欧州連合(EU)と米国は25日、個人データの移転ルールで基本合意した。EUから米国に個人データを移転する際のルールを定めた「プライバシー・シールド」がEU司法裁判所に無効と判断され、新たな枠組みについてEU米間で協議が進められていた。
バイデン米大統領と欧州委のフォンデアライエン委員長がブリュッセルで記者会見し、「大西洋横断データプライバシー・フレームワーク」という名の新たな枠組みで基本合意したことを明らかにした。フォンデアライエン氏は「プライバシーと市民の自由を守りながら、EUと米国の間で予見可能で信頼できるデータの移転が可能になる」と強調した。
新ルールによると、米国の情報機関は国家安全保障の目的に限り、必要かつ適切な範囲でEU市民の個人データにアクセスすることができる。米当局によるデータ利用に関してEU側が苦情を申し立てた際、事実関係を調査して適切に対処するための2段階の救済制度も設ける。また、EUから移転されたデータを取り扱う企業は、米商務省を通じてデータ保護に関する原則を順守していることを自己認証する必要がある。
EUが2018年5月に導入した一般データ保護規則(GDPR)は、域外に個人データを持ち出すことを原則として禁止しており、違反した場合は高額の制裁金を科される可能性がある。ただし、欧州委がEUと同等のデータ保護水準を確保していると認めた国・地域に関しては、例外的にデータ移転を認める「十分性認定」の仕組みがある。
プライバシー・シールドは、EUと米国が2000年に結んだ個人情報の移転ルール「セーフハーバー協定」に代わり、16年7月に発効した枠組み。オーストリアの活動家が米フェイスブックに対し、アイルランドの国際本部から米本社に送られた個人情報が米当局によって監視されている懸念があると主張し、データ移転の合法性について訴訟を提起した事案で、EU司法裁は20年7月、プライバシー・シールドに基づく個人データの保護水準はGDPRと同等のレベルにはないと判断し、同枠組みは無効と結論づけた。
欧州委員会と米政府は協議を継続してさらに詳細を詰め、双方の承認手続きを経て新ルールの早期発効を目指す。