2023 年 7 月 10 日、欧州委員会は、EU から米国への個人データの越境移転のためのEU-US Data Privacy Framework(以下「DPF」 という。)に対する十分性認定(以下「本十分性認定」という。)を公表しました。
GDPR の下においては、 EU 域内から EU 域外への個人データの越境移転は原則として禁止されていますが、以下の場合には、例外的に越境移転が認められとされています。
- EU 域外の国・地域等が欧州委員会より十分性認定を受けている場合(GDPR45 条)
- 管理者又は処理者が SCC、拘束的企業準則(Binding Corporate Rules。以下「BCR」という。)等の適切な保護措置 (appropriate safeguards)を講じている場合(GDPR46 条)
- データ主体が移転のリスクの告知を受けた上で明示的に同意する等の例外要件を満たす場合(GDPR49 条)
米国への個人データの越境移転は、2020 年 7 月にいわゆる Schrems II 判決において、当時の十分性認定 (EU-US Privacy Shield)が欧州司法裁判所により無効と判断されて以降、十分性認定に依拠することはできなくなったため、企業は、SCC に依拠して越境移転を行う場合が多かったと考えられます。しかしながらSCCは、越境移転影響評価(Transfer Impact Assessment)を行い、また、必要に応じ補完的措置(supplemental measures)を講ずる必要があり、企業にとっては少なからぬ負担となっていました。
DPFが採用されたことにより、 これに登録した企業への移転については、以後は、十分 性認定に基づいてデータを移転することができるようになり、SCCの締結や越境移転影響評価の実施は不要となります。