GDPRに関する「EU・米国間データプライバシーフレームワーク」について解説！

欧州委員会は、2023年7月10日、EU・米国間のデータプライバシーフレームワークの十分性を認定する決定案を採択しました。この決定は、EU域内の個人データの米国への移転に影響を及ぼすものです。

本記事では、当社のパートナー企業であるPrighter Group協力の下、データプライバシーフレームワークの概要について解説いたします。

参考：Prighter「EU Commission adopts its adequacy decision for the EU-U.S. Data Privacy Framework」Charlotte Mason /July 21st, 2023

1.　前提～EU域内から第三国への個人データの移転方法について～

GDPRは、EU域内の個人データのEU域外への移転する方法についてルールを定めています。移転可能な方法は、主に以下の場合です（GDPR44条から50条）。

1-1.　十分性認定がなされた国や地域（以下「国」）への移転

欧州委員会が、十分なレベルの個人データ保護を保証していることを決定した第三国については、下記1-2、1-3等他の根拠に拠ることなく個人データを移転することができます。

なお、日本は、2019年に十分性認定を受けています。

十分性認定については、こちらの記事もご参照ください。
＞＞GDPRの十分性認定とは？日本企業への影響と求められる対応

1-2.　拘束的企業準則（BCR：Binding Corporate Rules）による移転

企業グループで1つの規定を策定し、データ移転元の加盟国の監督機関から承認を受ければ、当該企業グループ内での個人データの移転が可能です。

グループ企業が十分性認定を受けていない第三国に拠点を置いている場合に多く用いられています。

1-3.　標準契約条項（SCC：Standard Contractual Clauses）による移転

移転元と移転先との間で、欧州委員会が定めた標準契約条項により契約を締結することによって、個人データの移転が可能です。

日本に越境移転されたEU域内のデータ主体の個人データを、更に十分性認定を受けていない第三国に移転するような場合に多く用いられています。

2.　EU・米国間データプライバシーフレームワークとは

2-1.　データプライバシーフレームワークの背景

2016年2月、欧州委員会と合衆国商務省の交渉により、EUから米国への個人データの移転の仕組みとして、プライバシーシールドフレームワークが公表されました。

これにより、米国商務省の認証を受けた企業は、十分性認定に基づいてEU域内の個人データの移転を受けることができていました。

しかし、2020年7月16日、EUの最高裁判所に当たる欧州司法裁判所が、プライバシーシールドに関する十分性認定を無効とする判断を下しました（シュレムスⅡ判決）。

これにより、プライバシーシールドを用いて越境移転を行っていた5000社を超える米国企業が、移転の方法について検討を迫られました。

その後、約3年の間、十分性認定に依拠して米国企業に個人データを移転することができなくなっていました。

2-2.　データプライバシーフレームワークの概要

データプライバシーフレームワーク（以下「DPF」）の決定案の妥当性が採択されたことで、DPFに参加する米国企業に対して、追加の保護措置を講じることなくEU域内の個人データの移転を行うことが可能となります。

この決定では、米国が新たな枠組みの下でEUから米国企業に移転される個人データについて、EUと同等の適切なレベルの保護を保証すると結論付けられています。

米国企業は、一連の詳細なプライバシー義務の遵守を約束することで、EU-米国間のDPFに参加できるようになります。

DPFの認証は、こちらのウェブサイトからオンラインで行うことができます。

また、認定を維持しているプライバシーシールドの参加者は、直ちにDPFに依拠することができますが、2023年10月10日までに、DPFに登録できるようプライバシーポリシーをアップデートする必要があります。他方、DPFの遵守を希望しない組織は、脱退手続を行う必要があります。認証の失効を放置しても脱退とはみなされないため、プライバシーシールドに基づく強制措置がとられる可能性があることにも留意が必要です。

2-3.　企業の対応

DPFは、EU域内のデータ主体の個人データを米国企業に移転している企業に影響を与えます。

例えば、EU域内に拠点がなくても、GDPRが域外適用される日本企業が、EUの個人データを米国企業（親会社・子会社も含みます。）に移転する場合、米国企業への越境移転に当たるため、影響を受けることになります。

影響を受ける企業は、米国企業への個人データの移転の根拠を整理し（そもそもGDPRへの対応を行っていない企業については、まず米国企業に移転する個人データが存在するかというところから検討を始める必要があります。）、DPFに拠るのか、SCC等他の根拠に依拠して移転するのか確定し、必要な対応を行う必要があります。

プライバシーシールドが無効と判断されたことは上述しましたが、その前（2015年10月6日）にも、欧州司法裁判所は、2000年に発行したEUと米国のデータ移転に関するセーフハーバー決定を無効とする決定を下しています。 すなわちDPFは、EUと米国のデータ移転に関する"三度目の挑戦"といえるものです。

一方でDPFは、前述のシュレムスが名誉会長を務める非営利団体 NYOBから「失敗したプライバシーシールドのほぼコピー」であるとか「数か月以内に欧州司法裁判所に差し戻される可能性が高い」と揶揄・批判されています。

参考：NYOB「European Commission gives EU-US data transfers third round at CJEU」Jul 10, 2023

「二度あることは三度ある」のか「三度目の正直」となるのか不透明な状況にあることに鑑みれば、DPFに参加し十分性認定に基づく移転と整理するか、BCRやSCCによる移転で整理するか、DPFがいずれ無効と判断される可能性も踏まえた判断が求められているといえます。

Priv Techでは、改正個人情報保護法だけでなく、海外のプライバシー関連法対応のコンサルティングサービスも提供しています。海外法対応の進め方にお困りの方や、改めてGDPRへの対応を見直したい企業様は一度当社にご相談ください。

＞＞Priv Techプライバシーコンサルティングサービスはこちら

公開日：2023年8月23日