2016年7月12日、EU-米国間プライバシー・シールドが欧州委員会により承認されました。これにより、プライバシー・シールドの遵守を自己認証することにより、米国企業が適法にEUの個人データを米国に移転をすることができることになります。2016年2月の公表以降、プライバシー・シールドの原案は様々な議論と批判に晒されました。最終的に承認されたプライバシー・シールドでは、原案の枠組みの多くは維持されましたが、適用される国、適用範囲、プライバシー・シールド原則、商務省の監督権限の強化、データ主体の救済措置の明確化等いくつかの点が見直し改良され、また、GDPR (一般データ保護規則) とは別の手続きであり、GDPRへの遵守は別途検討されなければならないことが明確にされました。なお、EUからの離脱を決めた英国については、少なくとも今後2年間はEU加盟国であるので、その限りプライバシー・シールドに従って米国にデータ移転をすることが可能となりますが、離脱後にプライバシー・シールドが引き続き適用されるかについては、現時点では明らかではありません。今後、各企業は、プライバシー・シールドの採用をするか否かを検討していく必要があります。
本件は、日本企業の米国子会社等関連企業が欧州の顧客を持つ場合や、日本企業の欧州子会社等関連企業が米国企業からITサービスの提供を受ける場合などに大きな影響があるため紹介します。
詳細は、Jones Day Commentary " The EU-U.S. Privacy Shield Approved" (オリジナル(英語)版)をご参照ください。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
