米商務省、「EU米データ・プライバシー枠組み」の参加手続き開始

米国商務省は7月17日、米国・EU間の新たなデータ移転枠組み「EU米国データ・プライバシー枠組み（DPF）」に関する情報をまとめたウェブサイトを公開した。

DPFは、EU司法裁判所（CJEU）が2020年7月に無効と判断した「プライバシー・シールド」と呼ばれる措置の後継枠組みで、米国とEUが2022年3月に原則合意した（2022年3月28日記事参照）。米国政府は2023年7月3日までにDPFの実施に必要な米国側の手続きを完了し、欧州委員会は7月10日、DPFに関して、一般データ保護規則（GDPR、注1）に基づき「十分性」（注2）を認定する委員会実施決定を採択した（2023年7月14日記事参照）。GDPRは、欧州経済領域（EEA、注3）から域外の第三国への個人データの移転を原則違法としているが、DPFの十分性認定により、EEAから米国のDPF参加企業への個人データの移転は、追加的な保護措置をとることなく認められるようになった。

DPFの運営は、米国側では商務省国際貿易局（ITA）が行う。DPFに参加を希望する企業は、ウェブサイトに掲載されているDPF原則の順守などが必要になる。具体的には、DPFのウェブサイトを通じてITAに自己認証し、DPF原則の順守を公約する必要がある（注4）。DPFに基づくデータ移転は、参加企業の情報がDPFリストに掲載されるまでできない。DPF参加企業は、年に1回再認証を行う必要があり、再認証を行わない場合、DPFリストから削除される。DPFの義務違反は、連邦取引委員会（FTC）による執行の対象となる可能性がある。なお、DPFの前身のプライバシー・シールドに参加していた企業は、DPFに基づいて即時に個人データの移転が可能だが、2023年10月10日までにDPFに関して自己認証するよう求められている。

米国はDPFと同様のデータ移転枠組みを、英国とスイスとも実施する予定だ。両国との枠組みに参加を希望する企業は7月17日から、DPFのウェブサイトを通じて自己認証できるようになった。ただし、実際にデータ移転が可能になるのは、各国との枠組みが施行されてからになる（注5）。

また、ジーナ・レモンド商務長官とメリック・ガーランド司法長官はウェブサイト公開と同日、首都ワシントンでEUのディディエ・レンデルス委員（法務・法の支配担当）と、EUによるDPFの十分性認定を記念する会談を行ったと発表した。レモンド長官は「大企業も中小企業も、合理的で容易な米国・EU間のデータ移転の仕組みを利用できるようになる」と、DPF実施の意義を強調した。

（注1）「特集 EU一般データ保護規則（GDPR）について」を参照。

（注2）法整備などに基づき、EUと同等程度に十分な水準で個人データ保護を講じていること。

（注3）EU加盟国とノルウェー、アイスランド、リヒテンシュタイン。

（注4）DPFに関する手続きについては、参加のための主な要件や参加方法を説明したページを参照。

（注5）米英両政府は1月、2022年10月に立ち上げた「技術とデータに関する包括対話」（2022年10月14日記事参照）の第1回会合で、データ移転枠組みの2023年中の施行を目指すことに合意している。

（甲斐野裕之）