TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

EU、新たな米国データプライバシー協定を採択

欧州委員会はEU-米国データプライバシー協定に関する十分性認定(adequacy decision)を採択し、追加の保護措置なしに、両地域間で個人データを自由に移転できるようにした。

2023年7月10日の発表は、2022年3月に米国政府とEUの間で新たなデータプライバシー枠組み(Data Privacy Framework)について成立した暫定合意を確認するものだ。このモデルは、両地域間の従来のプライバシー・シールド(Privacy Shield)を置き換えるものであり、同制度は2020年のSchrems II事件において、GDPR規則の下で欧州連合司法裁判所(CJEU)により違法と判断されていた。

この判断は、EUから米国へ移転されたデータに米国の法執行機関がアクセスし得ることへの懸念によるものだった。その結果、EUから米国への個人データ移転の手続きははるかに複雑になり、組織は標準契約条項(SCC)などの代替メカニズムを用いざるを得なくなった。

新たな枠組みについて、欧州委員会委員長のウルズラ・フォン・デア・ライエンは次のように述べた。「新しいEU-米国データプライバシー枠組みは、欧州の人々にとって安全なデータ流通を確保し、大西洋の両側の企業に法的確実性をもたらすでしょう。

「昨年、私がバイデン大統領と到達した原則合意を受け、米国は新たな枠組みを確立するために前例のないコミットメントを実施しました。本日、私たちは、市民に対して自分たちのデータが安全であるという信頼を提供し、EUと米国の経済的結びつきを深め、同時に共有する価値観を再確認するための重要な一歩を踏み出します。協力して取り組めば、最も複雑な問題にも対処できることを示しています。」

この決定に至るにあたり、欧州委員会は、米国がEUと同等の適切なデータ保護水準を有していると結論づけ、個人データを大西洋を越えて安全に移転できるとした。EUは、更新された枠組みがSchrems IIにおけるCJEUの判断で提起された懸念に対処していると述べた。これには、国家安全保障を保護するために「米国の情報機関によるEUデータへのアクセスを、必要かつ比例的な範囲に制限する」ことが含まれる。

さらにEU市民は、新設されるデータ保護審査裁判所(Data Protection Review Court: DPRC)という形で、米国情報機関による自らのデータの収集・利用に関して、独立かつ公平な救済メカニズムにアクセスできるようになる。

この裁判所は、協定に反して収集されたデータの削除を命じるなど、データプライバシー枠組みの違反に対処する権限を持つ。

声明の中で、米国商務長官ジーナ・レイモンドは、欧州委員会による十分性認定の採択を歓迎し、このメカニズムが経済成長を促進する上で重要であることを概説した。

「大西洋横断のデータ流通は、年間1兆ドル超の国境を越えた貿易・投資を支え、大西洋の両側の企業と市民により大きな経済機会を生み出しています。 DPFは、とりわけ大西洋横断経済に参加したい中小企業にとって価値あるツールとなり、EU法に整合する形で個人データを移転するための、手頃で分かりやすい手段を提供します」と彼女は述べた。

今後の手順と反応

EUは、EU-米国データプライバシー枠組みの運用について、欧州の他のデータ当局および権限ある米国当局と連携して、欧州委員会が定期的なレビューを実施すると述べた。最初のレビューは、2023年7月10日である十分性認定の発効から1年以内に行われる。

法律事務所Ropes & Grayでデータ、プライバシー、サイバーセキュリティ部門の責任者を務めるローハン・マッシーは、新たなデータ移転メカニズムは、データ移転が適法かどうか分からないまま3年間「宙ぶらりん」の状態に置かれてきた商業組織にとって救いになるだろうと述べた。  

「この枠組みは、データ移転に標準契約条項を利用している組織にも利益をもたらします。EEA域外でデータを保護するために必要な技術的・組織的措置の要件に関連するものとして、EU-米国データプライバシー枠組みによる保護の一部を引用できるようになるからです」と彼は付け加えた。

しかし、この発表を受けて、デジタル権利のための欧州センター(Noyb)は、裁判所でこの決定に異議を申し立てると述べ、この枠組みは「数か月のうちに」CJEUに差し戻される可能性が高いとした。

プライバシー活動家マックス・シュレムスが設立したこの非営利団体は、新たなデータ移転メカニズムには、外国情報監視法(FISA)第702条の下で「米国はいまだに、憲法上の権利に値するのは米国人だけだという見解を取っている」ため、従来のプライバシー・シールドと同じ根本的問題があると主張した。

シュレムスは次のように述べた。「狂気の定義は、同じことを何度も繰り返して違う結果を期待することだと言われます。『プライバシー・シールド』と同様に、今回の最新の合意も実質的な変更に基づくものではなく、政治的利害によるものです。今回もまた、現委員会は、この混乱が次の委員会の問題になると考えているようです。FISA 702は今年、米国によって延長される必要がありますが、新たな合意の発表によって、EUはFISA 702の改革を引き出すためのあらゆる力を失いました。」

2023年6月、英国と米国は、両国間でデータの自由な流通を可能にする「データ・ブリッジ」を創設するための原則的コミットメントに到達した。これは本質的に、EU-米国データプライバシー枠組みの英国版拡張にあたる。

翻訳元: https://www.infosecurity-magazine.com/news/eu-us-data-privacy-agreement/

ソース: infosecurity-magazine.com
#CJEU(欧州司法裁判所) #EU-USデータプライバシーフレームワーク #GDPR #NOYB(欧州デジタル権利センター) #Schrems II判決 #データ保護審査裁判所(DPRC) #プライバシーシールド #十分性認定 #米国情報機関によるアクセス制限 #越境データ移転

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新