世界のプライバシー保護規制対応を支援するサイト

今すぐ会員登録する
個別説明ご希望の方
無料資料ダウンロード

【論説】米国への新たな十分性認定とSCCの関係

  • 2023年 7月 12日
米国への新たな十分性認定とSCCの関係
株式会社インターネットイニシアティブ
プリンシパル・コンサルタント 鎌田博貴

欧州委員会 米国DPF制度を対象とする十分性認定を正式採択

7月10日、欧州委員会は、米国のEU-U.S. Data Privacy Framework(DPF)制度に登録した組織に対するEU個人データの越境移転について、EU水準のデータ保護制度が確保されていると判断し、GDPR45条による十分性認定を正式に採択した。

DPF制度の概要

DPF制度は、GDPRと同水準の個人データ保護原則(目的限定、本人関与、処理最小原則、安全管理、透明、権利行使など)を遵守すること、一定の苦情処理の仕組みを組織内で運営すること、連邦取引委員会等による監視・法執行に服することなどを公に宣言した米国の組織を連邦商務省のDPFリストに登録する制度である。連邦商務省国際貿易局(ITA)は、DPF制度の詳細を解説し、事業者からDPFリストへの登録を受け付けるウェブサイト(https://www.dataprivacyframework.gov/s/ <https://www.dataprivacyframework.gov/s/>)を既に開設したが、本稿執筆時点(2023年7月12日)では、同ウェブサイトの多くの機能は工事中の状態で、登録手続きはまだ開始されていない。

今回の十分性認定に伴い、DPF制度に登録した事業者に対してGDPRが適用される個人データを移転する場合、他の追加的措置は不要となるわけだが、GDPRが規定する他の越境移転メカニズム、具体的には標準契約条項(SCC)に準拠したデータ保護契約又は拘束的企業準則(BCR)を保護措置とする越境移転についても、今回の正式採択のメリットが及ぶことについて、以下に解説する。

SCC・BCRに基づく越境移転に対し、今回の十分性認定が及ぼすメリットとは?

欧州委員会が今回の新たな十分性認定を採択するに当たっては、Privacy Shieldを無効と宣言した2020年7月欧州司法裁判所シュレムスII判決において指摘された米国法制度の問題点が改善されているかどうかが焦点だった。この点については、昨年来、米国連邦政府が新たに導入・強化した諜報活動におけるデータ保護措置により、(1)諜報活動における個人データへのアクセス範囲は、個別の目的との関係で必要かつ比例的な範囲に限定されていること、(2)EUデータ主体が当該アクセスの適法性を争う場合、新設されたデータ保護審査裁判所(DPRC)等により有効な救済手続きが提供されていることを欧州委員会が認めたことが十分性認定の公式テキストに明記されている。一言でいうと、諜報活動等に伴う外国人個人データへの公的アクセスにおいて、米国はEU水準のデータ保護を確保していることを欧州委員会が公式に認めたことになる。さらに欧州委員会は、今回の十分性認定に関するQ&Aにおいて、米国が新たに導入・強化した諜報活動におけるデータ保護措置は、DPF制度に登録した事業者への個人データ越境移転だけでなく、BCR,SCCなどGDPRが定める他のツールを利用した個人データ越境移転についても適用されることを明記した。

このような米国法制度に関する欧州委員会の事実認定は、SCCをツールとするEUから米国への個人データ越境移転においても一定の影響を及ぼす。シュレムスII判決を受けて、GDPRの運用について加盟国を拘束する権限を持つ欧州データ保護会議(EDPB)は、2020年11月に「EU水準の個人データ保護を遵守するための補完的措置に関する推奨事項」(Recommendations 01/2020 on measures that Supplement transfer tools to ensure compliance with the EU level of protection of personal data)(以下「レコメンデーション」)を採択・公表した。このレコメンデーションでは、SCCを利用して個人データを越境移転する場合、SCCが移転対象国においてEU同等水準のデータ保護を確保しうるかどうか、その有効性を評価すべきこと、特に、移転対象国の刑事手続・行政規制・安全保障目的の個人データへの公的アクセス制度が、以下のEU基準を満たすかどうかを評価し、満たさない場合には、事業者は、越境移転を中止するか、補完的なデータ保護措置を講じるべきであるとしている。

  1. 制度が明確・正確・公開の法令に基づくこと
  2. 制度が正当な目的に照らし必要かつ比例的であること
  3. 独立の監視メカニズムがあること(例えば裁判所による令状)
  4. 実効性ある救済措置が個人に提供されていること(異議申立)

実際、このレコメンデーションで示されたEDPBのGDPR解釈に基づき、Google Analyticsの利用に伴うEUから米国への個人データ越境移転について、EU加盟国当局が違法と判断するケースが相次いだ。

今回の十分性認定の内容は、欧州司法裁判所がこれを覆す決定を下すまでは、EU加盟国を拘束する法的効力を持つ。したがって、同十分性認定において、米国の諜報活動に伴う個人データへの公的アクセスに関してEU水準のデータ保護が確保されていることが公式に事実認定されたことにより、個別の越境移転のコンテクストにおいて特別なリスクがある場合を除き、一般的には、上記レコメンデーションの評価基準に照らせば、SCCを利用する米国への個人データ越境移転においても、米国における公的アクセスに関しては、EU同等水準のデータ保護が確保されているとの評価が可能である。

同レコメンデーションにおいては、SCCなどのツールの移転先国における有効性(EU水準のデータ保護確保するために有効であるかどうか)は、個別のデータ移転についてケース・バイ・ケースで評価すべきとされているので、移転先国における公的アクセス以外の個別のコンテクストにおける特別な要因も評価する必要があるわけだが、米国への越境移転については、シュレムスII判決以来、米国政府の諜報活動に伴う公的アクセスの要件・手続がEU水準のデータ保護に適合しないことが最も大きな問題とされてきたわけであり、今回の十分性認定によって、SCCを利用した米国への個人データ越境移転において、補完的データ保護措置は不要であると評価しうる可能性が大きく広がったと考えられる。

 

(以上は筆者の見解であり、欧州委員会その他の関係当局が同様の見解であることを保証するものではありません。)

SNSで記事をシェア

関連記事

2024年2月22日、米国連邦取引委員会は、セキュリティソフト販売企業Avast社およびその子会社がユーザーの閲覧データを無断で収集・販売したとして、FTC法違反により1650万ドル(約25億円相当)の制裁金を課すとともに、閲覧データの販売等を禁止した
  • 2024年 4月 26日
【更新】FTC 閲覧データの無断収集・販売によりAvast社に1650万ドルの制裁金
Googleは、4月23日、Privacy Sandboxの公式ウェブサイトで、今年末に予定していたChromeにおけるサードパーティクッキーのサポート停止を再度延期することを発表した
  • 2024年 4月 25日
Google サードパーティクッキーのサポート停止を再延期
4月8日、フランス監督機関CNILは、AIシステム開発に関する初めての勧告を公表した。本勧告では、個人データの処理に関わるAIシステムの開発について、GDPRの遵守とプライバシーの保護の観点から、開発者が守るべき原則的事項や、留意すべきポイントが、開発の各場面で起こり得るケースとあわせて記述されている。
  • 2024年 4月 24日
フランス CNIL、AIシステム開発に関する初めての勧告を公表
ポーランドのデータ保護当局は、2024年3月12日、Toyota Bank Polska S.A.に対し、GDPR第33条第1項の個人データ侵害の報告を怠ったとして、78,575ズウォティ(約300万円)の制裁金を課した。
  • 2024年 4月 17日
ポーランド データ侵害報告義務違反でトヨタ系金融機関に制裁金
2024年3月25日、フロリダ州知事が、未成年者のオンライン保護に関する法案に署名し、法律として成立した。
  • 2024年 4月 15日
米国 フロリダ州 未成年者オンライン保護法が成立
オンライン相談ルーム
IIJのコンサルタントへ質問や
作業支援の依頼が可能です
3分でわかるBizRis動画
BizRis公式アカウントを
フォローして最新情報をチェック
よくあるご質問
世界のプライバシー保護規制調査レポート
マンガページトップ

アクセスランキング

1
2
3
4
5
無料eBook一覧

欧米日クッキー規制対応のバナー実装と運用ルール策定時のポイント

Google Analyticsと改正個人情報保護法~法令遵守上のポイントと透明性確保の重要性
IIJのプライバシー保護規制
対応ソリューション

個別説明をお申込希望の方

個別説明をお申し込み希望の方は以下のフォームをご記入の上、送信ボタンを押してください

*のある項目は入力必須です。