EU、米国との間のデータ移転で新たなフレームワークを採択

今回は「EU、米国との間のデータ移転で新たなフレームワークを採択」についてご紹介します。

関連ワード （CIO／経営等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　欧州連合（EU）の欧州委員会は、かねて懸案だったEUから米国への個人データの移転に関する法的な問題を解決する、「EU・米国間データプライバシーフレームワーク」の十分性を認定する決定案を採択した。これによって、このフレームワークに参加した米国企業には、欧州経済領域（EEA。EUの加盟国とノルウェー、アイスランド、リヒテンシュタイン）から米国への個人データの移転が認められるようになる。

　EUが2018年に導入した一般データ保護規則（GDPR）では、EEAから域外への個人情報の移転は原則として違法であり、欧州委員会が移転国に対してGDPRに基づく「十分性」（第三国のデータ保護水準がEUと同等であること）を認定するなど、適切な保護措置が取られている場合にのみ合法とされている。

　EUから米国への個人データの移転は、プライバシーシールドと呼ばれる米国の制度に基づいて行われていたが、この制度が2020年にEU司法裁判所によって無効と判断されたことで、米国とEUは新たな枠組みを検討していた。EU・米国間データプライバシーフレームワークが十分性認定を受けたことで、フレームワークに参加する米国企業は、追加の保護措置なしにデータを移転できるようになる。

　米国企業が同フレームワークに参加するためには、定められたプライバシー保護義務を順守する必要がある。米国企業の個人データの取り扱いに問題があった場合、EU市民は、独立した紛争解決メカニズムや仲裁パネルなどの救済手段を利用できる。またEU市民は、米国の情報機関によるデータの収集や利用に関しても独立・公平な救済手段を利用することができ、これには新たに設立されたデータ保護審査裁判所（DPRC）による調査・解決が含まれるという。

　EU・米国間データプライバシーフレームワークが適切に機能しているかどうかについては、欧州委員会、EU各国のデータ保護当局、および米国の関係当局によって定期的に見直しが行われるという。