月別アーカイブ: 2022年10月

GDPR

★最新NWes Topic★『バイデン大統領、欧州連合と米国のデータプライバシーフレームワークを実施するための大統領令に署名』について

2022年10月7日 大統領令全文訳

本日、バイデン大統領は、2022年3月にバイデン大統領とフォン・デル・ライエン欧州委員会委員長が発表した欧州連合・米国データプライバシー枠組み(EU-U.S. DPF)に基づく米国の約束を実行するために米国が取るべき措置を指示する「米国のシグナル情報活動のためのセーフガードを強化する大統領令(E.O.)」に署名を行った。

大西洋を横断するデータフローは、7兆1千億ドルのEUと米国の経済関係を可能にするために不可欠である。 EU-U.S. DPFは、欧州連合司法裁判所が、EU法の下で有効なデータ移転メカニズムであるEU-U.S. Privacy Shieldの先行フレームワークを打ち消した際に提起した懸念に対処し、大西洋横断のデータフローにとって重要な法的根拠を回復するものだ」と述べている。

米国のシグナルインテリジェンス活動に対するプライバシーと市民的自由の保護措置をすでに厳格に適用しているが、この大統領令は、これを強化するものである。また、E.O.に基づいて指定された、適格国家および地域経済統合機関に属する個人が、米国のシグナルインテリジェンスを通じて、米国の適用法に違反する形で個人データが収集されたと考える場合に、救済を求めることができる独立した拘束力のあるメカニズムも創設されている。

米国およびEUの企業は、経済のあらゆる部門において、デジタル経済への参加と経済機会の拡大のために、国境を越えたデータの流れに依存している。EU-U.S. DPFは、大西洋を越えるデータの流れに信頼と安定を取り戻すための米国と欧州委員会の共同努力の集大成であり、共通の価値観に基づく永続的なEU-米国関係の強さを反映するものである。

特に、この大統領令は

  • 米国のシグナルインテリジェンス活動に対する安全保護措置をさらに強化する。このような活動は、定義された国家安全保障上の目的を追求する場合にのみ実施し、国籍や居住国にかかわらず、すべての人のプライバシーと市民的自由を考慮し、有効な情報優先事項を進めるために必要な場合にのみ、その優先事項に見合った程度と方法で実施することを義務付けるなどである。

 

  • シグナルインテリジェンス活動を通じて取得された個人情報の取り扱いに関する要件を定め、法律、監督、コンプライアンス担当者の責任を拡大し、コンプライアンス違反の事例を是正するために適切な措置が取られることを確保する。

 

  • 米国のインテリジェンスコミュニティの一部に対し、O.に含まれる新しいプライバシーおよび市民的自由の保護措置を反映させるために、そのポリシーおよび手続きを更新することを要求している。

 

  • O.に従って指定された、適格国家および地域経済統合機構の個人が、米国のシグナルインテリジェンスを通じて取得された個人情報が、E.O.の強化された保護措置を含む米国の適用法に違反して米国によって収集または取り扱われたという主張について、独立した拘束力のある審査と救済を受けるための多層のメカニズムを構築する。

 

  • 第一階層では、国家情報長官室(CLPO)の自由権保護官が、受け取った適格な苦情について最初の調査を行い、O.の強化された保護措置または他の適用可能な米国法に違反したかどうかを判断し、違反した場合は適切な是正措置を決定する。E.O. は、CLPO の決定が、第二段階の審査を経て、インテリジェンスコミュニティに対して拘束力を持つこと、および CLPO の調査および決定の独立性を確保するための保護を提供することによって、既存の法定 CLPO 機能を構築している。

 

  • 第二段階の審査として、O.は司法長官にデータ保護審査裁判所(”DPRC”)を設立し、個人またはインテリジェンスコミュニティの一部からの申請により、CLPOの決定に対して独立し拘束力のある審査を行うことを許可し指示する。DPRCの裁判官は米国政府外から任命され、データプライバシーと国家安全保障の分野で関連した経験を持ち、独立して事件を審査し、罷免に対する保護を受けることになる。適用される米国の法律に違反があったかどうか、違反があった場合はどのような是正措置を取るべきかに関するDPRCの判断は拘束力を持つ。DPRCの審査をさらに強化するため、E.O.はDPRCが案件ごとに特別弁護人を選出することを定めている。この弁護人は、申立人の関心事について弁護し、DPRCが案件に関する問題点や法律を十分に理解していることを確認する役割を担う。司法長官は本日、DPRCの設置に関する付随規則を発表した。

 

  • プライバシーおよび自由権監視委員会(Privacy and Civil Liberties Oversight Board)に対し、インテリジェンスコミュニティの方針および手続きを見直し、それらが大統領令に合致していることを確認するとともに、インテリジェンスコミュニティがCLPOおよびDPRCによる決定を完全に遵守しているかどうかを含め、救済処理の年次審査を行うよう要請する。

これらの措置は、欧州委員会に新たな十分性認定の判断を採用する根拠を与え、EU法の下で重要かつアクセス可能で安価なデータ移転の仕組みを回復させることになる。また、標準契約条項(Standard Contractual Clauses)と拘束力のある企業ルール(Binding Corporate Rules)を用いてEUの個人データを米国に移転する企業にとって、より大きな法的確実性を提供することになるであろう。