提供は、域内市場に関わるものではないため、理事会の決定は法的根拠に欠け、無効である（paras. 67-69）。

　なお、欧州議会は、理事会の決定がEC条約第300条第3項、欧州人権条約第8条、比例性の原則、理由付け義務違反等に違反すると述べているが、すでに示した判断に基づき、理事会の決定は無効であるため、さらなる審査は不要である（para. 70）。


(3) 判決の効力の制限
　
　上述したように、飛行機乗客の個人情報の提供に関するEC・米国間の協定は、法的基盤に欠け、無効であるが、EC内の事情に基づき、これを一方的に破棄することは許されない。また、法的安定性を図るためにも、このような行為は慎まなければならない。同協定第7条によれば、条約の履行停止は、90日前までに通告しなければならないため、その期間中は、従来通り、誠実に履行されなければならない。それゆえ、2006年9月30日までは有効と解するのが相当である（paras. 71-74）。

解　説

　EC・米国間の協定によれば、飛行機搭乗者の名前、性別、住所、電話番号、予約日、クレジット・カードの番号などを含めた支払形態、Eメール・アドレス、旅行会社、座席番号、注文した食事、no-show履歴など、34項目に及ぶ個人情報が米国に提供されなければならない（判決 para.27 参照）。かねてから、欧州議会は、この制度は個人のプライバシーを侵害するだけではなく、 情報にアクセスしうる者が厳格に制限されていないと批判してきた。議会は、提供される情報を入国カードに記入すべき項目に限定し、また、情報の利用は国家機関に限定されることが明確に定められるべきであるとしている（参照）。

　これに対し、欧州委員会とEU理事会は、テロ対策の重要性を強調し、アメリカとの交渉に臨んできた。判決において、EC裁判所は、両機関の決定を無効と判断しているが （そのため、米国との協定締結も法的基盤に欠け、無効となる）、もっとも、これは、34項目にわたるデータの開示が旅客のプライバシーや基本権を不当に侵害するとの理由に基づいているのではない。つまり、EC裁判所は、協定の内容については審査しておらず、欧州委員会やEU理事会が選択した法的根拠が正しくないことを理由に、協定を無効と判断している。テロ対策といった緊急の重要課題であれ、ECは加盟国より与えられた権限しか行使しえない（個別的授権の原則）。なお、判決において、EC裁判所は、ECの個人情報保護指令（Directive 95/46/EC）やEC条約第95条は、本件協定を締結する法的根拠としては不適切であると判断しているが、ECの権限そのものを否認したわけではない。今後、欧州委員会やEU理事会は、新たな根拠規定について検討する必要があろう。それが存在しない場合 、ECは協定を締結しえないため、個々の加盟国と米国間で協定が締結される必要がある。 協定が締結されないとすれば、アメリカの国内法に基づき、より多くの旅客情報 の開示が義務付けられる他、協定が課していた米国当局に対する規制も適用されなくなる。そのため、本件判決は、個人情報保護を「後退」させている。欧州委員会の Frattini 委員（司法内務問題担当）は、協定締結の根拠条文は変更しなければならないが、協定の内容が修正されることはないであろうと述べている（参照）。内容について再び議論するとすれば、2006年9月末までに新しい協定が締結されない可能性があるためである（参照）。なお、テロないし集団犯罪対策に関する規定が法的根拠とされる場合、欧州議会の立法手続への関与度は小さくなる（参照）。そのため、本件で勝訴したとはいえ、欧州議会の立場が強化されることにはならない。

　ところで、米国との交渉は、同国の国内法が、ECや加盟国の法令、特に、個人情報保護指令（Directive 95/46/EC of the European Parliament and of the Council）に抵触する疑いがあるために開始されたが（上述参照）、公共の安全および犯罪予防対策のために収集・加工される個人情報について、この指令は適用されない。そのため、交渉の前提過程においてすでに問題があったと言えるが、このような誤った解釈のもとに欧州委員会が制定した決定（本件における審査の対象である）に、米国との交渉結果、つまり、協定の実質的内容が添付されている（判決 paras. 24-27）。

　米国は、個人情報の提供を拒む旅客機の離陸を禁止しているため、航空会社は要請に応じざるをえない。そのため、本件判決は、従来の実務に大きな影響を及ぼさないと解されている（参照）。

Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995, OJ 1995 L 281, p. 31), as amended by Regulation (EC) No 1882/2003 of the European Parliament and of the Council of 29 September 2003, OJ 2003 L 284, p. 1

Article 3

1.      This Directive shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.

2.      This Directive shall not apply to the processing of personal data:

–       in the course of an activity which falls outside the scope of Community law, such as those provided for by Titles V and VI of the Treaty on European Union and in any case to processing operations concerning public security, defence, State security (including the economic well-being of the State when the processing operation relates to State security matters) and the activities of the State in areas of criminal law,

Article 13 (1)

Member States may adopt legislative measures to restrict the scope of the obligations and rights provided for in Articles 6(1), 10, 11(1), 12 and 21 when such a restriction constitutes a necessary [measure] to safeguard:

(a)      national security;

(b)      defence;

(c)      public security;

(d)      the prevention, investigation, detection and prosecution of criminal offences, or of breaches of ethics for regulated professions;

(e)      an important economic or financial interest of a Member State or of the European Union, including monetary, budgetary and taxation matters;

(f)      a monitoring, inspection or regulatory function connected, even occasionally, with the exercise of official authority in cases referred to in (c), (d) and (e);

(g)      the protection of the data subject or of the rights and freedoms of others.

Article 25

1.      The Member States shall provide that the transfer to a third country of personal data which are undergoing processing or are intended for processing after transfer may take place only if, without prejudice to compliance with the national provisions adopted pursuant to the other provisions of this Directive, the third country in question ensures an adequate level of protection.

2.      The adequacy of the level of protection afforded by a third country shall be assessed in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations; particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the country of origin and country of final destination, the rules of law, both general and sectoral, in force in the third country in question and the professional rules and security measures which are complied with in that country.

3.      The Member States and the Commission shall inform each other of cases where they consider that a third country does not ensure an adequate level of protection within the meaning of paragraph 2.

4.      Where the Commission finds, under the procedure provided for in Article 31(2), that a third country does not ensure an adequate level of protection within the meaning of paragraph 2 of this Article, Member States shall take the measures necessary to prevent any transfer of data of the same type to the third country in question.

5.      At the appropriate time, the Commission shall enter into negotiations with a view to remedying the situation resulting from the finding made pursuant to paragraph 4.

6.      The Commission may find, in accordance with the procedure referred to in Article 31(2), that a third country ensures an adequate level of protection within the meaning of paragraph 2 of this Article, by reason of its domestic law or of the international commitments it has entered into, particularly upon conclusion of the negotiations referred to in paragraph 5, for the protection of the private lives and basic freedoms and rights of individuals.

Member States shall take the measures necessary to comply with the Commission’s decision.

Die Welt v. 31. Mai 2006 (Flug-Abkommen mit den USA rechtswidrig)

Die Presse v. 30. Mai 2006 (Fluggastdaten: Schein-Sieg für Datenschützer)

FAZ v. 2. Juni (Kommission erwägt Übergangslösung für Fluggastdaten)