欧州委、「EU米データ・プライバシー枠組み」に関してGDPR上の十分性を認定
(EU、米国)
ブリュッセル発
2023年07月14日
欧州委員会は7月10日、EU・米国間の新たな個人データの移転枠組みとなる「EU米国データ・プライバシー枠組み(DPF)」に関して、一般データ保護規則(GDPR、注1)に基づき「十分性」(注2)を認定する委員会実施決定を採択した(プレスリリース)。これは、米国側の手続き完了(2023年7月4日記事参照)を受けた上での判断だ。十分性認定の決定は同日より施行されたことから、今後は欧州経済領域(EEA、注3)から米国のDPF参加企業への個人データの移転は、追加的な保護措置をとることなく認められる。
GDPRは、EEAから域外の第三国への個人データの移転を、原則違法としている。欧州委が移転国に対して行う十分性認定や、欧州委が2021年に改定した個人データ保護に関する標準契約条項(SCC)の使用(2021年7月9日記事参照)など、適切な保護措置に基づく場合に限り、例外的に適法としている。
これまで、欧州委は米国に対し十分性認定はしておらず、「プライバシー・シールド」と呼ばれる代替措置を導入していた。しかし、EU司法裁判所(CJEU)は2020年7月、米国に移転された個人データの米国国内法による保護が不十分として、「プライバシー・シールド」を無効と判断した(2020年7月17日記事参照)。これを受け、EUと米国は、CJEUの無効判決を反映させるべく、「プライバシー・シールド」に代わる新たな枠組みに関する協議を開始。2022年3月、DPFに原則合意し(2022年3月28日記事参照)、欧州委は2022年12月に十分性認定の決定案(2022年12月15日記事参照)を発表していた。
欧州委のウルズラ・フォン・デア・ライエン委員長は、DPFは個人データの米国への安全な移転を確保するものであり、EUと米国企業に法的安定性をもたらすものだと強調している。一方で、DPFはEU市民の個人データを十分に保護していないとの声もある。政治専門誌「ポリティコ」(7月10日付)によると、2020年7月の「プライバシー・シールド」無効判決や、「プライバシー・シールド」の前身である「セーフ・ハーバー」の2015年10月の無効判決(2015年10月21日記事参照)の実質的な原告であるマクシミリアン・シュレムス氏は、2023年8月末までに提訴に向けた法的手続きを開始する意向を示しており、今後の行方が注目される。なお、GDPRに基づき設置された欧州データ保護会議(EDPB)も2023年2月、DPFは「プライバシー・シールド」を大幅に改善するものだと評価した上で、米国側の個人データの保護措置に関しては一部懸念を表明していた。
(注1)「特集 EU一般データ保護規則(GDPR)について」を参照。
(注2)法整備などに基づき、EUと同等程度に十分な水準で個人データ保護を講じていること。
(注3)EU加盟国とノルウェー、アイスランド、リヒテンシュタイン。
(吉沼啓介)
(EU、米国)
ビジネス短信 c85d42c21213f226