GDPR
2023.03.09
ヨーロッパは伝統的に人権やプライバシーに対する配慮が強く、データに関してもそれは同様です。
EUは、EUを含む欧州経済領域(EEA EU非加盟国のうちEFTA加盟国のアイスランド、リヒテンシュタイン、ノルウェーとEUに加盟する27か国)における個人情報の保護及びEU域外におけるEU市民の個人情報の保護を規定したGDPRというEU規則を制定しました。
GDPRは、ヨーロッパの極めて強い人権保護の思想に立脚しており、EU域内から域外への個人データ移転を原則禁止しています。
しかし、移転先にEU法と同等の高いレベルのデータ保護措置がある場合には、例外的に個人情報の越境移転を認めます。
EU市民の個人情報及びEEA域内で収集された個人情報を域外に越境移転するためには、移転先の個人情報保護に関する規制がEUと同等であると認められる「十分性認定」の基準をクリアしなければなりません。
日本は、この十分性をクリアしていると認定されました。
日本の他に、アンドラ、アルゼンチン、カナダ、フェロー諸島、ガーンジー諸島、ジャージー諸島、イスラエル、マン島、ニュージーランド、韓国、スイス、英国、ウルグアイがGDPRの十分性認定を受けています。
EUは、各国のデータ保護ルールをGDPRへ収斂していくことが安全なデータ流通の確保につながるとの考えに役立つという観点からDFFTを支持しています。
プライバシーを基本的権利とするEUと、データの自由な流通を志向する米国との間では、プライバシー保護やデータアクセスの考え方に隔たりがあります。
しかし、欧米間でのデータの移転ができなければ、経済活動や人の往来などに大きな影響を及ぼすために、2016年にプライバシーシールドという特別な枠組みをつくり、移転を認めてきました。
米国には包括的なプライバシー保護法がないため、個人情報の移転を行う米企業に対し、米国商務省及び連邦取引委員会が監視を行うこととしたほか、独立した監視機関(オンブズマン制度)を導入するというのがこのプライバシーシールドの内容です。
しかし、2020年7月に、このプライバシーシールドを無効とするEU裁判所の判決が出されました。
これにより、米欧間でのデータ移転に支障が生じビジネスへの多大な影響が出ることになるので、米EU間におけるデータ移転についての新たな枠組みが必要になりました。
その結果、2022年3月に、米EU間で、新たな大西洋横断データ・プライバシー・フレームワーク(The Trans-Atlantic Data Privacy Framework)というデータ移転に関する新たな枠組について基本合意しました。
この新たな枠組みには、米国情報当局による移転データへのアクセスを国家安全保障に必要かつ適切なものに限定する新しいルールと同時にそれを担保するための拘束力のある保護措置を設けること、米国情報当局によるデータアクセスに関するEU市民の苦情を調査し、解決するためのデータ保護審査(Data Protection Review Court)を含む多層的な救済制度を確立すること、EUから移転されたデータを処理する企業に対する米国商務省を通じた原則の遵守を自己証明する要件を含めた強力な義務を課すことなどが含まれます。
2022年10月に、米国はこの基本合意を履行するための大統領令を発表し、それを受けて12月に、欧州委員会は、米国のGDPRに関する十分性認定に向けた手続きを開始しました。
この正式決定には約6ヶ月かかります。
これが認められれば、この枠組みに基づき、EUおよびこの枠組みに参加する米国企業間において、データの自由かつ安全な移転が可能となります。
