欧州委員会と米国は2016年2月2日(欧州時間)、プライバシーを保護しながら欧州の個人データを米国に移転できるようにする新たな枠組み「EU-USプライバシーシールド」の導入で合意した。
これまで欧州から米国への個人データ移転を許容する法的枠組みとして「セーフハーバー協定」があり、米フェイスブックや米グーグルなどのIT企業はこの協定に基づき欧州ユーザーの個人データを米国のデータセンターに移転していた。だが、米NSA(国家安全保障局)などによる無差別なデータ監視が問題化したことを受け、2015年10月に欧州司法裁判所が「協定は無効」とする判決を下していた。
今回、欧州委員会と米国は、無効とされたセーフハーバー協定に代わり、欧州司法裁判所が求めた要件を取り入れた新たな枠組みの設置で合意した。
今回の枠組みでは、米企業にデータ保護の強い義務を課すほか、米国商務省と米連邦取引委員会(FTC)が欧州データ保護当局と協力しながら、プライバシー侵害について監視や法執行を行う。米国の政府機関が移転データにアクセスする際には、明確な条件と監視、透明性の確保を求める。欧州市民は、新たに設置する専用のオンブズパーソン(行政に関する苦情受付や監視を担う機関)を通じ、データ保護について問い合わせや苦情を提起でき、企業は一定期限内に回答する義務を負う。
日本は十分性認定を取得する見通し立たず
日本と欧州の間には、セーフハーバー協定のような枠組みはない。欧州と同等のデータ保護体制があるとしてデータ移転が認められる「十分性認定」についても、改正個人情報保護法における開示請求権などの権利保障が限定的であるなどの理由で、認定を取得できる見通しは立っていない。
このため、欧州の個人データを日本のデータセンターに移転するには、これまでと同様、個別に本人の同意を取得するか、SCC(標準契約条項、Standard Contractual Clauses)、BCR(拘束的企業準則、Binding Corporate Rules)などの法的手続きを取る必要がある。欧州の新たなデータ保護ルールである一般データ保護規則が2018年に発効した後は、同規則に違反した場合企業には「全世界連結売上高の4%」か「2000万ユーロ(約26億円)」のいずれか高い方を上限とした制裁金が課される。
