欧州委、「EU米データ・プライバシー枠組み」のGDPR上の十分性を認める決定案を発表

欧州委員会は12月13日、一般データ保護規則（GDPR、注1）に基づき、「EU米国データ・プライバシー枠組み（DPF）」の十分性を認定する決定案を発表するとともに、決定案の正式な採択に向けた手続きを開始したと発表した(プレスリリース)。DPFの十分性認定が採択されれば、追加的な保護措置をとることなく、欧州経済領域（EEA、注2）から米国のDPF参加企業への個人データの移転が認められることになる。

GDPRは、EEAから域外の第三国への個人データの移転を原則違法とし、欧州委が移転国に対して行う「十分性」（法整備などに基づき、十分に個人データ保護を講じていること）認定の決定や、欧州委が2021年に改定した個人データ保護に関する標準契約条項（SCC）の使用（2021年7月9日記事参照）など、適切な保護措置に基づく場合に限り例外的に適法としている。

EUは米国に対して十分性認定はしていなかったが、「プライバシー・シールド」と呼ばれる代替措置を導入していた。しかし、EU司法裁判所（CJEU）は2020年7月、米国に移転された個人データが、安全保障を目的とした米国政府機関の監視対象となる場合に、米国国内法における個人データの保護が不十分として、「プライバシー・シールド」を無効と判断したことから（2020年7月17日記事参照）、EUと米国は「プライバシー・シールド」に代わる新たな枠組みを検討していた。こうした中で、EUと米国は2022年3月、CJEUの無効判決が指摘した不備を修正した、新たな枠組みとなるDPFに原則合意（2022年3月28日記事参照）。その後、米国は2022年10月に、原則合意に基づき、米国政府機関による監視に対する一定の制限を含む、DPFの実施に関する大統領令に署名していた（2022年10月11日記事参照）。

欧州委は、大統領の署名を受けて、DPFの審査を実施。今回公表したDPFの十分性認定案において、以下の点などを挙げ、DPFはEUにおける個人データの保護と同等の保護を提供していると結論付けた。

・米国企業が、DPFに参加するためには、詳細が規定されたプライバシー保護義務を順守する必要があること。また、EU市民は、DPFに違反し、個人データが取り扱われた場合、独立した紛争解決メカニズムや仲裁パネルなどの救済手段が利用可能であること。

・米国政府機関によるEEAから移転された個人データへのアクセスにおいて、十分な制約および保護措置が課されていること。これには、米国政府機関によるデータアクセスが、安全保障上必要かつその必要性に比例した程度で実施しなければならないことや、米国政府から独立し、法的拘束力を持った救済措置を決定する権限を持つ二審制の「データ保護審査裁判所」が新設されたことで、EU市民は、米国政府機関による個人データのアクセスに関して、実効的な救済を受けることが可能となることなどが含まれている。

欧州委は今後、GDPRに基づき設置された欧州データ保護会議（EDPB）による意見を受け、EU加盟国の代表者からなる委員会による承認と、欧州議会による審査を受けた上で、DPFの十分性認定の決定を採択する。

（注1）「特集 EU一般データ保護規則（GDPR）について」を参照。

（注2）EU加盟国とノルウェー、アイスランド、リヒテンシュタイン。

（吉沼啓介）