2023年7月10日、EUは、アメリカにおける法的枠組みの変更およびEUが課すデータ保護保証への対応に伴い、EUからアメリカへの個人データ移転の可能性を発表した。
当該決定に至った主な理由は、2022年10月、アメリカ大統領が、個人データ保護に関するEUに対する一連の約束の履行のために署名した大統領令にある。当該大統領令は、アメリカ情報機関が個人データへのアクセス及び処理に関わることを制限し、不適切なデータ処理に対する申立て解決のためのメカニズムを構築し、EUに存在するこれらの側面に関する保証と一致させるものであった。
EU加盟国から域外へ個人データを移転するためには、対象となる第三国が、必ずしも同一ではないにせよEU域内と実質的に同等の保護水準を有する必要性は、「Maximillian Schrems v. Data Protection Commissioner(マキシミリアン・シュレムス対データ保護委員会)」事件番号C-362/14において、欧州連合司法裁判所が明らかにしている。
このため、新たなEU-米データ・プライバシー・フレームワーク(DPF)の中に、一連の原則が導入され、アメリカは当該原則に基づき、EUと同等レベルの保護を付与する必要がある。これらの原則では、認証された主体の決定、個人データの基本コンセプトの定義、個人データの処理を特定の対象に限定、さらに、データ収集目的に必要でなくなった場合にはデータを削除する等の義務を導入している。
EU-米データ・プライバシー・フレームワークによって導入された条件の下で、この原則の遵守を約束した事業者は、EUからの個人データの唯一の受領者となることが可能となる。このコミットメントは、自主的に原則を遵守することを決定した事業者のオープンリスト「データ・フレームワーク・リスト」において明白である。このリストは、新規事業者の参画や、撤退を決めた事業者もしくは原則を遵守しない事業者の排除に伴い、常にアップデートされる。
アメリカ情報機関によるEU域内に居住する市民の個人データへのアクセスは、必要性と比例性の原則を満たす場合に限られる。この分野での苦情がある場合、EU市民には、国内のデータ保護当局を通じて実行できる不服申し立てのメカニズムが用意されており、同当局は欧州データ保護委員会を通じてアメリカに申立てを転送し、必要性と比例性の原則が遵守されているかどうかを判断、裁定する。
加えて、データ保護審査裁判所(Protection Review Court、DPRC)が設置される。この裁判所は、政府とは無関係のメンバーによって構成され、正当な理由なく、指示を受けたり解任されたりすることはない。申立てを調査し、拘束力のある決定を下し、必要に応じて個人データの削除を命じることができる。この裁判所は、申立てに対するアメリカ側の回答に申立者が同意しない場合に設置される。
当該協定が、欧州連合司法裁判所で将来的に争われた後も存続する場合、EUとアメリカ間の個人データの越境移転に関する長い法廷闘争に終止符が打たれ、待望の協定が誕生することになる。これにより、両国間は新たなデジタル貿易のステージに踏み出すこととなろう。
ヴィラ・オスカル (Oscar Vilá)
ヴィラ法律事務所