欧州データ保護会議(EDPB)はこのほど、EU域内事業者が米国に個人データを移転する際に参照できる、EU-US Data Privacy Framework(以下「DPF」)に関する事業者向けFAQ(EU-US Data Privacy Framework FAQ for European businesses)を公表しました。
本FAQでは、DPFを利用したデータ移転に必要な確認事項や、実務上注意すべきポイントなどが整理されています。とりわけ、DPFは米国企業が自主的に登録し、認証を受ける仕組みとなっているため、EUから米国へデータを送る前に、送付先の企業がDPFに参加しており、その企業の認証範囲がEUから送る個人データの種類(たとえば人事データなど)をきちんと含んでいるかを確認することの重要性などに触れられています。
なお、日本など十分性認定のある第三国を経由して米国にデータを移転するケースでも、最終的にデータが米国企業に渡る場合はDPFやSCCなど適切な根拠の有無を確認する必要があります。
今後は、EUから米国へのデータ移転(日本を経由する場合を含む)に関してDPFを利用する場合には、本FAQの内容を参照しつつ、自社のデータ移転フローや契約書(データ処理契約を含む)を点検しておくことが重要です。