十分性認定！EU米国間データプライバシー・フレームワーク

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2023年7月27日
• タイトル：十分性認定！EU米国間データプライバシー・フレームワーク
• メインスピーカー：データサイン 代表取締役社長 太田祐一
• MC：ビジネスディベロッパー 宮崎洋史

米国企業が自らの法令遵守を認証するプログラム

2023年7月10日、欧州委員会（European Commission）は、「EU-U.S.データプライバシーフレームワーク」に対する十分性認定を採択したことを発表しました。これによりEUと米国の間におけるパーソナルデータの移転においてはEUと同様の十分なレベルの保護を米国が確保したと結論づけています（プレスリリースはこちら）。

こちらのデータプライバシーフレームワーク（以下、DPF）は、米国商務省の国際貿易局（ITA）が運営するプログラムです。このDPFプログラムには、欧州委員会が十分性を認定した米国とEU間だけでなく、米国と英国、およびスイスとの間でやりとりされるデータをそれぞれ対象とするフレームワークがあります。

「米国を拠点とする適格な組織がEUおよび英国、スイスとのDPFを遵守していることを自ら認証（certify）することができます。参加および登録は任意ですが、この自己認証に基づく遵守は米国法のもとで強制力を有します」（データサイン 代表取締役社長 太田祐一）。

証明内容が不適切な場合は登録取り消し

DPFの公式サイト（WELCOME TO THE DATA PRIVACY FRAMEWORK (DPF) PROGRAM）にアクセスしてみると、登録を完了している企業名がリストアップされています。この日のランチタイムトーク時点でその数は約2500社でした。

登録に必要な情報は次のようなものです。

• 組織に関する情報（問い合わせ先）
• 当該地域から受領した個人データに対する利用目的の説明。被用者に関する人事（HR：Human Resource）データとそれ以外のパーソナルデータ
• 苦情を調査するために利用可能な、独立した救済メカニズム
• 当該個人データに係るプライバシーポリシーの説明。HRデータとそれ以外のパーソナルデータ
• 管轄（連邦取引委員会または米国運輸省）
• 証明方法は自己アセスメントか外部の法令遵守レビューか

登録企業としてグーグルやアマゾンもリストされ、従業員の人事情報や、クラウドサービスなどの提供サービスで取り扱うデータに関する説明があります。自己認証の内容は1年おきに審査され、不十分な場合には登録が取り消されます。

EUが注目する米国の本気度は

さて十分性認定を受けたDPFですが、欧州司法裁判所（CJEU）が解決を求めていた、EUから送信されるデータに対する米国諜報機関による監視の問題は落とし所が見つかったのでしょうか？

欧州委員会が発表した冒頭のプレスリリースによると、米バイデン大統領が署名した大統領令に記された、EU市民がアクセスできる独立審査機関としてのデータ保護審査裁判所（DPRC）の設立についての言及がみられます。EU側はそのような米国の取り組みの実効性を見極めようとしているのかもしれません。

欧州委員会は今後のステップとして、EUと米国間のDPFに基づく約束事が適切に実行されているか、などのレビューを欧州各国のデータ保護機関や米国の関連機関とともに定期的に実施するそうです。最初のレビューはこの発表から1年以内に行われる見通しです。

他方、プライバシー保護に関する支援活動を展開する非営利団体の「noyb」（ノイブ）は、今回の決定について米国諜報機関による監視の問題（米国法50条1881a(「702 FISA」)）解決が先送りされ、2020年７月のいわゆるシュレムスIIで無効判決が出たプライバシーシールドの焼き直しに過ぎないと公式サイトで異議を述べています。