
EU企業のクラウドデータ移転が突然違法になるかもしれない#
EUと米国の間で長年続いてきたデータ転送の法的根拠が、2026年6月の米最高裁判決によって一気に崩壊した。 この変化は、欧州企業が米国クラウドサービスを利用し続ける上で深刻な問題を引き起こす。
この記事でわかること:
- 米最高裁が下した「Trump v. Slaughter」判決の概要
- EU-USデータプライバシーフレームワーク(DPF)がなぜ成立しなくなったか
- SCCやBCRを利用している企業への波及効果
- noybが欧州委員会に求めている次のステップ
約6分で読めます。EU-US間のデータ転送の現状と今後の法的リスクを把握できます。
【結論】今すぐ押さえたい3つのポイント#
- FTCの独立性が違憲と判断された。 米最高裁は、FTC(連邦取引委員会)の独立性を違憲と宣言。EUはDPFの中でFTCを259回にわたり独立した監督機関として引用していたため、DPFの法的根拠が失われた。
- EU-USデータプライバシーフレームワーク(DPF)は形式上まだ有効。 欧州委員会が正式に撤回するか、EUの裁判所(CJEU)が無効化するまでは、即時の法的効力停止にはならない。
- SCCやBCRを使っている企業も影響を受ける。 これらの代替手段も「独立した米国機関」への依存を前提とした影響評価(インパクトアセスメント)に基づいているため、同様の問題が生じる。
詳細は以降のセクションで解説する。
EU-US データ転送規制とは?基本概念の解説#
EUは1995年から、個人データを域外に移転することを原則禁止している。 これは、EU域内のプライバシー保護ルール(後にGDPRとして整備)が、データを海外に送るだけで回避されることを防ぐためだ。
例外として、移転先の国がEUと「本質的に同等」の保護水準を持つと認定された場合(いわゆる「十分性認定」)には、自由なデータ流通が認められる。
米国はこの十分性認定を2000年以降繰り返し受けてきたが、過去2回はEUの最高裁にあたるCJEU(EU司法裁判所)によって無効化されている。
- Schrems I判決:「Safe Harbour(セーフハーバー)」を無効化
- Schrems II判決:「Privacy Shield(プライバシーシールド)」を無効化
いずれも、米国の監視法制と司法救済手段の欠如が理由だった。
2023年、欧州委員会は3度目の協定として「EU-USデータプライバシーフレームワーク(DPF)」を発効させた。 noybによれば、これは過去に無効化された協定の内容を大きく踏襲するものだった。
DPFが崩壊した理由:「Trump v. Slaughter」判決の衝撃#
2026年6月29日(月曜日)、米最高裁は「Trump v. Slaughter」において、FTCの独立性を違憲と判断した。
Max Schrems氏のコメント:「米国にはもはや独立した機関が存在しない。欧州委員会にDPFを秩序立てて撤回するよう求める。」
この判決が問題となる理由は、EUの法的枠組みにある。
EUが独立性を求める根拠:
- EU基本条約(TFEU)第16条第2項
- EU基本権憲章第8条第3項
これらの規定により、データ保護の監督は「独立した機関」が行わなければならない。 EUとの自由なデータ流通を享受したい第三国も、この要件を満たす必要がある。
DPFはFTCをその独立した監督機関として位置づけており、欧州委員会のDPF決定文書の中でFTCは259回も引用されていた。 その独立性が違憲と判断された今、DPFの根幹が崩れた形となる。
「独立した裁判所」の問題も残る#
DPFには、FTCの独立性問題以外にも別の論点がある。
CJEUは以前から、米国の政府監視に関して独立した法的救済手段が必要と指摘していた。 これに対応するため、バイデン前大統領政権は「データ保護審査裁判所(Data Protection Review Court)」を設置した。
しかし、この「裁判所」は実態として米国司法省内の行政機関であり、バイデン大統領の**大統領令(Executive Order)**によってのみ独立性が担保されていた。 大統領令はトランプ大統領がいつでも変更・撤廃できる性質のもので、法的拘束力は限定的だ。
この点も、DPFの法的脆弱性を示す重要な要素である。
SCC・BCRを使っている企業も影響を受ける理由#
DPFを直接利用していない企業の中には、代替手段として**SCC(標準契約条項)やBCR(拘束的企業準則)**を使っているところもある。
しかしnoybによれば、これらの手段も問題を免れない。
理由は、SCCやBCRの適法性評価には通常**「トランスファーインパクトアセスメント(影響評価)」**が伴い、その評価が以下のような「独立した米国の行政機関」の存在を前提にしているからだ。
- PCLOB(プライバシーおよび市民自由監視委員会)
- データ保護審査裁判所
最高裁判決はこれらの機関の独立性をも揺るがすため、SCCやBCRに依拠する企業も自社の影響評価を速やかに見直す必要があるとされている。 見直しの結果、「データ転送はもはや適法ではない」という結論に至ることが論理的な帰結だとnoybは指摘する。
現時点での影響範囲と例外規定#
ここで重要な点を整理しておく。
DPFは形式上まだ有効である: 欧州委員会が正式に撤回するか、CJEUが無効化するまでは、DPFは法的に効力を持ち続ける。 「即時に全データ転送が違法になる」わけではない。
GDPRが対象とするのは個人データのみ: 非個人データは引き続き自由に流通させることができる。
GDPR第49条に基づく例外も存在する: ホテルの予約などの個別の必要性に基づく転送は引き続き認められる。 ただし、「EU外への構造的なデータオフショアリング」は、厳密に必要な場合でなければ認められない。
noybが求める次のステップと今後の見通し#
EUのデジタル権利擁護団体noybは2026年6月29日、欧州委員会に対してDPFを「秩序立てた形で」撤回するよう求める公式書簡を送付した。
Max Schrems氏:「委員会はEUクラウドからの秩序ある移行を開始すべきだ。容易ではないが、残念ながら避けられない。委員会は業界の圧力の下で法的なカードの家を作り上げた。それが明らかに崩壊した今、責任を取らなければならない。」
今後の動きとして想定されること(ソース記載の情報に基づく):
- noybは数週間以内にCJEUへの提訴を行う予定。ただし、最終判決まで通常2〜3年を要する見込み。
- 複数のEU加盟国はすでに「デジタル主権」アプローチに移行し、米国サービスプロバイダーからの分離を表明している。
- 一部の米国サービスプロバイダーは、EU内で独立したデータ処理体制の構築を進めている。
- 一方で、米国はEUに対してデータフロー継続を求める強い圧力をかけ続けているとされる。
まとめ:EU-USデータ転送の法的根拠は今、転換点にある#
今回の米最高裁「Trump v. Slaughter」判決は、EU-USデータプライバシーフレームワーク(DPF)の根幹を揺るがすものとなった。
核心的な事実を再確認:
- EU法はデータ保護の独立した監督機関を必須とする
- DPFはFTCの独立性を259回にわたり根拠としていた
- その独立性が米最高裁によって違憲と宣言された
- DPFは形式上まだ有効だが、法的根拠は実質的に失われた
- SCCやBCRを利用する企業も同様の問題に直面する
EU企業が米国クラウドを利用し続けることの法的リスクは、これまで以上に高まっている。 今後のCJEUでの訴訟や欧州委員会の対応を注視する必要がある。
出典: noyb.eu - US Supreme Court just blew up EU-US Data Transfers(2026年6月29日公開) 詳細は元記事を参照してください。





