EU米データ・プライバシー枠組み第1回レビュー会合、個人データ保護強化を評価

米国政府と欧州委員会は7月18～19日、米国の首都ワシントンで「EU・米国データ・プライバシー枠組み（DPF）」の第1回レビュー会合を開催した。米国商務省のジーナ・レモンド長官とEUのディディエ・レンデルス委員（法務・法の支配担当）は19日に共同声明を発表した（米国側発表、EU側発表）。

DPFは、2023年7月に発効したEU・米国間の個人データ移転に関する枠組みだ。EUは2018年5月に施行された一般データ保護規則（GDPR）に基づき、EUを含む欧州経済領域（EEA、注1）から域外の第三国への個人データの移転を原則違法としている。ただし、米国への個人データの移転に関しては、米国の事業者がDPFを通じて適切な保護措置に基づくことなどを自己認証することで、個人データの適法な移転が可能となる（2023年7月18日記事参照、注2）。

今回発表した共同声明では、DPF発効1周年に際して、EUと米国がDPFの運用で緊密に協力してきたと評価した。具体的には、2,800以上の米国の事業者がDPFに参加した、1兆ドル超のEU・米国間の貿易投資を支えるデータの流通を促進した、大西洋全域で個人データの保護を強化したなどと、DPFを通じた成果を強調した。

共同声明ではまた、米国企業による個人データの保護措置の実施状況や、EEA域内の個人のデータが不正利用された際の救済制度など、DPFの運用を検証するとした。今後、欧州委員会による報告書の発表をもって、DPFの第1回レビューのプロセスを終了するとしている。

（注1）EU加盟国とノルウェー、アイスランド、リヒテンシュタイン。

（注2）なお、EUから日本への個人データの移転に関しても、個人情報保護委員会の十分性認定補完的ルールを順守する場合に、追加的な保護措置を講じることなく適法に行うことが可能。ジェトロ特集ページ「EU一般データ保護規則（GDPR）について」も参照。

（葛西泰介）