【速報】欧州委員会がEU・米国間のデータプライバシーフレームワークに対する十分性を認定

DPFに対する欧州委員会の十分性認定について

2023年7月10日、欧州委員会は、EUから米国への個人データの越境移転のためのData Privacy Framework（以下、DPF）に対して十分性を認定しました。同決定は、新たな枠組みの下、EUから米国企業へ移転される個人データについて、米国がEUと同等レベルの保護を確保していると結論付けています。この新たな十分性認定に基づき、個人データはEUからDPFに参画する米国企業へ、追加のデータ保護措置を講じることなく安全に移転することができます。

DPFは、欧州司法裁判所が提起したすべての懸念に対処するため、新たに適切な保護措置を導入しています。具体的には、米国の諜報機関によるEUデータへのアクセスを必要かつ適切なものに制限することや、EUの個人がアクセスできるData Protection Review Court（データ保護審査裁判所、DPRC）の設置などが含まれます。この新しい枠組みは、2015年に無効にされたプライバシー・シールドの下で存在していたメカニズムに比べ、大幅に改善されています。

たとえば、DPRCは、データがDPFに違反して収集されたと判断した場合、データの削除を命じることができます。また、米国政府によるデータへのアクセスに関しても、米国政府は、DPFに参画しEUからデータを輸入する米国企業が負担する義務を補完します。

米国企業は、「個人データが収集された目的として必要ではなくなった場合、同データを削除する義務」や「個人データが第三者と共有される場合に保護の継続性を確保する義務」など、詳細な一連のプライバシー保護義務を遵守することを証明することで、DPFに参画することができます。

DPFに参画している米国企業が、個人データを越境移転する場合

DPFに参画している米国企業のデータ管理者・処理者の場合、十分性認定のもと、EUからのデータの移転が認められます。また、EUの個人には、自分のデータが米国企業によって不当に取り扱われた場合、紛争解決手続に則って無料で相談できる権利が認められています。米国企業のデータ管理者・処理者はDPFの遵守を証明できることが条件になりますが、EUデータを処理している日本のデータ管理者も標準契約条項（Standard Contractual Clause, SCC）の設置やデータ移転のリスクに関する影響評価（Transfer Impact Assessment, TIA）の実施なしで、米国製のツールを使用できるということになります。

弁護士などの専門家と連携しながら最新動向をふまえた適切なGDPR対応を

DPFの機能は、欧州委員会が欧州のデータ保護当局および米国の所轄当局の代表者とともに実施する定期的な見直しの対象となります。最初の見直しは、すべての関連要素が米国の法的枠組みに完全に導入され、実際に効果的に機能していることを確認するため、今回の十分性認定後1年以内に行われます。しかしながら、以前のEU・米国間の枠組み同様、この新しい枠組みも法廷で争われる可能性が高いと思われます。今回の新しい仕組みが存続するかどうかは、今後も注視する必要があるでしょう。

法律事務所ZeLoでは、GDPRについて、EUのデータ保護における専門知識を有する認定DPO(Data Protection Officer) Certificateを保持する専門家が在籍し、貴社のビジネスに合わせた支援を行っています。また、GDPRに限らず、データ保護について、国内外を問わず、実績豊富な弁護士でチームを編成し、必要に応じて海外の法律事務所とも協働しながら、サポートにあたっています。

支援実績も、スタートアップから中小・上場企業まで多岐にわたり、企業規模やビジネススキームに合わせた、迅速かつ質の高いサービスを提供いたします。GDPR対応や個人情報法などの対応についてお困りの方は、ぜひ一度ご相談ください。

なお、以下の記事にて、GDPRの概要や、日本企業が留意すべき点についても解説していますので、併せてご参照ください。