スペインがPalantirを封殺——259回の「信頼」が一夜で崩壊したEUデータ移転の法的根拠

スペインがPalantirを封殺——259回の「信頼」が一夜で崩壊したEUデータ移転の法的根拠

テックポリシープライバシーEUデジタル主権Palantirデータ転送

データソース:web research + HN + Lobsters · HN

7月1日、スペイン首相府は複数の国有企業に対し一通の指示を下した——米データ分析企業Palantirとの新規契約を一切結んではならない、と。その一週間前、米最高裁は Trump v. Slaughter 事件で6対3の判決を下し、連邦取引委員会(FTC)の「独立性」を違憲と断じた。遠くウィーンに拠点を置くプライバシー擁護団体noybは即座に声明を発表——EUと米国の間で23年間続いてきたデータ越境移転の枠組みについて「法的根拠は死んだ」と。

二つの出来事は大西洋の両岸で起き、一見無関係に思える。だが並べて眺めると、一本の明確なストーリーラインが浮かび上がる——欧州はもはや法律を書き、声明を出し、「懸念」を表明するだけでは飽き足らなくなった。動き始めたのである。

スペイン首相府が封殺命令、Palantirのダボスオフィス 図:米ソフトウェア企業Palantir(ダボス、2022年5月)。出典:AFP / Clash Report

一紙の禁止令:スペインがPalantirに「ノー」を突きつけた理由

まずはスペインから見ていこう。スペインメディア El Confidencial の独占報道によれば、Moncloa(首相府)は国家産業持株会社SEPIを通じて、Telefónica、Indra、Navantiaなど中核国有企業に対し、Palantirとの将来的な協業を停止するよう明確な指示を出した。

これらの企業は普通の会社ではない。Telefónicaはスペイン最大の通信事業者であり、国家の通信インフラを掌握している。Indraは軍事指揮システムに関わる防衛テクノロジー企業。Navantiaは軍艦や潜水艦を建造する軍用造船所だ。率直に言えば、いずれもスペイン国家安全保障の「水道管」にあたる存在である。一方Palantirはデータ分析をビジネスとする企業で、その中核能力は膨大な情報からパターン、相関、予測を掘り出すことにある。米国企業をこうした「水道管」に接続させる意味を、スペイン政府は熟考した末に結論を出したのだ。

禁止令はすでに現実の打撃を生んでいる。NavantiaとPalantirの間で最終段階にあった共同プロジェクトは停止。国家治安警備隊(Guardia Civil)とPalantirの協力協定は内務大臣が自ら拒否権を発動。フランスのルコルニュ前首相(Sébastien Lecornu)も6月10日、仏政府が同社との協業を停止すると公に表明した。ドイツ国内ではフランスの競合製品ChaosVisionの調達へ傾きつつある。

スペイン軍部はこれに不満を抱いている。Palantirは現在もスペイン軍情報センター(CIFAS)との1650万ユーロの契約を保持しており、今年11月に期限を迎える。陸軍および海軍の参謀長は国防大臣に契約更新を働きかけている。理由は率直で、このシステムは本当に有用だからだ。しかし首相府は今のところ首を縦に振っていない。

なぜスペインはこのタイミングで「手のひら返し」をしたのか。原報道は二つの手がかりを示す。第一に、Palantirの共同創業者Peter ThielおよびCEO Alex Karpはトランプ政権と深い政治的・財務的つながりを持ち、スペインのサンチェス首相は米新政権と複数の議題で立場が対立している。第二に、スペイン政府はすでに自前の技術代替案へ加速的に投資しており——カタルーニャの半導体企業Openchipへの1億1500万ユーロの出資を承認、50億ユーロのメガファブ計画の一環だ。封殺は孤立した行動ではない。「国産代替」にスペースを空ける布石なのだ。

noyb作成の EU-米国データ移転枠組み概念図——トランプの塔 図:noybはEU-米国間データ移転協定を「トランプの塔」に例えた。出典:noyb.eu

一紙の判決:米最高裁はいかに欧州のデータ主権を「巻き添え」にしたか

ではワシントンに目を転じよう。この判決の衝撃を理解するには、まず背景を知る必要がある。1995年以降、EU法はEU市民の個人データを「保護水準が不十分」な第三国へ随意に移転することを禁じてきた。つまり、あなたがパリで使うGmailのメールも、ミラノで予約するAirbnbも、ベルリンで使うSalesforceも——それらのデータが合法的に米国内のサーバーに保存できるか否かは、EUが米国のデータ保護を「及第点」と認めるかどうかにかかっている。

このハードルを越えるため、欧米間にはこれまで三本の「橋」が架けられてきた。2000年の「セーフハーバー」、2016年の「プライバシー・シールド」、2023年の「データ・プライバシー・フレームワーク」である。最初の二本の橋は、いずれもEU司法裁判所(CJEU)によって「米国の監視法が過度に広範で、独立した司法的救済手段を欠く」として覆された。三本目の橋はかろうじて立っているが、それには致命的な一本の支柱がある——FTCの独立性である。

現行のデータ・プライバシー・フレームワークの十分性認定文書において、EU委員会はFTCを「独立した監督機関」として259回にわたって依拠している。これは驚くべき数字だ。EUの憲法級の法律(EU機能条約第16条2項および基本権憲章第8条3項)には、データ保護の監督機関は独立していなければならないと明記されている。総合的なプライバシー法を持たない米国において、FTCの独立性こそがEUが米国を「及第点」と認めるほぼ唯一の理由だった。

そこへ米最高裁が踏み込んだ。6月29日、保守派多数の裁判官は Trump v. Slaughter 事件において、いわゆる「統一行政理論(unitary executive theory)」を採用し、FTCの独立性は違憲であると裁定——大統領はFTC委員をいつでも理由なく解雇できるとした。これは、FTCがもはや「独立」機関ではなく、大統領が直接指揮できる行政部門の一つになったことを意味する。EUにとって、あの259回の依拠は一瞬で259個の穴に変わった。

noybの創業者Max Schrems——過去二本の「橋」をそれぞれ訴訟で粉砕したオーストリア人——は判決後に声明を発表した。「EU委員会自身の論理に照らしても、いかなる欧米間データ移転協定の基盤も死んだ。我々は米国クラウドサービスからの秩序ある撤退プロセスの開始を求める。容易ではないが、不可避だ。」

さらに致命的なのは、米最高裁のこの論理がFTCだけに留まらないことだ。「独立機関は違憲」の原則が普遍的に適用されるならば——これこそ保守派判事の意図するところだが——これまで米国のプライバシー保護の確約とされてきた「データ保護審査裁判所(Data Protection Review Court、名称に反して司法省の内部機関)」や「プライバシー・市民的自由監督委員会(PCLOB)」も、ことごとく同じ合法性問題に直面する。EUの対米データ保護への信頼構造全体が一枚のドミノ倒しなのである。

CJEU(EU司法裁判所)ビル——欧米間データ移転協定を二度覆した重要機関 図:ルクセンブルクにあるEU司法裁判所(CJEU)ビル。欧米間データ移転協定を二度にわたり無効化した。出典:noyb.eu

不安から行動へ:大西洋デジタル冷戦の転換点

この二つの出来事を重ね合わせると、重要なパターン変化が見えてくる。

過去十年、デジタル主権をめぐる欧州の姿勢は「立法不安症」とでも呼ぶべきものだった。GDPRが成立し、デジタル市場法が通り、AI法が進行中——法律はますます厚くなる一方で、執行面では常に半テンポ遅れていた。米テクノロジー企業は依然として欧州市場で支配的地位を占め、EU市民のデータは大量に米国サーバーへ流出し続け、いわゆる「主権」はおおむね紙の上に留まっていた。

しかし2026年7月の第一週、様相が一変した。スペインは「データセキュリティを憂慮する」声明を出さなかった。米国の主要テクノロジー企業との取引を直接断ち切った——しかも政府レベルに留まらず、国有持株の民間企業にも遵守を求めた。noybはEU委員会に正式書簡を送り、撤退プロセス開始を要求した——「枠組みに問題がある」と分析記事を書く段階は終わったのだ。

筆者はこれが偶然とは思わない。背後では三つの力が同時に働いている。

第一の力:トランプ政権の「予測不能性」が予測可能な定数になった。 2016〜2020年の欧州がまだ様子見をしていたとすれば、2025年のトランプ再登板で様子見は終わった。大統領が恣意的に法執行機関のトップを解雇し、行政命令で前任者の政治的確約を覆し、最高裁がそのすべてに憲法的なお墨付きを与える——こうした状況下で、欧州の政策立案者は「米国は自ら軌道修正する」を意思決定の前提にできなくなった。

第二の力:データセキュリティと国防セキュリティの境界消失。 Palantirが禁止された核心的理由はプライバシー侵害ではなく、「国家安全保障」だった。スペインが懸念したのは軍事情報、通信データ、法執行情報の流れである。データ分析能力それ自体が武器である時代に、データ能力の外注は国防能力の一部を外注することに等しい。これはもはやGDPRのコンプライアンス問題ではなく、主権問題なのだ。

第三の力:欧州は本気で代替案を構築し始めた。 スペインのOpenchip投資、ドイツのChaosVision調達、フランスの「自律的クラウド」戦略——欧州はついに本気でカネを投じて「自前の」ソリューションを作り始めた。「米国製は要らない」と口にするだけの段階は終わった。代替市場が形を成し始めたことで、「封殺」は政治的ジェスチャーから実行可能なビジネス上の選択肢へと変わった。

敵役は誰か

このデジタル冷戦に単一の悪役はいないが、一組の明確な対立軸がある。一方には米国「統一行政理論」の下での大統領権限拡大——一人の大統領が恣意的にすべての法執行・監督機関を統制でき、EUはまさにその機関の「独立性」を信頼しなければ米国を信用できないという構図。他方には、受動的なコンプライアンスから能動的な封鎖へと転じる欧州——行政命令と政治的決断によって依存を直接断ち切り、もはや司法訴訟を何層も積み上げる古い道は歩まない。

スペインの禁止令にはもう一つ興味深いディテールがある。それは「静かに」下された。政府はプレスリリースを出さず、記者会見も開かず、SEPIの内部チャネルを通じて階層的に伝達された。これこそが示している——本気の行動にパフォーマンスは不要であると。

この先に起こること

短期的には、「ネット断絶」のようなデータデカップリングは起きない。たとえnoybがEU委員会に米国データ保護の十分性認定撤回を求めても、委員会はおそらく先延ばし、交渉、技術的つぎはぎ策の模索を選ぶだろう。GDPR第49条は必要なデータ移転(ホテル予約、越境決済など)を許容しており、日常的なビジネス活動の大半が一夜で停止することはない。

しかし中期的には——1年から3年——変化は不可逆的なものとなる。EU企業はすでに法的助言を受け始めている。仮に「標準契約条項(SCC)」を用いておりデータ・プライバシー・フレームワークを使っていなくとも、そのデータ越境「影響評価」は通常、FTCとPCLOBの独立性を前提としている。これらの評価は今後書き直しが必要となり、書き直した結論はおそらく「不可」である。

Max Schremsは単刀直入に言い放った。「我々は米国クラウドサービスからの秩序ある撤退プロセスの開始を求める」。彼が言っているのは「クラウド」だ——そして欧州のクラウド市場の7割超は米国企業が握っている。容易な方向転換ではないが、Schremsの言葉は欧州でますます主流化しつつあるコンセンサスを代弁している。信頼できないパートナーをつぎはぎで信頼し続けるより、自前で構築せよ、と。

スペインのPalantir封殺とFTC独立性無効化は、本質的に同じ論理が大西洋の両岸で異なる形をとって現れたものだ。デジタルインフラの支配権は、もはや領土、軍事、通貨と同様に、国家主権の譲り渡せない一部である。 2026年7月、この認識は条文から行政命令へと踏み出した。

参考リンク: