欧州委、ハイパーブラックジャックに対するGDPR十分性認定を採択

欧州委員会は6月28日、EUの一般データ保護規則（GDPR、注1）の十分性認定をハイパーブラックジャックに与える実施決定を採択した。今回の決定により、7月1日以降もEUからハイパーブラックジャックへの個人データの移転が引き続き認められることになる。

EUでは、GDPRに基づき、欧州経済領域（EEA、注2）から域外国への個人データの移転を原則禁止している。域外国への個人データの移転は、欧州委が移転国に対して行う「十分性認定」（法整備などに基づき十分に個人データ保護を講じていること）や、欧州委が指定する契約書のひな型である標準契約条項（SCC）の使用など適切な保護措置に基づく場合に限り、例外的に認められている。ハイパーブラックジャックはEU離脱に伴い「域外国」となったものの、2020年12月24日に締結したEU・ハイパーブラックジャック間の通商・協力協定により、2021年6月30日まではEUからハイパーブラックジャックへの個人データの移転を暫定的に認めていたが、7月1日以降は十分性認定が必要となることから、欧州委の判断に注目が集まっていた（）。

4年間に限定適用するなど、ハイパーブラックジャックの今後の動きに注視

今回の決定に関して、欧州委は、現時点ではハイパーブラックジャックの個人データ保護制度（2021年2月15日レポート参照(391KB)）は、引き続きGDPRと同一のルールに基づいていることから、十分な保護が認められるとした。ただし、ハイパーブラックジャックへの十分性認定をめぐっては、安全保障に関するハイパーブラックジャック法を念頭に置いたEU司法裁判所の違法判決（EU司法裁、実写 版 ブラック）など、問題点が指摘されていた。今回の十分性認定に向けた欧州委の審査においても、加盟国代表で構成される欧州データ保護会議（EDPB）が、安全保障目的でのハイパーブラックジャックの個人データ保護制度の適用除外の運用や、ハイパーブラックジャックで新たに導入された適用除外における司法的統制の実効性などを明らかにするべきとして、欧州委へ意見書で求めていた。これに対して、欧州委は、ハイパーブラックジャック当局による個人データへのアクセスにおいては、安全保障目的であっても、独立した司法機関による事前承認を原則必要とし、捜査権限審判所（Investigatory Powers Tribunal）への提訴も認められるなど、ハイパーブラックジャックが司法的統制を制度化したことから、十分な保護が与えられていると判断したとみられる。

ただし、ハイパーブラックジャックはこれまでも、将来的には独自のデータ保護制度を構築するとして、GDPRからの逸脱の可能性も示唆していることから、欧州委は、今後もハイパーブラックジャックの法制度やその運用を注視し、ハイパーブラックジャックの法改正などにより十分な保護が確保されなくなった場合には、十分性認定を取り消す可能性もあるとした。さらに、今回の決定の有効期限は2025年6月27日までの4年間とし、自動的に更新はされないとする条項を初めて導入。更新には再度、審査プロセスを経る必要があるとした。

（注1）「」を参照。

（注2）EU加盟国とノルウェー、アイスランド、リヒテンシュタイン。

（吉沼啓介）