- 2024年 11月 21日
欧州委員会 米国DPF制度を対象とする十分性認定を正式採択
7月10日、欧州委員会は、米国のEU-U.S. Data Privacy Framework(DPF)制度に登録した組織に対するEU個人データの越境移転について、EU水準のデータ保護制度が確保されていると判断し、GDPR45条による十分性認定を正式に採択した。
DPF制度の概要
DPF制度は、GDPRと同水準の個人データ保護原則(目的限定、本人関与、処理最小原則、安全管理、透明、権利行使など)を遵守すること、一定の苦情処理の仕組みを組織内で運営すること、連邦取引委員会等による監視・法執行に服することなどを公に宣言した米国の組織を連邦商務省のDPFリストに登録する制度である。連邦商務省国際貿易局(ITA)は、DPF制度の詳細を解説し、事業者からDPFリストへの登録を受け付けるウェブサイト(https://www.dataprivacyframework.gov/s/ <https://www.dataprivacyframework.gov/s/>)を既に開設したが、本稿執筆時点(2023年7月12日)では、同ウェブサイトの多くの機能は工事中の状態で、登録手続きはまだ開始されていない。
今回の十分性認定に伴い、DPF制度に登録した事業者に対してGDPRが適用される個人データを移転する場合、他の追加的措置は不要となるわけだが、GDPRが規定する他の越境移転メカニズム、具体的には標準契約条項(SCC)に準拠したデータ保護契約又は拘束的企業準則(BCR)を保護措置とする越境移転についても、今回の正式採択のメリットが及ぶことについて、以下に解説する。
SCC・BCRに基づく越境移転に対し、今回の十分性認定が及ぼすメリットとは?
欧州委員会が今回の新たな十分性認定を採択するに当たっては、Privacy Shieldを無効と宣言した2020年7月欧州司法裁判所シュレムスII判決において指摘された米国法制度の問題点が改善されているかどうかが焦点だった。この点については、昨年来、米国連邦政府が新たに導入・強化した諜報活動におけるデータ保護措置により、(1)諜報活動における個人データへのアクセス範囲は、個別の目的との関係で必要かつ比例的な範囲に限定されていること、(2)EUデータ主体が当該アクセスの適法性を争う場合、新設されたデータ保護審査裁判所(DPRC)等により有効な救済手続きが提供されていることを欧州委員会が認めたことが十分性認定の公式テキストに明記されている。一言でいうと、諜報活動等に伴う外国人個人データへの公的アクセスにおいて、米国はEU水準のデータ保護を確保していることを欧州委員会が公式に認めたことになる。さらに欧州委員会は、今回の十分性認定に関するQ&Aにおいて、米国が新たに導入・強化した諜報活動におけるデータ保護措置は、DPF制度に登録した事業者への個人データ越境移転だけでなく、BCR,SCCなどGDPRが定める他のツールを利用した個人データ越境移転についても適用されることを明記した。
このような米国法制度に関する欧州委員会の事実認定は、SCCをツールとするEUから米国への個人データ越境移転においても一定の影響を及ぼす。シュレムスII判決を受けて、GDPRの運用について加盟国を拘束する権限を持つ欧州データ保護会議(EDPB)は、2020年11月に「EU水準の個人データ保護を遵守するための補完的措置に関する推奨事項」(Recommendations 01/2020 on measures that Supplement transfer tools to ensure compliance with the EU level of protection of personal data)(以下「レコメンデーション」)を採択・公表した。このレコメンデーションでは、SCCを利用して個人データを越境移転する場合、SCCが移転対象国においてEU同等水準のデータ保護を確保しうるかどうか、その有効性を評価すべきこと、特に、移転対象国の刑事手続・行政規制・安全保障目的の個人データへの公的アクセス制度が、以下のEU基準を満たすかどうかを評価し、満たさない場合には、事業者は、越境移転を中止するか、補完的なデータ保護措置を講じるべきであるとしている。
- 制度が明確・正確・公開の法令に基づくこと
- 制度が正当な目的に照らし必要かつ比例的であること
- 独立の監視メカニズムがあること(例えば裁判所による令状)
- 実効性ある救済措置が個人に提供されていること(異議申立)
実際、このレコメンデーションで示されたEDPBのGDPR解釈に基づき、Google Analyticsの利用に伴うEUから米国への個人データ越境移転について、EU加盟国当局が違法と判断するケースが相次いだ。
今回の十分性認定の内容は、欧州司法裁判所がこれを覆す決定を下すまでは、EU加盟国を拘束する法的効力を持つ。したがって、同十分性認定において、米国の諜報活動に伴う個人データへの公的アクセスに関してEU水準のデータ保護が確保されていることが公式に事実認定されたことにより、個別の越境移転のコンテクストにおいて特別なリスクがある場合を除き、一般的には、上記レコメンデーションの評価基準に照らせば、SCCを利用する米国への個人データ越境移転においても、米国における公的アクセスに関しては、EU同等水準のデータ保護が確保されているとの評価が可能である。
同レコメンデーションにおいては、SCCなどのツールの移転先国における有効性(EU水準のデータ保護確保するために有効であるかどうか)は、個別のデータ移転についてケース・バイ・ケースで評価すべきとされているので、移転先国における公的アクセス以外の個別のコンテクストにおける特別な要因も評価する必要があるわけだが、米国への越境移転については、シュレムスII判決以来、米国政府の諜報活動に伴う公的アクセスの要件・手続がEU水準のデータ保護に適合しないことが最も大きな問題とされてきたわけであり、今回の十分性認定によって、SCCを利用した米国への個人データ越境移転において、補完的データ保護措置は不要であると評価しうる可能性が大きく広がったと考えられる。
(以上は筆者の見解であり、欧州委員会その他の関係当局が同様の見解であることを保証するものではありません。)