EU委員会、EUと米国のデータ・プライバシー枠組みに関する妥当性決定を採択
欧州委員会は、EU-米国データ・プライバシー・フレームワーク**(EU-米国DPF**)に関する待望の妥当性決定を採択した。 これにより、2023年7月10日以降、EUから、EU-米国DPFに参加していると認定された米国の組織への個人データの移転は、追加的な移転ツール(SCCやBCRなど)に依存することなく、また、移転影響評価を実施したり、さらなる補足措置を検討したりすることなく、妥当性決定に基づくことができる。
決定の背景
EU-U.S. DPFは、2020年7月に欧州司法裁判所(CJEU)がEUから米国への個人データ移転の仕組みとして無効としたプライバシーシールドフレームワークに代わるものである(C-311/2 “Schrems II”)。CJEUはその決定の中で、米国におけるデータの受領者がEUで提供されるものと本質的に同等のデータ保護水準を確保することを妨げる米国法の重大な問題点を指摘した。これらの問題には、外国情報監視法第702条(FISA702条)や大統領令第12333号に基づき、EUのデータ主体に対する監視や法的救済のための適切な仕組みなしに、米国の情報機関が個人データにアクセスするための広範囲に及ぶ能力が含まれていた。
2022年10月、バイデン大統領は「米国のシグナル・インテリジェンス活動に対するセーフガードの強化」に関する大統領令(EO)14086に署名した。この大統領令は、米国の情報機関によるデータへのアクセスを、国家安全保障を守るために必要かつ適切なものに制限するための新たな規則と拘束力のあるセーフガードを設け、米国の情報機関に対し、新たなプライバシーおよび市民的自由の基準の効果的な監督を確保するための手順を採用するよう指示した。さらに、米国の情報機関によるアクセスに関するEU域内の個人からの苦情を調査・解決するために、新たに設立された独立のデータ保護審査裁判所を含む、2段階の救済制度を新設した。
EU-U.S. DPFは、EO 14086に大きく依存しながら、EUと整合性のあるデータ保護を確保しつつ、EUから米国への個人データ移転のための信頼できるメカニズムを米国の組織に提供するために、米国商務省(DoC)と欧州委員会によって開発された。
EU-米国データ・プライバシー枠組みはどのように機能するのか?
このフレームワークの恩恵を受けるためには、米国に拠点を置く組織は、EU-U.S. DPFの基本的なプライバシー原則を遵守することを約束することを証明しなければなりません。これらの原則は、目的の限定、データの正確性、データの最小化、セキュリティなどの原則を含むEU GDPRの概念をほぼ反映していますが、コピーではありません。また、機微な個人情報を取り扱う米国の組織は、そのような情報を保護するために特定のセーフガードを採用しなければならない。同フレームワークの透明性義務では、認証を受けた組織は、プライバシーに関する通知を通じて、EU-米国DPFの原則に参加していることを公に確認し、EU域内の個人の救済権を明記することが義務付けられている。
認証は、データ・プライバシー・フレームワークのウェブサイトからオンラインで行うことができる。このプロセスは自己認証の一つであるが、各申請はDoCによって承認されなければならず、審査され承認されるまで有効ではない。再認証は、プライバシー・シールドと同様、組織の規模に応じて等級分けされた適用料金の支払いとともに、年単位で必要となる。認証を受けようとする組織の主な要件は、こちらをご覧ください。現在、申請手続きは開始されているが、どれだけの組織がサインアップを急ぐか、またDoCにおいて申請書の審査や許可にどのような手戻りが生じるかはまだわからない。
米国への移籍に関する標準契約条項はこれで終わりなのか?
必ずしもそうではない。EU-U.S. DPFに基づく認証は任意である。EU-U.S.DPFの参加者でない米国を拠点とする組織への移転は、妥当性決定に基づくことはできません。 このような移転の場合、輸出者はSCCや拘束力のある企業規則などの適切な保護措置を講じる必要があり、SCCを使用する場合には移転影響評価(TIA)を実施する必要があります。しかし、欧州データ保護委員会(EDPB)は最近、「国家安全保障の分野で米国政府が導入しているすべてのセーフガード(救済メカニズムを含む)は、使用する移転手段にかかわらず、米国に移転されるすべてのデータに適用される」と述べた。つまり、TIAを実施し、選択された46条の移転手段としてのSCCの有効性を評価する際、EUから米国にデータを輸出する企業は、妥当性決定において欧州委員会が実施した評価を考慮することができる。現時点では、米国のデータ移転にSCCを利用する際に、さらなる保護措置が必要かどうかについては疑問符が残るが、EDPBのガイダンスは、米国に拠点を置く企業に移転されるデータに与えられる保護レベルの評価に関しては、米国法の改革がSCCに依存し続ける企業にとって有益であることを示唆している。
EUと米国のプライバシーシールドフレームワークは何を意味するのか?
DoCは、認証を維持しているプライバシー・シールド参加者は、直ちにEU-米国DPFに依拠できることを確認した。このような組織は、EU-U.S. DPFの原則(プライバシー・シールドの原則に忠実なもの)を遵守していることを確認する必要があり、また重要な点として、2023年10月10日までにEU-U.S. DPFとその原則への依存を反映したプライバシー通知を更新する必要がある。また、プライバシー・シールドに言及するデータ処理契約も改正が必要となる。
EU-U.S. DPFに切り替えても、組織の再認証期限は変更されない(すなわち、プライバシー・シールドの再認証は、今後もEU-U.S. DPFのままとなる)。EU-U.S. DPFの原則の遵守を希望しない組織は、脱退手続きを行う必要があります。認証の失効を放置しても脱退とはみなされず、プライバシー・シールドに基づく強制措置が取られる可能性があります。
英国とスイスについてはどうですか?
EU-U.S. DPFに関するEUの妥当性決定は、英国に利益をもたらすものではない。英国は先月、英国と米国のデータブリッジへのコミットメントを改めて表明し、米国の組織はすでにEU-米国DPFの英国エクステンションの認証を受けることができますが、そのような組織は英国が妥当性決定を採択するまで、英国およびジブラルタルから米国へのデータ移転について英国エクステンションに依拠することはできません。英国エクステンションへの参加には、まずEU-米国DPFへの参加が必要です。
スイス・米国間DPFは、EU・米国間DPFと同じ認証プロセスを踏んでいるものの、個別の自己認証を必要とする独立した枠組みである。また、すでに運用されているため、スイス-米国プライバシーシールドフレームワークのメンバーはスイス-米国DPFに移行することができ、参加を希望するメンバーも移行することができる。しかし、英国と同様、スイスの妥当性決定が発表されるまでは、スイス-米国DPFに頼ってスイスに移転することはできない。
順風満帆か、氷山の一角か!
誰もが口にしている疑問は、このEUと米国のプライバシー枠組の3度目の試みがいつまで続くのかということだ。NOYBはすでにEU-US DPFに対する反応を示しており、やがて新たな法的挑戦が行われることを示唆している:
「狂気の定義は、同じことを何度も繰り返しながら、違う結果を期待することだと言われる。プライバシー・シールド』と同じように、今回の取り決めは重大な変更に基づくものではなく、政治的利害に基づくものだ。またしても現委員会は、この混乱は次の委員会の問題になると考えているようだ。FISA702は今年中に米国によって延長される必要があるが、新たな取り決めの発表により、EUはFISA702の改革を求める力を失った」。
将来、EUと米国のDPFが無効になる可能性は、参加するかどうかを評価する組織にとって考慮すべきことかもしれない。