【EU・アメリカ】欧州委、EU米国データプライバシー枠組みの妥当性決定手続き開始

　欧州委員会は12月13日、大西洋横断データプライバシー枠組みの妥当性決定に向けた手続きを開始した。手続きが完了すれば、2020年7月に欧州司法裁判所（ECJ）が無効と判断した米EU間のデータ共有に関する制度が再度確立することになる。

【参考】【EU】欧州司法裁、EUから米国への個人情報移転を認めた制度の無効を判決。米政府による監視懸念が背景（2020年7月23日）
【参考】【アメリカ・EU】両政府、「大西洋横断データプライバシー枠組み」で基本合意。諜報活動制限（2022年4月3日）

　同事案は、EU一般データ保護規則（GDPR）に関するもの。同規則第45条3項は、EU域外の国が、EU域内の保護水準と本質的に同等の個人データ保護水準を確保している欧州委員会が判断した場合に、EU（およびノルウェー、リヒテンシュタイン、アイスランド）から第三国へ企業等がデータを共有することができると規定しており、「プライバシー・シールド」と呼ばれている。プライバシー・シールドがなければ、アマゾンやメタ・プラットフォームズ等の企業もEU域内のグループ会社の個人情報を米国に送ることができない。

　ICJはこれまで2回、欧州委員会の決定を無効としている。1回目は2015年の「セーフ・ハーバー合意」、2回目は2020年の「プライバシー・シールド制度」。いずれも、オーストリアのプライバシー保護活動家であり、自身も弁護士のMax Schrems氏が提訴していた。

　2020年10月の司法判断を受け、欧州委員会と米国政府は再度協議を開始。2022年3月には、レインダース欧州委員と米ライモンド商務長官の間で基本合意に達し、フォン・デア・ライエン欧州委員会委員長と米バイデン大統領が合意を表明。米国政府は、シギント（通信、電磁波、信号等を傍受する諜報・諜報活動）が、事前に規定された国家安全保障目的のみに限定することを保証するセーフガードを新設することとなった。同10月には、米バイデン大統領が「米国のシギント活動に対するセーフガードの強化」に関する大統領令に署名し、米ガーランド国司法長官が関連規則を制定。ようやく米国側の調整が完了した。

　米司法省による規則では、まず、米国の情報機関による欧州のデータへのアクセスは、国家安全保障を守るために必要かつ適切な範囲に限定される。また、EUの個人は、米国の情報機関による自分のデータの収集と使用に関し、新たに設置されるデータ保護審査裁判所を含む独立公平な救済機構で救済を受ける権利を持つ。同裁判所は、拘束力のある救済措置の採択を含め、欧州の個人の苦情を独自に調査し解決する。

　今回の決定は、EUとして再度米国側の規則体系を確認し、米国が「適切な保護水準」にあるか否かを最終判断する手続きを開始するというもの。具体的には、欧州委員会が「妥当」と判断した妥当性決定案が公表され、欧州データ保護理事会（EDPB）に送付された。EDPBで承認された後、EU加盟国代表で構成される委員会での承認作業となり、最後に欧州議会が妥当性決定に対する異議申立てをしなければ、欧州委員会が最終決定する。

【参照ページ】Data protection: Commission starts process to adopt adequacy decision for safe data flows with the US

株式会社ニューラル サステナビリティ研究所