NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
NO&T U.S. Law Update 米国最新法律情報
NO&T Europe Legal Update 欧州最新法律情報
2023年7月10日、欧州委員会は、米欧データ・プライバシー・フレームワーク(EU-U.S. Data Privacy Framework、以下「DPF」といいます)に関する十分性認定(以下「本十分性認定」といいます)を採択しました※1。これにより、EEA圏※2(以下単に「EU」といいます)から米国に個人データを移転する事業者は、十分性認定に依拠して適法に移転することが可能となります。また、本十分性認定の採択に先立ち、米国ではガバメントアクセスに対処するための大統領令が整備されました。
今後、EUから米国への個人データ越境移転について本十分性認定に依拠できるようになったこと、米国においてガバメントアクセスに対処するための大統領令が整備されたことは、これまで有効性に疑義があったEUから米国への個人データ移転について、一定程度予見可能性が高まったことを意味しています。
また、これまでSCC(Standard Contractual Clauses:標準契約条項)に依拠してEUから米国へのデータ移転を行っていた企業にとっては、より負担の少ないDPFに依拠した移転への切り替えの可能性や、SCCにおいて必要とされていた補完的措置の内容等、再度の見直しが必要になる可能性もあります。
本ニュースレターでは、本十分性認定のポイントと日本企業を含む事業者への影響を中心にご紹介します。
欧州一般データ保護規則(GDPR)では、EU域外への個人データの移転は、原則として禁止され、例外的に、GDPR第5章に定める要件に従った場合のみ適法に行うことができるとされています。
EUから第三国への越境移転が例外的に適法とされる主な場合(GDPRが定める主な越境移転の適法化根拠)
このように、十分性認定は、GDPRに基づいて個人データを適法に越境移転するための枠組みの一つです。具体的には、欧州委員会がデータ移転先の国・地域について十分なレベルの個人データ保護を保障していると決定した場合、EU域内における個人データの移転と同様に、当該国・地域に個人データを移転することが可能となります。すなわち、当該国・地域に対しては、当事者が十分性認定の根拠となった法令等(本十分性認定においては、DPFの要求事項)に従う限り、追加的な措置を講じることなく個人データを移転することができることを意味します。
十分性認定は、当該第三国(移転先国)が、十分なデータ保護の水準を確保しているかどうかによって判断されます。十分なデータ保護の水準かどうかは、必ずしもGDPRが定める要求事項と同じである必要はなく、本質的に同等の保護レベルを確保しているかどうかによって判断されます(essentially equivalent test)。
十分性認定においては、第三国(移転先国)の法制度上、ガバメントアクセスからデータ主体(個人)が十分に保護されるかどうかが考慮要素の一つとされており※4、米国との関係では、特に、この点が十分性認定の有効性に関する論点の一つとされてきました。その契機の一つは、2013年の元CIA職員エドワード・スノーデン氏による機密文書の暴露以降、ガバメントアクセスから個人データを保護することへの関心が高まったことにあります。以下においてご紹介するとおり、DPFの前身であるプライバシーシールドが無効とされた理由も、このガバメントアクセスの論点に関係しています。
2020年7月、欧州司法裁判所(CJEU)は、DPFの前身であるプライバシーシールドに関する十分性認定を無効と判断しました(SchremsⅡ判決)※5。その主な理由として、米国の法令が、①米国政府によるガバメントアクセスを必要かつ相当なものに限定するための措置が十分に講じられていないこと及び②EUの個人に対するガバメントアクセスからの法的救済メカニズムを十分に整備していなかったことが挙げられています。SchremsⅡ判決以降、EUから米国への個人データの移転に際しては、十分性認定に依拠することができないこととなりました。
SchremsⅡ判決を受けて、EUと米国の間では、上記①・②への対応を中心に議論が重ねられ、2022年3月、上記①・②に対応するための措置を含むDPFの大枠について基本合意が成立しました※6。その後、基本合意で示された上記①・②に対応するための措置を具体化すべく、米国において大統領令が署名され、欧州委員会によって本十分性認定が採択されました。
SchremsⅡ判決以降、EUから米国への個人データの移転に際しては、十分性認定に依拠することができないこととなったため、越境移転の適法化根拠のうちSCCが利用されることが多くなりました。他方で、SchremsⅡ判決により、EUから米国への個人データのSCCに依拠した越境移転は、移転影響評価(Transfer Impact Assessment、以下「TIA」といいます)を実施し、ガバメントアクセスから個人が十分に保護されないと評価された場合、「補完的措置」(additional safeguards)を講じなければならないこととされました。同判決は、補完的措置の内容に言及しなかったため、2021年6月にEDPB(EU各国のデータ保護当局のメンバーから構成されるデータ保護会議)がガイダンス(Recommendations※7)を出すなどしましたが、EU域内の各国のデータ保護当局から、補完的措置が十分でないと判断されて処分されるリスクが残されていました※8。
本十分性認定では、「米国は、EUからDPFリストに含まれる米国企業(DPF認証企業)に対して移転する個人データに対し、十分な保護レベルを確保している」と結論づけています※9。これにより、本十分性認定が採択された2023年7月10日から、EUから米国に個人データを移転する事業者は、十分性認定に依拠して適法に移転することが可能となりました※10。
また、同年7月19日、EDPBは、「十分性認定採択後のGDPRに基づく米国へのデータ移転に関するinformation note」(以下「Information Note」といいます)を採択し、本十分性認定が対象とする範囲やDPF認証企業以外の米国企業に移転する際の留意点等に関する情報を提供しています。
本十分性認定は、日本に対する十分性認定等と異なり、EUからDPF認証企業である米国企業に移転する場合にのみ依拠できる点に特徴があります※11。また、本十分性認定では、ガバメントアクセスに対する保護を強化するための大統領令の内容が参照されています。以下、DPF及び大統領令についてそれぞれ説明します。
DPFとは、企業がDPFのData Privacy Framework Principles(以下「Principles」といいます)をはじめとする義務への適合を自己認証することによって参加できる、企業認証システムです。DPFへの参加を意図する米国企業は、Principles(利用目的制限、データの最小化原則を含みます)をはじめとする義務への遵守を約束し、Principlesへの遵守をプライバシーポリシー等に反映することでDPFに参加することができ※12、米国商務省(DoC)は当該企業をDPFのリストに登録します。Principlesの遵守状況については、連邦取引委員会(FTC)による調査・監督に服し、DPF認証企業によって権利を侵害されたと主張するEUの個人は、法的救済を受けることができます。
十分性認定における評価、とりわけ米国インテリジェンス機関によるデータアクセスに対する保護については、EUと米国の基本合意に基づき2022年10月に署名された「米国のシグナルインテリジェンス活動の保護措置を強化するための大統領令」(EO14086)※13に依拠しています。この大統領令は、SchremsⅡ判決で指摘された点(上記「本十分性認定に至る経緯」の1.①・②参照)に対処するための大統領令です。具体的には、以下の拘束力ある措置を含んでいます。
上記の措置は、DPFが保有するデータであるか否かに限らず、米国インテリジェンス機関によるデータアクセス一般に適用されます。
なお、本十分性認定に有効期間の定めはありませんが、発効から1年以内に欧州委員会によるレビューに服することとされています。一般に、十分性認定は、欧州委員会が破棄するまで有効性が維持されますが※16、欧州司法裁判所も欧州委員会の十分性認定の有効性を判断する権限を持っています。
十分性認定により、個人データをEUから米国に移転している企業にとっては、DPFを利用することにより、米国に個人データを適法に移転する新たなルートが追加されたといえます。特に、DPFに依拠してEUから米国への個人データを適法に移転する場合、SCCに依拠する場合と異なり、事業者において高コストのかかるTIAを実施することなくEUから米国へ個人データを適法に移転することができるメリットがあります。
他方で、欧州委員会による十分性認定によって、本フレームワークの有効性が完全に保証されるものではなく、今後、欧州司法裁判所が無効と判断する可能性が完全に否定されたわけではありません。現に、セーフハーバールール及びその後継であるプライバシーシールドが次々と無効化されてきた経緯を考えると、今回のDPFについても、同様に欧州司法裁判所における司法判断に服する可能性は否定できません。また、SchremsⅡ判決の原告が、DPFについて、将来の訴え提起を示唆している点も踏まえると※17、今後の動向を注視する必要があります。
既に述べたとおり、現状、SCCに依拠した越境移転は、TIAを実施した上で、「ガバメントアクセスから個人が十分に保護されない」と判断される場合、「補完的措置」を講じる必要があることとされています。ここでいう「補完的措置」の内容については、EDPBのRecommendationsや改訂版SCCの条項を踏まえても、実務的にどこまで対応すれば良いかについては一義的に明らかでなく、さらに、EU域内の各国のデータ保護当局から、補完的措置が十分でないと判断されて処分されるリスクが引き続き残されていました。
他方で、本十分性認定に先立って成立した大統領令(EO14086)は、DPF認証企業が保有するデータであるか否かに拘わらず、米国インテリジェンス機関によるデータアクセス一般に適用されるため、SCCに依拠して移転された個人データへのガバメントアクセスにも適用があります。したがって、当該大統領令(EO14086)によって米国でのガバメントアクセスと個人データ保護とのバランスが図られた点を、TIAにおいて考慮することができ※18、その結果、米国への移転に関しては、補完的措置を講じる必要がないと評価できる可能性があります。
DPFとSCCに依拠したEUから米国への個人データ移転の違いをまとめると、以下のようになります。
<EUから米国への越境移転の整理>
DPFによる移転 | SCCの締結による移転 | |
移転影響評価(TIA)の実施 | 不要 | 必要 |
補完的措置の実施 | 不要 |
必要な場合あり (ただし、大統領令(EO14086)によって米国でのガバメントアクセスと個人データ保護とのバランスが図られた点を、TIAにおいて考慮することができ、その結果、不要と評価できる可能性があります) |
少なくともEUから日本への個人データ移転、例えば、EUに所在する子会社の従業員データを日本の親会社に共有する場合については、日本とEU間の十分性認定に依拠できるため、越境移転時の適法化根拠は通常問題にならないと思われます。
一方で、EUに所在する子会社の個人データが米国に移転される場合、日本とEU間の十分性認定に依拠することができないため、GDPRが定める越境移転時の適法化根拠が問題となりえます。想定されるケースとしては、例えば、以下が挙げられます。
EUから米国への個人データ移転が想定されるケース※19
これまでSCCに依拠してEUから米国へのデータ移転を行っていた場合に、委託先の米国企業が本十分性認定によってDPFに参加することとなった場合には、越境移転の適法化根拠に変更が生じることとなるため、プライバシーノーティスの見直しが必要になる可能性があります※20。また、SCCに依拠する場合に必要とされていた補完的措置については、大統領令(EO14086)の成立によって見直しが必要になる可能性があるため、あらためてTIAを行い、補完的措置の内容を検討することが考えられます。
※1
欧州委員会「Adequacy decision for the EU-US Data Privacy Framework」(最終アクセス:2023年7月31日)
※2
EU加盟国27か国にアイスランド、ノルウェー、リヒテンシュタインを加えた地域をいいます。
※3
ただし、SchremsⅡ判決(詳細は本文「本十分性認定に至る経緯」の1.をご参照ください)において、SCCの締結に加えて、移転影響評価(TIA)を実施し、移転先国でガバメントアクセスに関する個人データの保護レベルが十分でない場合には、補完的措置を講じなければならないこととされました。そして、米国においてはガバメントアクセスに関する個人データの保護レベルが十分でないため、補完的措置を講じなければならないこととされました。
※4
GDPR45条2項(a)
※5
Case C-311/18, Data Protection Commissioner v Facebook Ireland and Maximilian Schrems(最終アクセス:2023年7月31日)
※6
森大樹・今野由紀子「EUと米国による個人データ越境移転に関する枠組みの基本合意」(個人情報保護・データプライバシーニュースレター No.14(2022年4月))参照
※7
「EUと同等の個人データの保護水準を確保するためのデータ移転ツールを補完する措置に関する勧告(Recommendations)」(最終アクセス:2023年7月31日)
※8
具体的には、近時のGoogleのウェブ解析ツール(Google Analytics)の事例では、フランスを初めとする複数のデータ保護当局から、SCCを利用した米国への個人データの移転において、Googleが講じていた補完的措置(暗号化措置が含まれます)が不十分であると判断されました。スウェーデンでは、Google Analyticsの利用企業が制裁金を課された事例もあり、データ輸出者(移転元)である企業側の責任が認められる可能性がある点で注目に値します。
https://www.imy.se/en/news/four-companies-must-stop-using-google-analytics/(最終アクセス:2023年7月31日)
※9
本十分性認定1条
※10
なお、DPFの発効と同時に、スイスから米国へのデータ移転に関するSwiss-U.S. Data Privacy Framework(以下「Swiss DPF」といいます)及び英国から米国へのデータ移転に関するUK Extension to the EU-U.S. DPF(以下「UK Extension」といいます)についても自己認証をすることが可能となりましたが、Swiss DPF又はUK Extensionに依拠して個人データを移転することができるのは、スイス又は英国において十分性認定が採択された後とされています。
※11
なお、Information Noteでは、本十分性認定が、GDPR3条2項(域外適用規定)によってGDPRの適用を受けるEU域外の事業者からDPF認証企業へのデータ移転を対象としていないと記載されています(Information Noteの脚注5)。
※12
従前のプライバシーシールドに登録していた企業は、Principlesの効力発生日から3か月以内にプライバシーポリシーをアップデートする必要があります(本十分性認定Annex IのⅢ.6.e.)。
※13
最終アクセス:2023年8月2日
※14
なお、DPRCは、司法省の一部として創設される行政機関に位置づけられます。
※15
具体的には、EUの個人は、自ら所在する国のデータ保護当局に申立てをすることができ、当該申立てをEDPBが米国に転送します。米国では、DPRCが、最終的に申立てを裁定(より正確には、申立てに対する第一次的な審査期間であるOffice of the Director of National Intelligence のCivil Liberties Protection Officer (ODNI CLPO)の決定に対する不服申立てに対し、CLPOの決定を審査します)し、必要に応じて是正措置を指示する全ての権限を持つこととされています。
※16
GDPR45条9項
※17
https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu(最終アクセス:2023年7月31日)
※18
Information Noteの2.
※19
近時、ウェブ解析ツールやオンライン広告サービス等、オンラインでの事業展開に不可欠なサービスの多くが米国のベンダーによって提供されている現状があります。そのようなサービスを利用している場合、データ処理の場所を特定することは困難である場合がありますが、個人データを含む多様なデータが米国内のサーバーで処理されているなど、EUから米国への個人データの移転が生じる可能性がある点には留意が必要です。例えば、SchremsⅡ判決では、EUのユーザーはFacebookに登録する際、EUの拠点(Facebook Ireland)と契約を締結することとなるものの、当該ユーザーの個人データの全部又は一部は米国のFacebook Inc.が保有するサーバーに移転されることが前提とされています。
※20
GDPR13条1項(f)、14条1項(f)
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
鈴木明美、松宮優貴(共著)
(2024年11月)
殿村桂司、水越政輝、武原宇宙、河野ひとみ(共著)
(2024年11月)
長谷川良和
澤山啓伍、ホアイ・トゥオン(共著)
塚本宏達、伊佐次亮介(共著)
若江悠
水越恭平、ソフィア・テロル・チャフェル、多田夏海(共著)
塚本宏達、伊佐次亮介(共著)
大久保涼、小川聖史、逵本麻佑子、佐藤恭平(共著)
大久保涼、逵本麻佑子、小山田柚香、内海裕也(共著)
深水大輔、豊田紗織、角田美咲(共著)
塚本宏達、伊佐次亮介(共著)
大久保涼、小川聖史、逵本麻佑子、佐藤恭平(共著)
大久保涼、逵本麻佑子、小山田柚香、内海裕也(共著)
深水大輔、豊田紗織、角田美咲(共著)
水越恭平、ソフィア・テロル・チャフェル、多田夏海(共著)
福原あゆみ
鈴木明美、松宮優貴(共著)
(2024年11月)
本田圭(コメント)