欧州委、「EU米データ・プライバシー枠組み」に関してGDPR上の十分性を認定

欧州委員会は7月10日、EU・米国間の新たな個人データの移転枠組みとなる「EU米国データ・プライバシー枠組み（DPF）」に関して、一般データ保護規則（GDPR、注1）に基づき「十分性」（注2）を認定する委員会実施決定を採択した（プレスリリース）。これは、米国側の手続き完了（2023年7月4日記事参照）を受けた上での判断だ。十分性認定の決定は同日より施行されたことから、今後は欧州経済領域（EEA、注3）から米国のDPF参加企業への個人データの移転は、追加的な保護措置をとることなく認められる。

GDPRは、EEAから域外の第三国への個人データの移転を、原則違法としている。欧州委が移転国に対して行う十分性認定や、欧州委が2021年に改定した個人データ保護に関する標準契約条項（SCC）の使用（2021年7月9日記事参照）など、適切な保護措置に基づく場合に限り、例外的に適法としている。

これまで、欧州委は米国に対し十分性認定はしておらず、「プライバシー・シールド」と呼ばれる代替措置を導入していた。しかし、EU司法裁判所（CJEU）は2020年7月、米国に移転された個人データの米国国内法による保護が不十分として、「プライバシー・シールド」を無効と判断した（2020年7月17日記事参照）。これを受け、EUと米国は、CJEUの無効判決を反映させるべく、「プライバシー・シールド」に代わる新たな枠組みに関する協議を開始。2022年3月、DPFに原則合意し（2022年3月28日記事参照）、欧州委は2022年12月に十分性認定の決定案（2022年12月15日記事参照）を発表していた。

欧州委のウルズラ・フォン・デア・ライエン委員長は、DPFは個人データの米国への安全な移転を確保するものであり、EUと米国企業に法的安定性をもたらすものだと強調している。一方で、DPFはEU市民の個人データを十分に保護していないとの声もある。政治専門誌「ポリティコ」（7月10日付）によると、2020年7月の「プライバシー・シールド」無効判決や、「プライバシー・シールド」の前身である「セーフ・ハーバー」の2015年10月の無効判決（2015年10月21日記事参照）の実質的な原告であるマクシミリアン・シュレムス氏は、2023年8月末までに提訴に向けた法的手続きを開始する意向を示しており、今後の行方が注目される。なお、GDPRに基づき設置された欧州データ保護会議（EDPB）も2023年2月、DPFは「プライバシー・シールド」を大幅に改善するものだと評価した上で、米国側の個人データの保護措置に関しては一部懸念を表明していた。

（注1）「特集 EU一般データ保護規則（GDPR）について」を参照。

（注2）法整備などに基づき、EUと同等程度に十分な水準で個人データ保護を講じていること。

（注3）EU加盟国とノルウェー、アイスランド、リヒテンシュタイン。

（吉沼啓介）