2023年9月5日
欧州連合 (EU) と米国 (US) の間のデータ転送問題を解決するために、双方の代表者は、プライバシーシールドに関して欧州連合司法裁判所 (CJEU) が指摘した懸念に対処する新しいデータプライバシーフレームワークに取り組んできましたが、2023年7月10日、欧州委員会はEU-米国データプライバシーフレームワーク (DPF) を正式に承認しました。この新しいフレームワークは、EUの個人データがEUのデータ保護基準に従って確実に保護されるようにしながら、大西洋を越えたデータ転送に対する強固な法的基盤を提供することを目的としています。
EUからEU外の第三国へのデータ転送は、いくつかのメカニズムに依拠して行われます。その1つに、EUが特定の国に対して承認した十分性認定があります。現在、日本と韓国を含む15か国が承認されています。米国は、十分性ステータスを最も直近で取得した国であり、新しいデータプライバシーフレームワークを通じてステータスを取得しました。
歴史を遡ると、2015年10月6日にEU-US間の転送ツールであるセーフハーバーが無効になったことを覚えている人も多いでしょう。それから1年も経たない2016年に、欧州委員会はセーフハーバーツールに代わるEU-US間のプライバシーシールドフレームワーク十分性に関する決定を下しました。それ以来、2021年まで、EU-USプライバシーシールドは、EUと米国間の個人データ転送を管理する最も重要なフレームワークであり続けていました。プライバシーシールドは、企業がEUのデータ保護法に従ってデータが確実に保護されながら、個人データをEUから米国に転送するための法的メカニズムを提供するように設計されました。しかし、EU-USプライバシーシールドは法的な課題に直面しました。2020年7月、「シュレムスII」判決において、CJEUは、米国の監視実務を理由にフレームワークを無効にし、米国に転送されたEUの個人データはEU内の個人データと同等の保護を受けておらず、EUのデータ保護基準に準拠していないとみなされました。プライバシーシールドの無効化後、企業は、言うまでもなく、EUと米国の間で個人データを合法的に転送するために、標準契約条項 (SCC) や拘束力のある企業規則 (BCR) などの他のデータ転送メカニズムに依存する必要がありました。SCCは「シュレムスII」判決中にも影響を受けたということです。
新たに承認された EU-US DPFにより、参加企業は個人データ転送に関して適切なプライバシー保護を満たしているとみなされ、事前の承認は必要ありません。新しいDPFは、中小企業にとってよりコスト効率の高い方法でもあります。DPFにはGDPRの特徴が組み込まれていますが、DPFへの準拠はGDPRの準拠と同一ではなく、これは国際データ転送の要件の一部にすぎません。新しいフレームワークには英国拡張とスイス・米国間のDPFも含まれ、これらの国から米国へのデータ転送をカバーしています。詳細についてはそれぞれスイスと英国側が最終決定する必要があるものの、企業は既に自己認証プロセスを開始できます。また、DPFにより、既にプライバシーシールドプログラムに参加している企業は、プライバシーポリシーと手続を更新することによりDPFに切り替えることが容易になりました。