EU-米国データプライバシーフレームワークとは【用語集詳細】
EU-米国データプライバシーフレームワーク(EU-U.S. Data Privacy Framework)は、2022年現在、EUと米国との間で制定が進められている、データ移転に関する合意枠組みです。
EUと国外との間の個人情報の自由な移転を可能にするためには、GDPRに定める十分性認定(Adequacy Decision)が必要となります。
このため、フレームワークを制定するにあたり、EUは米国と協議し、EU域内から米国に対して移転される個人情報に対して、米国が適切なレベルの保護策を講じること、またEU域内から米国に移転される情報に対する米国政府機関(特に法執行機関及び安全保障当局)のアクセスについてもしかるべき制限と安全策を設けることを定めています。
米国企業は、定められたプライバシー保護策を遵守することにより、当該フレームワークに参加することが可能となります。
EUの個人情報保護規則(GDPR)は、EU市民個人情報の国外への移転に対し厳しい制限を設けています。
これまで、米国とEU間の個人情報データの移転には、プライバシーシールドという枠組みが用いられてきました 。
2016年に制定されたプライバシーシールドは、米国商務省の認定を受けた企業によるEU個人情報の取り扱いを許可する制度です。しかし、米国国家安全保障局による大量監視の暴露を受けて差し止め訴訟が行われた結果、2020年のEU司法裁判所の判決によりGDPR不適合とされ、十分性認定を無効化されました。
2023年に施行予定の当該フレームワークは、不十分と認定された米国のデータ保護基準を克服するものであるという位置づけとなっています。
なお、EU-米国データプライバシーフレームワーク推進にあたりバイデン大統領が発出した大統領令(EO)は、米国情報機関によるデータへのアクセスを、国家安全保障に必要なケースにのみ限定し、データ保護審査裁判所(DPRC)を含む独立した救済機構を設置することを規定しています。