米がEUからの個人データ移転で大統領令、欧州委は「十分性認定」の手続きへ

バイデン米大統領は7日、EUから米国に個人データを移転するための新ルールに関する大統領令に署名した。EUと米国は今年3月、「大西洋横断データプライバシー・フレームワーク」と名付けたデータ移転に関する新たな枠組みで基本合意しており、米側はこれに沿って拘束力のあるセーフガードの導入を柱とする新ルールの策定を進めていた。欧州委員会は今後、EUと同等のデータ保護水準を確保している国・地域にのみ個人データの移転を認める「十分性認定」の手続きに着手する。

新ルールによると、米国の情報機関は「国家安全保障上の目的に限り、必要かつ適切な範囲で」EU市民の個人データにアクセスすることができると規定しており、米当局によるデータ収集の目的と範囲を明確化した。また、多層的な救済制度を整備し、米当局によるデータ利用に関してEU側が苦情を申し立てた場合、監督当局が事実関係を調査し、必要があれば是正措置を講じる。さらに独立した専門機関として「データ保護審査裁判所(Data Protection Review Court=DPRC)」を設置し、データ移転が適法かどうか最終判断を下す。

EUが2018年5月に導入した一般データ保護規則(GDPR)は、域外に個人データを持ち出すことを原則として禁止しているが、欧州委がEUと同等のデータ保護水準を確保していると認めた国・地域に関しては、例外的にデータ移転を認める十分性認定の仕組みがある。EUと米国の間では、2000年に結んだ個人情報の移転ルール「セーフハーバー協定」に代わり、16年7月に「プライバシー・シールド」が発効した。

しかし、オーストリアの活動家が米フェイスブックを相手取り、アイルランドの国際本部から米本社に送られた個人情報が米当局によって監視されている懸念があると主張し、データ移転の合法性について訴訟を提起した事案で、EU司法裁判所は20年7月、プライバシー・シールドに基づく個人データの保護水準はGDPRと同等のレベルにはないと判断し、同枠組みは無効と結論づけた。同判決を受け、EU・米は新たな枠組みとして大西洋横断データプライバシー・フレームワークで基本合意し、米側はこれに沿って法制化作業を進めていた。

上部へスクロール