欧州連合と米国、大西洋を越えたデータフローに関する新たな協定に合意

十分性認定は、個人データを欧州連合（以下「EU」）から第三国に移転するために一般データ保護規則（以下「GDPR」）により規定されるツールの1つです。

2023年7月10日、欧州委員会は、EU・米国間のデータプライバシーフレームワーク（以下「フレームワーク」）の十分性認定及び一連のFAQに関するプレスリリースを行いました。

この十分性認定は、2022年10月にバイデン大統領が「米国の信号諜報活動に対する保護措置の強化」に関する大統領令14086号（以下「EO14086」）に署名したことを受けたものです（アラートを参照）。EO14086は、欧州司法裁判所が2020年7月のシュレムスII判決で特定したギャップに対処するために米国が実施する新たな措置の概要を説明しています（コメンタリーを参照）。

実務上、新しいフレームワークは、

• EU企業は、他の保護措置（EU標準契約条項など）を講じることなく、専用Webサイトを通じてフレームワークへの自己認証を行っている米国企業に個人データを移転することができます。
• 米国企業に対し、プライバシー原則（目的の制限やデータの最小化など）やデータセキュリティなどのプライバシー義務の遵守を要求しています。
• 米国諜報機関による個人データへのアクセスに関する制限と保護措置を設定しています。特に、EO 14086は、(i)米国諜報機関によるデータへのアクセスを、国家安全保障を保護するために必要かつ相当なものに制限する拘束力のある保護措置、(ii)米国諜報機関による活動の監視強化、及び(iii)個人データへのアクセスに関する苦情を調査し、解決するための新しいデータ保護審査裁判所を規定しています。
• EUの個人に新しい権利（個人データへのアクセスなど）と救済手段（無料の独立した紛争解決の仕組みなど）を付与しています。
• 米国商務省が自己認証の申請を処理し、参加企業が引き続き自己認証要件を満たしているかどうかを監視するといった形で管理されます。
• 米国連邦取引委員会によって執行されます。

これらの保護措置は、使用される移転ツールに関係なく、GDPRに基づく米国企業への全てのデータ移転に適用され、EU標準契約条項（以下「SCC」）及び拘束的企業準則に基づく移転も容易になります。

十分性認定は、発効日、すなわち2023年7月10日から適用されます。現在、米国への移転について他の移転ツール（SCCなど）に依拠している企業は、米国への移転の複雑さと企業の国際的な移転戦略に応じて、（唯一の又は追加の移転ツールとして）新しいフレームワークにおける自己認証を行うかどうかを検討する必要があります。EU・米国間のプライバシーシールドにおける自己認証を維持している企業は、別途新しいフレームワークにおける自己認証を行う必要はなく、フレームワークの原則を遵守し、2023年10月10日までにプライバシーポリシーを更新する限り、直ちに新しいフレームワークに依拠し始めることができます。

本アラートは、EUから米国への個人データの移転に関する重要なトピックと考えられることから紹介する次第です。詳細は、Jones Day Alert “European Union and United States Reach New Agreement for Data Flow Across the Atlantic”（オリジナル英語版）をご参照ください。