icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
People 弁護士等紹介

多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。

Publications 著書/論文

当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。

Seminars 講演/セミナー

当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。

Who We Are 事務所紹介

長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。 企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。

SCROLL
TOP
Publications 著書/論文
ニュースレター

EUから米国への個人データ越境移転枠組み(EU-U.S. Data Privacy Framework)に対する十分性認定

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

NO&T U.S. Law Update 米国最新法律情報

NO&T Europe Legal Update 欧州最新法律情報

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

はじめに

 2023年7月10日、欧州委員会は、米欧データ・プライバシー・フレームワーク(EU-U.S. Data Privacy Framework、以下「DPF」といいます)に関する十分性認定(以下「本十分性認定」といいます)を採択しました※1。これにより、EEA圏※2(以下単に「EU」といいます)から米国に個人データを移転する事業者は、十分性認定に依拠して適法に移転することが可能となります。また、本十分性認定の採択に先立ち、米国ではガバメントアクセスに対処するための大統領令が整備されました。

 今後、EUから米国への個人データ越境移転について本十分性認定に依拠できるようになったこと、米国においてガバメントアクセスに対処するための大統領令が整備されたことは、これまで有効性に疑義があったEUから米国への個人データ移転について、一定程度予見可能性が高まったことを意味しています。

 また、これまでSCC(Standard Contractual Clauses:標準契約条項)に依拠してEUから米国へのデータ移転を行っていた企業にとっては、より負担の少ないDPFに依拠した移転への切り替えの可能性や、SCCにおいて必要とされていた補完的措置の内容等、再度の見直しが必要になる可能性もあります。

 本ニュースレターでは、本十分性認定のポイントと日本企業を含む事業者への影響を中心にご紹介します。

GDPRに基づく十分性認定の概要

1. 十分性認定の概要

 欧州一般データ保護規則(GDPR)では、EU域外への個人データの移転は、原則として禁止され、例外的に、GDPR第5章に定める要件に従った場合のみ適法に行うことができるとされています。

EUから第三国への越境移転が例外的に適法とされる主な場合(GDPRが定める主な越境移転の適法化根拠)

  • 十分性認定に基づく移転
  • 欧州委員会が採択したSCCの締結※3
  • BCR(Binding Corporate Rules:拘束的企業準則、主に企業グループ内移転に利用される)の締結
  • 明確な本人同意その他のGDPR49条に定める特定の状況における例外(Derogationsと呼ばれる)

 このように、十分性認定は、GDPRに基づいて個人データを適法に越境移転するための枠組みの一つです。具体的には、欧州委員会がデータ移転先の国・地域について十分なレベルの個人データ保護を保障していると決定した場合、EU域内における個人データの移転と同様に、当該国・地域に個人データを移転することが可能となります。すなわち、当該国・地域に対しては、当事者が十分性認定の根拠となった法令等(本十分性認定においては、DPFの要求事項)に従う限り、追加的な措置を講じることなく個人データを移転することができることを意味します。

 十分性認定は、当該第三国(移転先国)が、十分なデータ保護の水準を確保しているかどうかによって判断されます。十分なデータ保護の水準かどうかは、必ずしもGDPRが定める要求事項と同じである必要はなく、本質的に同等の保護レベルを確保しているかどうかによって判断されます(essentially equivalent test)。

2. 十分性認定における考慮要素としてのガバメントアクセス

 十分性認定においては、第三国(移転先国)の法制度上、ガバメントアクセスからデータ主体(個人)が十分に保護されるかどうかが考慮要素の一つとされており※4、米国との関係では、特に、この点が十分性認定の有効性に関する論点の一つとされてきました。その契機の一つは、2013年の元CIA職員エドワード・スノーデン氏による機密文書の暴露以降、ガバメントアクセスから個人データを保護することへの関心が高まったことにあります。以下においてご紹介するとおり、DPFの前身であるプライバシーシールドが無効とされた理由も、このガバメントアクセスの論点に関係しています。

本十分性認定に至る経緯

1. 本十分性認定に至る経緯(プライバシーシールド無効判決)

 2020年7月、欧州司法裁判所(CJEU)は、DPFの前身であるプライバシーシールドに関する十分性認定を無効と判断しました(SchremsⅡ判決)※5。その主な理由として、米国の法令が、①米国政府によるガバメントアクセスを必要かつ相当なものに限定するための措置が十分に講じられていないこと及び②EUの個人に対するガバメントアクセスからの法的救済メカニズムを十分に整備していなかったことが挙げられています。SchremsⅡ判決以降、EUから米国への個人データの移転に際しては、十分性認定に依拠することができないこととなりました。

 SchremsⅡ判決を受けて、EUと米国の間では、上記①・②への対応を中心に議論が重ねられ、2022年3月、上記①・②に対応するための措置を含むDPFの大枠について基本合意が成立しました※6。その後、基本合意で示された上記①・②に対応するための措置を具体化すべく、米国において大統領令が署名され、欧州委員会によって本十分性認定が採択されました。

2. SCCによるEUから米国への個人データ移転

 SchremsⅡ判決以降、EUから米国への個人データの移転に際しては、十分性認定に依拠することができないこととなったため、越境移転の適法化根拠のうちSCCが利用されることが多くなりました。他方で、SchremsⅡ判決により、EUから米国への個人データのSCCに依拠した越境移転は、移転影響評価(Transfer Impact Assessment、以下「TIA」といいます)を実施し、ガバメントアクセスから個人が十分に保護されないと評価された場合、「補完的措置」(additional safeguards)を講じなければならないこととされました。同判決は、補完的措置の内容に言及しなかったため、2021年6月にEDPB(EU各国のデータ保護当局のメンバーから構成されるデータ保護会議)がガイダンス(Recommendations※7)を出すなどしましたが、EU域内の各国のデータ保護当局から、補完的措置が十分でないと判断されて処分されるリスクが残されていました※8

本十分性認定の概要

 本十分性認定では、「米国は、EUからDPFリストに含まれる米国企業(DPF認証企業)に対して移転する個人データに対し、十分な保護レベルを確保している」と結論づけています※9。これにより、本十分性認定が採択された2023年7月10日から、EUから米国に個人データを移転する事業者は、十分性認定に依拠して適法に移転することが可能となりました※10

 また、同年7月19日、EDPBは、「十分性認定採択後のGDPRに基づく米国へのデータ移転に関するinformation note」(以下「Information Note」といいます)を採択し、本十分性認定が対象とする範囲やDPF認証企業以外の米国企業に移転する際の留意点等に関する情報を提供しています。

 本十分性認定は、日本に対する十分性認定等と異なり、EUからDPF認証企業である米国企業に移転する場合にのみ依拠できる点に特徴があります※11。また、本十分性認定では、ガバメントアクセスに対する保護を強化するための大統領令の内容が参照されています。以下、DPF及び大統領令についてそれぞれ説明します。

1. DPF

 DPFとは、企業がDPFのData Privacy Framework Principles(以下「Principles」といいます)をはじめとする義務への適合を自己認証することによって参加できる、企業認証システムです。DPFへの参加を意図する米国企業は、Principles(利用目的制限、データの最小化原則を含みます)をはじめとする義務への遵守を約束し、Principlesへの遵守をプライバシーポリシー等に反映することでDPFに参加することができ※12、米国商務省(DoC)は当該企業をDPFのリストに登録します。Principlesの遵守状況については、連邦取引委員会(FTC)による調査・監督に服し、DPF認証企業によって権利を侵害されたと主張するEUの個人は、法的救済を受けることができます。

2. 「米国のシグナルインテリジェンス活動の保護措置を強化するための大統領令」(EO14086)

 十分性認定における評価、とりわけ米国インテリジェンス機関によるデータアクセスに対する保護については、EUと米国の基本合意に基づき2022年10月に署名された「米国のシグナルインテリジェンス活動の保護措置を強化するための大統領令」(EO14086)※13に依拠しています。この大統領令は、SchremsⅡ判決で指摘された点(上記「本十分性認定に至る経緯」の1.①・②参照)に対処するための大統領令です。具体的には、以下の拘束力ある措置を含んでいます。

  • 米国インテリジェンス機関によるアクセスを国家安全保障上必要かつ相当な範囲に制限すること
  • 米国インテリジェンス機関の行為に対する監督の強化
  • 独立のデータ保護審査裁判所※14(Data Protection Review Court:DPRC)の創設を含む、EUの個人が利用可能な独立かつ公平な救済手段を確立するための多層的な救済メカニズムの創設※15

 上記の措置は、DPFが保有するデータであるか否かに限らず、米国インテリジェンス機関によるデータアクセス一般に適用されます。

 なお、本十分性認定に有効期間の定めはありませんが、発効から1年以内に欧州委員会によるレビューに服することとされています。一般に、十分性認定は、欧州委員会が破棄するまで有効性が維持されますが※16、欧州司法裁判所も欧州委員会の十分性認定の有効性を判断する権限を持っています。

本十分性認定による企業への影響

1. 本十分性認定による企業への影響

(1) 十分性認定に依拠した米国への移転への影響

 十分性認定により、個人データをEUから米国に移転している企業にとっては、DPFを利用することにより、米国に個人データを適法に移転する新たなルートが追加されたといえます。特に、DPFに依拠してEUから米国への個人データを適法に移転する場合、SCCに依拠する場合と異なり、事業者において高コストのかかるTIAを実施することなくEUから米国へ個人データを適法に移転することができるメリットがあります。

 他方で、欧州委員会による十分性認定によって、本フレームワークの有効性が完全に保証されるものではなく、今後、欧州司法裁判所が無効と判断する可能性が完全に否定されたわけではありません。現に、セーフハーバールール及びその後継であるプライバシーシールドが次々と無効化されてきた経緯を考えると、今回のDPFについても、同様に欧州司法裁判所における司法判断に服する可能性は否定できません。また、SchremsⅡ判決の原告が、DPFについて、将来の訴え提起を示唆している点も踏まえると※17、今後の動向を注視する必要があります。

(2) SCCに依拠した米国への移転への影響

 既に述べたとおり、現状、SCCに依拠した越境移転は、TIAを実施した上で、「ガバメントアクセスから個人が十分に保護されない」と判断される場合、「補完的措置」を講じる必要があることとされています。ここでいう「補完的措置」の内容については、EDPBのRecommendationsや改訂版SCCの条項を踏まえても、実務的にどこまで対応すれば良いかについては一義的に明らかでなく、さらに、EU域内の各国のデータ保護当局から、補完的措置が十分でないと判断されて処分されるリスクが引き続き残されていました。

 他方で、本十分性認定に先立って成立した大統領令(EO14086)は、DPF認証企業が保有するデータであるか否かに拘わらず、米国インテリジェンス機関によるデータアクセス一般に適用されるため、SCCに依拠して移転された個人データへのガバメントアクセスにも適用があります。したがって、当該大統領令(EO14086)によって米国でのガバメントアクセスと個人データ保護とのバランスが図られた点を、TIAにおいて考慮することができ※18、その結果、米国への移転に関しては、補完的措置を講じる必要がないと評価できる可能性があります。

 DPFとSCCに依拠したEUから米国への個人データ移転の違いをまとめると、以下のようになります。

<EUから米国への越境移転の整理>

DPFによる移転 SCCの締結による移転
移転影響評価(TIA)の実施 不要 必要
補完的措置の実施 不要 必要な場合あり
(ただし、大統領令(EO14086)によって米国でのガバメントアクセスと個人データ保護とのバランスが図られた点を、TIAにおいて考慮することができ、その結果、不要と評価できる可能性があります)

2. 日本企業への影響

 少なくともEUから日本への個人データ移転、例えば、EUに所在する子会社の従業員データを日本の親会社に共有する場合については、日本とEU間の十分性認定に依拠できるため、越境移転時の適法化根拠は通常問題にならないと思われます。

 一方で、EUに所在する子会社の個人データが米国に移転される場合、日本とEU間の十分性認定に依拠することができないため、GDPRが定める越境移転時の適法化根拠が問題となりえます。想定されるケースとしては、例えば、以下が挙げられます。

EUから米国への個人データ移転が想定されるケース※19

  • EUに所在する子会社の従業員に関するデータ処理を米国の事業者に委託する場合
  • EUの顧客データの処理を米国の事業者に委託する場合
  • EU及び米国に子会社が所在する同一の企業グループ内で個人データを共有する場合

 これまでSCCに依拠してEUから米国へのデータ移転を行っていた場合に、委託先の米国企業が本十分性認定によってDPFに参加することとなった場合には、越境移転の適法化根拠に変更が生じることとなるため、プライバシーノーティスの見直しが必要になる可能性があります※20。また、SCCに依拠する場合に必要とされていた補完的措置については、大統領令(EO14086)の成立によって見直しが必要になる可能性があるため、あらためてTIAを行い、補完的措置の内容を検討することが考えられます。

脚注一覧

※1
欧州委員会「Adequacy decision for the EU-US Data Privacy Framework」(最終アクセス:2023年7月31日)

※2
EU加盟国27か国にアイスランド、ノルウェー、リヒテンシュタインを加えた地域をいいます。

※3
ただし、SchremsⅡ判決(詳細は本文「本十分性認定に至る経緯」の1.をご参照ください)において、SCCの締結に加えて、移転影響評価(TIA)を実施し、移転先国でガバメントアクセスに関する個人データの保護レベルが十分でない場合には、補完的措置を講じなければならないこととされました。そして、米国においてはガバメントアクセスに関する個人データの保護レベルが十分でないため、補完的措置を講じなければならないこととされました。

※4
GDPR45条2項(a)

※6
森大樹・今野由紀子「EUと米国による個人データ越境移転に関する枠組みの基本合意」(個人情報保護・データプライバシーニュースレター No.14(2022年4月))参照

※8
具体的には、近時のGoogleのウェブ解析ツール(Google Analytics)の事例では、フランスを初めとする複数のデータ保護当局から、SCCを利用した米国への個人データの移転において、Googleが講じていた補完的措置(暗号化措置が含まれます)が不十分であると判断されました。スウェーデンでは、Google Analyticsの利用企業が制裁金を課された事例もあり、データ輸出者(移転元)である企業側の責任が認められる可能性がある点で注目に値します。
https://www.imy.se/en/news/four-companies-must-stop-using-google-analytics/(最終アクセス:2023年7月31日)

※9
本十分性認定1条

※10
なお、DPFの発効と同時に、スイスから米国へのデータ移転に関するSwiss-U.S. Data Privacy Framework(以下「Swiss DPF」といいます)及び英国から米国へのデータ移転に関するUK Extension to the EU-U.S. DPF(以下「UK Extension」といいます)についても自己認証をすることが可能となりましたが、Swiss DPF又はUK Extensionに依拠して個人データを移転することができるのは、スイス又は英国において十分性認定が採択された後とされています。

※11
なお、Information Noteでは、本十分性認定が、GDPR3条2項(域外適用規定)によってGDPRの適用を受けるEU域外の事業者からDPF認証企業へのデータ移転を対象としていないと記載されています(Information Noteの脚注5)。

※12
従前のプライバシーシールドに登録していた企業は、Principlesの効力発生日から3か月以内にプライバシーポリシーをアップデートする必要があります(本十分性認定Annex IのⅢ.6.e.)。

※13
最終アクセス:2023年8月2日

※14
なお、DPRCは、司法省の一部として創設される行政機関に位置づけられます。

※15
具体的には、EUの個人は、自ら所在する国のデータ保護当局に申立てをすることができ、当該申立てをEDPBが米国に転送します。米国では、DPRCが、最終的に申立てを裁定(より正確には、申立てに対する第一次的な審査期間であるOffice of the Director of National Intelligence のCivil Liberties Protection Officer (ODNI CLPO)の決定に対する不服申立てに対し、CLPOの決定を審査します)し、必要に応じて是正措置を指示する全ての権限を持つこととされています。

※16
GDPR45条9項

※18
Information Noteの2.

※19
近時、ウェブ解析ツールやオンライン広告サービス等、オンラインでの事業展開に不可欠なサービスの多くが米国のベンダーによって提供されている現状があります。そのようなサービスを利用している場合、データ処理の場所を特定することは困難である場合がありますが、個人データを含む多様なデータが米国内のサーバーで処理されているなど、EUから米国への個人データの移転が生じる可能性がある点には留意が必要です。例えば、SchremsⅡ判決では、EUのユーザーはFacebookに登録する際、EUの拠点(Facebook Ireland)と契約を締結することとなるものの、当該ユーザーの個人データの全部又は一部は米国のFacebook Inc.が保有するサーバーに移転されることが前提とされています。

※20
GDPR13条1項(f)、14条1項(f)

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

海外業務に関連する著書/論文

南北アメリカに関連する著書/論文

米国に関連する著書/論文

ヨーロッパに関連する著書/論文

決定 業務分野を選択
決定