EDPB EU-米国データ・プライバシー・フレームワークにおける改善を歓迎するが、いいたいことは54ページ分ほどある(^^)
こんにちは、丸山満彦です。
EDPBは米国の情報収集(例えば、SIGINT)の必要性と比例性の原則を具体化する要件の導入や、EUのデータ主体に対する新たな救済メカニズムの導入など、大幅な改善を歓迎する一方、データ主体の特定の権利、転送、免除の範囲、データの一時的な一括収集、救済メカニズムの実際的な機能に関すること等について懸念があるとして、意見書を公表していますね。。。
● EDPB
・2023.02.28 EDPB welcomes improvements under the EU-U.S. Data Privacy Framework, but concerns remain
・[PDF]
・[DOCX] 仮訳
・エグゼクティブサマリー
| Executive summary | エグゼクティブサマリー |
| On 13 December 2022, the European Commission published a draft adequacy decision (‘Draft Decision’) which includes annexes constituting a new framework for transatlantic exchanges of personal data, the EU-U.S. Data Privacy Framework (‘DPF’), which is meant to replace the previous U.S. Privacy Shield invalidated by the Court of Justice of the European Union (‘CJEU’) on 16 July 2020, in the Schrems II case. The key component of the DPF is the EU-US Data Privacy Framework Principles, including the Supplemental Principles (collectively ‘the DPF Principles’). | 2022年12月13日、欧州委員会は、2020年7月16日に欧州連合司法裁判所(CJEU)がシュレムスII事件で無効とした従来の米国プライバシーシールドに代わる個人データの大西洋横断的交換のための新しい枠組み、EU-米国データ・プライバシー・フレームワーク(「DPF」)の構成を示す附属書を含む妥当性決定案(「決定案」)を公表した。DPFの主要な構成要素は、補足原則を含むEU-USデータ・プライバシー・フレームワーク原則(以下、総称して「DPF原則」)である。 |
| In accordance with Article 70(1)(s) of Regulation (EU) 2016/679[1] of the European Parliament and of the Council (‘GDPR’), the Commission requested the opinion of the European Data Protection Board (‘EDPB’) on the Draft Decision. | 欧州議会および理事会の規則(EU)2016/679[1] (以下、「GDPR」)第70条(1)(s)に従い、欧州委員会は本決定案について欧州データ保護委員会(以下、「EDPB」)の意見を求めた。 |
| The EDPB assessed the adequacy of the level of protection afforded in the USA, on the basis of the examination of the Draft Decision. The EDPB assessed both the commercial aspects and the access to and use of personal data transferred from the EU by public authorities in the US. | EDPBは、決定草案の審査に基づき、米国で与えられている保護水準の妥当性を評価した。EDPBは、商業的側面と、米国の公的機関によるEUから移転された個人データへのアクセスと使用の両方を評価した。 |
| The EDPB took into account the applicable EU data protection legal framework as set out in the GDPR, as well as the fundamental rights to private life and data protection as enshrined in Articles 7 and 8 of the Charter of Fundamental rights of the European Union and Article 8 of the European Convention on Human Rights. It also considered the right to an effective remedy and to a fair trial laid down in Article 47 of the Charter, as well as the jurisprudence related to the various fundamental rights. | EDPBは、GDPRに規定されているEUデータ保護の法的枠組み、欧州連合基本権憲章第7条および第8条、欧州人権条約第8条に規定されている私生活およびデータ保護に関する基本権を考慮した。また、同憲章第47条に規定されている有効な救済を受ける権利と公正な裁判を受ける権利、およびさまざまな基本的権利に関連する法理論についても検討した。 |
| In addition, the EDPB has considered the requirements of the Adequacy Referential adopted by the EDPB[2]. | さらに、EDPBはEDPB[2] で採択されたAdequacy Referentialの要件も考慮している。 |
| The EDPB’s key objective is to give an opinion to the Commission on the adequacy of the level of protection afforded to individuals whose personal data is transferred to the US. It is important to recognise that the EDPB does not expect the US data protection framework to replicate European data protection law. | EDPBの主な目的は、個人データが米国に移転された場合に個人に与えられる保護レベルの妥当性について欧州委員会に意見を述べることである。EDPBは、米国のデータ保護の枠組みが欧州のデータ保護法を複製することを期待しているわけではないことを認識することが重要である。 |
| However, the EDPB recalls that, to be considered as providing an adequate level of protection, Article 45 GDPR and the case-law of the CJEU require the third country’s legislation to provide data subjects with a level of protection essentially equivalent to that guaranteed in the EU. | しかし、EDPBは、適切なレベルの保護を提供しているとみなされるためには、GDPR第45条および日欧の判例が、第三国の法令がデータ対象者にEUで保証される保護と本質的に同等のレベルを提供することを求めていることを想起する。 |
| 1.1. General data protection aspects | 1.1.一般的なデータ保護の側面 |
| The DPF provides that adherence to the DPF Principles by DPF Organisations may be limited in some cases (e.g. to the extent necessary to comply with a court order or to meet public interest). In order to better identify the impact of these exemptions on the level of protection for data subjects, the EDPB recommends that the Commission includes in the Draft Decision clarification on the scope of the exemptions, including on the applicable safeguards under US law. | DPFは、DPF団体によるDPF原則の遵守が場合によっては制限される可能性があることを規定している(例:裁判所の命令に従うため、または公共の利益を満たすために必要な程度に)。これらの適用除外がデータ主体の保護レベルに与える影響をより明確にするために、EDPBは欧州委員会が決定草案に、米国法の下で適用されるセーフガードを含む適用除外の範囲に関する明確化を含めることを推奨する。 |
| The EDPB notes that the structure of the annexes and their numbering makes the information rather difficult to find and refer to. This contributes to an overall complex presentation of the new framework, which compiles in its annexes documents of different legal value, and may not favour a good understanding of the DPF Principles by data subjects, DPF Organisations, and EU Data Protection Authorities. The EDPB also stresses that the terminology should be used consistently throughout the DPF. Similarly, the definition of some essential terms is lacking[3]. | EDPBは、附属書の構成とその番号付けにより、情報の検索や参照が困難であることを指摘する。このことは、法的価値の異なる文書が附属書にまとめられている新フレームワークの全体的な複雑さを助長し、データ主体、DPF機関、EUデータ保護当局がDPF原則を十分に理解することにつながらない可能性があると指摘している。EDPBはまた、DPF全体を通して一貫した用語が使用されるべきであると強調している。同様に、いくつかの重要な用語の定義が欠落している[3] 。 |
| The EDPB welcomes the updates made to the DPF Principles[4], which will constitute the binding legal framework for DPF Organisations, but notes that despite a number of changes and additional explanations made in the recitals of the Draft Decision, the DPF Principles to which the DPF organisations have to adhere remain essentially unchanged with regard to those applicable under the Privacy Shield (on which were based the Working Party 29 (‘WP29’) and EDPB annual joint reviews). The DPF Principles are also, to a large extent, the same as those of the draft Privacy Shield on which the WP29 based its 2016 opinion[5]. For those DPF Principles that are substantially unchanged, the EDPB considers not necessary to repeat all comments previously made by the WP29. The EDPB has decided to focus on specific aspects that it considers to be even more relevant today, in view of the evolution of the legal and technological environment. | EDPBは、DPF団体の拘束力のある法的枠組みを構成するDPF原則[4] の更新を歓迎するが、決定草案の序文に多くの変更と追加説明がなされているにもかかわらず、DPF団体が遵守しなければならないDPF原則は、プライバシーシールドの下で適用されるもの(ワーキングパーティー29(以下WP29)とEDPBの年次ジョイントレビューのベースとなった)と本質的に変わらないことに注意する。また、DPF原則は、WP29が2016年の意見書[5] の根拠としたプライバシー・シールドの草案の原則とほぼ同じである。DPF原則のうち、実質的に変更がないものについては、EDPBはWP29によって以前になされた全てのコメントを繰り返す必要はないと考えている。EDPBは、法的・技術的環境の進化に鑑み、今日さらに関連性が高いと思われる特定の側面に焦点を当てることにした。 |
| For instance, the EDPB notes that some issues of concern previously raised by the WP29 and the EDPB in relation to the Privacy Shield principles remain valid. In particular, these relate to the rights of data subjects (e.g. some exceptions to the right of access and the timing and modalities for the right to object), the absence of key definitions, the lack of clarity in relation to the application of the DPF Principles to processors, and the broad exemption for publicly available information[6]. | 例えば、EDPBは、プライバシー・シールドの原則に関連してWP29とEDPBが過去に提起した懸念事項が依然として有効であることに留意している。特に、データ主体の権利(アクセス権に対するいくつかの例外、異議申し立ての権利のタイミングと様式など)、重要な定義の不在、DPF原則のプロセッサーへの適用に関する明確性の欠如、公に利用可能な情報に対する幅広い適用除外に関するものである[6] 。 |
| The EDPB would also like to reiterate that the level of protection of individuals whose data is transferred must not be undermined by onward transfers from the initial recipient of the transferred data[7]. The EDPB invites once more the Commission to clarify that the safeguards imposed by the initial recipient on the importer in the third country must be effective in light of third country legislation, prior to an onward transfer in the context of the DPF. | また、EDPBは、データが転送された個人の保護レベルが、転送されたデータの最初の受領者から転送されることによって損なわれてはならないことを改めて強調したい。[7] .EDPBは、欧州委員会に対し、DPFの文脈における転送に先立ち、最初の受領者が第三国の輸入者に課す保護措置が第三国の法律に照らして有効でなければならないことを再度明確にするよう要請する。 |
| Rapid developments in the field of automated decision-making and profiling - increasingly by means of AI technologies- call for particular attention. The EDPB welcomes the Commission’s references to specific safeguards provided by relevant US law in different fields[8]. However, the level of protection for individuals seems to vary according to which sector-specific rules - if any- apply to the situation at hand. The EDPB maintains that specific rules concerning automated decision-making are needed in order to provide sufficient safeguards, including the right for the individual to know the logic involved, to challenge the decision and to obtain human intervention when the decision significantly affects him or her. | 自動化された意思決定とプロファイリングの分野の急速な発展は、ますますAI技術によってもたらされており、特に注意が必要である。EDPBは、欧州委員会が、さまざまな分野の関連する米国法が提供する特定のセーフガードについて言及していることを歓迎する[8] 。しかし、個人を保護するレベルは、どの分野の規則が適用されるか(もしあれば)により異なるようである。EDPBは、十分なセーフガードを提供するために、自動化された意思決定に関する特定の規則が必要であり、これには、本人が関係する論理を知る権利、意思決定に異議を唱える権利、意思決定が本人に大きな影響を与える場合に人間の介入を得る権利が含まれると主張している。 |
| The EDPB recalls the importance of effective oversight and enforcement of the DPF and considers that compliance checks as regards more substantive requirements are crucial. These aspects will be closely monitored by the EDPB, including in the context of the periodic reviews. The EDPB takes note of the renewed commitments in the letters from the Federal Trade Commission (‘FTC’)[9] and the Department of Transportation (‘DOT’)[10] as regards enforcement e.g. to prioritise the investigation of alleged DPF violations. | EDPBは、DPFの効果的な監督と執行の重要性を想起し、より実質的な要求事項に関する遵守状況の確認が重要であると考えている。これらの側面は、定期的なレビューとの関連も含め、EDPBによって注意深く監視される。EDPBは、連邦取引委員会(FTC)[9] 、運輸省(DOT)[10] 、DPF違反の疑いに関する調査を優先するなど、執行に関する新たなコミットメントに留意している。 |
| The EDPB notes that seven redress avenues are provided to EU data subjects, if their personal data are processed in violation of the DPF. These redress mechanisms are the same as those included in the former Privacy Shield, which had been subject to comments by the WP29[11]. The effectiveness of these redress mechanisms will be closely monitored by the EDPB, including in the context of the periodic reviews. | EDPBは、EUのデータ主体がDPFに違反して個人データを処理された場合、7つの救済手段が提供されることに留意している。これらの救済手段は、WP29([11] )がコメントを出した旧プライバシー・シールドに含まれるものと同じものである。これらの救済メカニズムの有効性は、定期的なレビューの意味合いも含めて、EDPBによって注意深く監視されることになる。 |
| 1.2. Access and use of personal data transferred from the European Union by public authorities in the US | 1.2.米国の公的機関による欧州連合から移転された個人データへのアクセスと使用 |
| In the Draft Decision, the European Commission concludes that “any interference in the public interest, in particular for criminal law enforcement and for national security purposes, by U.S. public authorities with the fundamental rights of the individuals whose personal data are transferred from the Union to the United States under the EU-U.S. Data Privacy Framework, will be limited to what is strictly necessary to achieve the legitimate objective in question, and that effective legal protection against such interference exists”12. | 欧州委員会は決定草案の中で、「公益のため、特に刑事法の執行や国家安全保障の目的のために、米国の公的機関がEU-米国データ・プライバシー・フレームワークの下でEUから米国に個人データが移転される個人の基本的権利に干渉することは、当該合法的目的を達成するために厳密に必要なものに限られ、その干渉に対する有効な法的保護が存在する」12 と結論付けている。 |
| The European Commission reaches its conclusion after an extensive assessment of the Executive Order 14086 enhancing safeguards for U.S. signals intelligence activities (EO 14086). The EO 14086 was issued by the U.S. President on 7 October 2022, following negotiations of the European Commission with the U.S. Government in the wake of the invalidation of the previous adequacy decision, called the Privacy Shield, by the Court of Justice of the European Union (CJEU). | 欧州委員会は、米国の信号情報活動に対するセーフガードを強化する大統領令14086(大統領令14086)に対する広範な評価を行った結果、この結論に至った。大統領令14086は、欧州連合司法裁判所(CJEU)がプライバシーシールドと呼ばれる従来の妥当性判断を無効としたことを受けて、欧州委員会が米国政府と交渉した結果、2022年10月7日に米国大統領によって発行されたものである。 |
| The EDPB would welcome that not only the entry into force but also the adoption of the decision are conditional upon inter alia the adoption of updated policies and procedures to implement EO 14086 by all US intelligence agencies. The EDPB recommends the Commission to assess these updated policies and procedures and share this assessment with the EDPB. | EDPBは、この決定の発効だけでなく採択にも、特に米国のすべての情報機関が大統領令14086を実施するための最新の政策と手続きを採用することが条件となっていることを歓迎する。EDPBは欧州委員会に対し、更新された政策と手続きを評価し、その評価をEDPBと共有するよう勧告する。 |
| With regard to governmental access to personal data transferred to the U.S., the EDPB has focussed its analysis on the assessment of the new EO 14086, as it is effectively meant to address and remedy the deficits identified by the CJEU in its Schrems II ruling when it found the previous adequacy decision to be invalid. | 米国に移転された個人データへの政府のアクセスに関しては、EDPBは新しい大統領令14086の評価に分析を集中した。これは、CJEUが前回の妥当性判断を無効としたシュレムス II判決で指摘した欠陥に対処し是正することが事実上目的であるためだ。 |
| The EDPB recognises that the U.S. legal framework for signals intelligence activities has been amended by adoption of EO 14086 and regards the additional safeguards included in this order as a significant improvement. The EO 14086 introduces the concepts of necessity and proportionality into the U.S. legal framework on signals intelligence, and it provides, if the EU were to be designated as a qualifying regional economic integration organisation, a new redress mechanism for EU individuals. The EDPB considers the new redress mechanism to be significantly improved compared to the previous so-called Ombudsperson mechanism under the Privacy Shield. In contrast to the previous legal framework, which did not create rights for EU individuals, as was explicitly noted by the CJEU, the new EO 14086 creates such entitlements, and it provides more safeguards for the independence of the Data Protection Review Court, and more effective powers to remedy violations. | EDPBは、大統領令14086の採択により、米国のシグナル・インテリジェンス活動に関する法的枠組みが改正されたことを認識しており、この命令に含まれる追加のセーフガードは重要な改善であると考えている。大統領令14086は、シグナル・インテリジェンスに関する米国の法的枠組みに必要性と比例性の概念を導入し、EUが適格な地域経済統合機関に指定された場合には、EUの個人に対する新しい救済メカニズムを提供する。EDPBは、この新しい救済メカニズムは、プライバシーシールドのもとでの従来のいわゆるオンブズパーソンメカニズムと比較して、大幅に改善されていると考えている。CJEUが明確に指摘したように、EU個人に対する権利を創設していなかった従来の法的枠組みとは対照的に、新しい大統領令14086はそうした権利を創設し、データ保護審査裁判所の独立性に対する保護措置を強化し、侵害を救済するための権限をより効果的に規定している。 |
| When comparing the additional safeguards included in EO 14086 to what the EDPB has framed the European Essential Guarantees (EEGs), as the standard elaborated on the basis of the jurisprudence of the CJEU and the European Court of Human Rights (ECtHR), the EDPB has still identified in its assessment a number of points for additional clarifications, for attention or for concern. These points reflect that, while the EDPB based its opinion on the Schrems II ruling, the scope of the EDPB's assessment necessarily includes considerations that go beyond the specific findings in the Schrems II judgment. | 大統領令14086に盛り込まれた追加的な保障措置と、EDPBがCJEUおよび欧州人権裁判所(ECtHR)の判決に基づいて策定した基準である欧州必須保障(EEGs)を比較すると、EDPBはその評価の中で、さらに明確にすべき点、注意すべき点、懸念すべき点を多数挙げている。これらの点は、EDPBがシュレムス II判決に基づいて意見を述べたものの、EDPBの評価の範囲には、シュレムス II判決の特定の所見を超える考察が必然的に含まれることを反映している。 |
| The EDPB sees a need for further clarification on questions, in particular, relating to “temporary bulk collection”, and to the further retention and dissemination of the data collected (in bulk) in the U.S. legal framework. | EDPBは、特に「一時的な一括収集」に関連する問題や、米国の法的枠組みにおいて(一括して)収集されたデータのさらなる保持と普及について、さらなる明確化が必要であると考えている。 |
| As the test of essential equivalence is not a test of identity, and as the safeguards included in the new legal framework on signals intelligence have been strengthened, the EDPB’s main point of attention and of concern is focused on an assessment of the safeguards in their entirety, following a holistic approach covering the safeguards for the entire cycle of processing, from the collection of data to the dissemination of data, and including the elements of oversight and redress. | 本質的同等性のテストは同一性のテストではないため、また、シグナルインテリジェンスに関する新しい法的枠組みに含まれるセーフガードは強化されているため、EDPBの主な注目点および懸念点は、データの収集からデータの普及まで、処理の全サイクルに関するセーフガードを網羅し、監視と救済の要素を含む全体的なアプローチに従って、そのセーフガード全体を評価することに焦点を置いている。 |
| In this regard, the EDPB emphasises the following findings: | この点に関して、EDPBは以下の知見を強調している。 |
| While the EDPB recognises that the EO 14086 introduces the concepts of necessity and proportionality in the legal framework of signals intelligence, it underlines the need to closely monitor the effects of these amendments in practice, including the review of internal policies and procedures implementing the EO’s safeguards at agency level. | EDPBは、大統領令14086がシグナル・インテリジェンスの法的枠組みに必要性と比例性の概念を導入したことを認識する一方で、大統領令のセーフガードを機関レベルで実施する内部方針と手続きの見直しを含め、これらの改正の実際の効果を注意深く監視する必要性を強調している。 |
| The EDPB also welcomes the fact that the EO 14086 contains a list of specific purposes for which collection can and cannot take place, while noting the objectives may be updated with additional – not necessarily public – objectives in the light of new national security imperatives. | EDPBはまた、大統領令14086に収集が可能な、あるいは不可能な特定の目的のリストが含まれていることを歓迎し、一方でこの目的が、新たな国家安全保障の要請に照らして、必ずしも公的でない追加の目的によって更新される可能性があることにも言及している。 |
| As a deficit in the current framework, the EDPB has in particular identified that the U.S. legal framework, when allowing for the collection of bulk data under Executive Order 12333, lacks the requirement of prior authorisation by an independent authority, as required in the most recent jurisprudence of the ECtHR, nor does it provide for a systematic independent review ex post by a court or an equivalently independent body. With regard to prior independent authorisation of surveillance under Section 702 FISA, the EDPB regrets that the FISA Court (‘FISC’) does not review a programme application for compliance with the EO 14086 when certifying the programme authorising the targeting of non-U.S. persons, even though the intelligence authorities carrying out the programme are bound by it. In the view of the EDPB, the additional safeguards contained in this order should nevertheless be taken into account including by the FISC. The EDPB recalls that reports of the Privacy and Civil Liberties Oversight Board (‘PCLOB’) would be particularly useful to assess how the safeguards of the EO 14086 will be implemented and how these safeguards are applied when data is collected under Section 702 FISA and EO 12333. | 現行の枠組みの欠陥として、EDPBは特に、米国の法的枠組みが、大統領令12333条に基づく大量データ収集を認める際に、ECtHRの最新の法理論で求められている独立機関による事前認可の要件を欠いており、裁判所または同等の独立機関による事後の体系的独立審査も規定していないことを指摘する。FISA702条に基づく監視の事前独立認可に関して、EDPBは、FISA裁判所('FISC')が、非米国人の監視を許可するプログラムを認証する際に、プログラムを実行する情報当局が大統領令14086に拘束されているにもかかわらず、プログラム申請書の遵守について審査しないことに遺憾の意を表明する。EDPBの見解では、この命令に含まれる追加的な保護措置は、FISCを含めて考慮されるべきものである。大統領令14086の保護措置がどのように実施され、FISA702条および大統領令12333の下でデータが収集される際にこれらの保護措置がどのように適用されるかを評価するには、プライバシー・自由監視委員会(PCLOB)の報告が特に有用であることをEDPBは想起している。 |
| On the redress mechanism, the EDPB recognises significant improvements relating to the powers of the Data Protection Review Court (‛DPRC’) and its enhanced independence compared to the Ombudsperson. The EDPB also recognises the additional safeguards foreseen in the new redress mechanism such as the role of the special advocates that includes advocating regarding the complainant's interest as well as the review of the redress mechanism by PCLOB. While taking into account the nature of national security and the safeguards provided in EO 14086, the EDPB is nevertheless concerned about the general application of the standard response of the DPRC notifying the complainant that either no covered violations were identified or a determination requiring appropriate remediation was issued, and its non-appealability, taken together. Given the importance of the redress mechanism, the EDPB calls on the Commission to closely monitor the practical functioning of this mechanism. | EDPBは、救済メカニズムに関して、Data Protection Review Court (‛DPRC)の権限と、オンブズパーソンと比較して強化された独立性に関する重要な改善を認識している。また、EDPBは、苦情申立人の利益の擁護を含む特別弁護人の役割やPCLOBによる救済メカニズムの見直しなど、新しい救済メカニズムに予見される追加の保護措置も認識している。国家安全保障の性質と大統領令14086で規定されたセーフガードを考慮しながらも、EDPBは、対象違反が確認されなかったこと、または適切な是正を求める決定が出されたことを申立人に通知するDPRCの標準的な応答とその非抗告可能性を合わせて、一般的に適用することに懸念を持っている。救済メカニズムの重要性に鑑み、EDPBは欧州委員会に対し、このメカニズムが実際に機能しているかどうかを注意深く監視するよう要請する。 |
| The EDPB expects the Commission to follow up on their commitment to suspend, repeal or amend the adequacy decision on grounds of urgency, in particular if the U.S. Executive would decide to restrict the safeguards included in the EO[12]. | EDPBは、特に米国の行政府が大統領令[12] に含まれる保障措置を制限することを決定した場合、緊急性を理由に妥当性決定を停止、撤廃、修正するとの約束を欧州委員会が履行することを期待している。 |
| Overall, the EDPB positively notes the substantial improvements the EO offers compared to the previous legal framework, in particular as regards the introduction of the principles of necessity and proportionality and the individual redress mechanism for EU data subjects. Given the concerns expressed and the clarifications required, the EDPB suggests these concerns should be addressed and that the Commission provides the requested clarifications in order to solidify the grounds for the Draft Decision and to ensure a close monitoring of the concrete implementation of this new legal framework, in particular the safeguards it provides, in the future joint reviews. | 全体として、EDPBは、大統領令が従来の法的枠組みに比べ、特に必要性と比例性の原則の導入やEUデータ主体のための個別救済メカニズムに関して実質的な改善を提供していることを前向きに受け止めている。懸念が表明され、明確化が求められていることから、EDPBは、これらの懸念に対処し、決定草案の根拠を固め、今後の共同レビューにおいて、この新しい法的枠組みの具体的実施、特にそれがもたらす保障措置の綿密な監視を確保するために、欧州委員会が要求された明確化を提供するよう提言している。 |
| [1] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) OJ L 119, 4.5.2016, p. 1–88. | [1] 個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2016年4月27日の欧州議会及び理事会の規則(EU)2016/679、及び指令95/46/ECの廃止(一般データ保護規則)OJ L 119, 4.5.2016, p.1-88. |
| [2] Art. 29 Working Party, Adequacy Referential, WP 254 rev.01, 28 November 2017, as last revised and adopted on 6 February 2018, endorsed by the EDPB on 25 May 2018 (hereinafter ‘Adequacy Referential’). | [2] Art.29 Working Party, Adequacy Referential, WP 254 rev.01, 28 November 2017, as last revised and adopted on 6 February 2018, endorsed by EDPB on 25 May 2018(以下「Adequacy Referential」)とする。 |
| [3] This is the case for the terms ‘agent’ and ‘processor’. Moreover, the concept of ‘human resources (HR) data’ still needs to be discussed with US authorities. | [3]これは、'agent' と 'processor' の用語の 場合である。さらに、「人事(HR)データ」の概念については、まだ米国当局と協議する必要がある。 |
| [4] For instance, the clarification that key-coded data are personal data. | [4] 例えば、キーコード化されたデータは個人情報であることを明確にしたこと。 |
| [5] Article 29 Working Party, Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision, adopted on April 2016 (hereinafter, ‘WP29 Opinion 01/2016’). | [5]Article 29 Working Party, Opinion 01/2016 on the EU - U.S. Privacy Shield draft adequacy decision, adopted on April 2016(以下、「WP29意見書01/2016」)という。 |
| [6] EU.U.S. Privacy Shield - Third Annual Joint Review, EDPB report adopted on 12 November 2019, para. 11. | [6] EU.U.S. Privacy Shield - Third Annual Joint Review, EDPB report adopted on 12 November 2019, para.11. |
| [7] GDPR Adequacy Referential, 3.A.9. | [7] GDPRのAdequacy Referential、3.A.9. |
| [8] Draft Decision, Recital 35. | [8] 決定草案、説明35。 |
| [9] Draft Decision, Annex IV. | [9]決定草案、附属書IV。 |
| [10] Draft Decision, Annex V. | [10] 決定草案、附属書V。 |
| [11] See in particular WP29 Opinion 01/2016, Section 2.2.6 (a). 12 Draft Decision, Recital 195. | [11] 特に WP29 意見書 01/2016, 2.2.6 (a)項を参照。 12 決定草案、説明 195。 |
| [12] Draft Decision, Recital 212. | [12] 決定草案、リサイタル212。 |
目次...
| 1 INTRODUCTION | 1 序文 |
| 1.1 US data protection framework | 1.1 米国データ保護フレームワーク |
| 1.2 Scope of the EDPB’s assessment | 1.2 EDPBの評価対象範囲 |
| 1.3 General comments and concerns | 1.3 一般的なコメントと懸念事項 |
| 1.3.1 Assessment of the domestic law | 1.3.1 国内法の評価 |
| 1.3.2 International commitments entered into by the U.S. | 1.3.2 米国が締結した国際公約 |
| 1.3.3 Progress in the area of US data protection legislation | 1.3.3 米国データ保護法分野の進展 |
| 1.3.4 Scope of the Draft Decision | 1.3.4 決定草案の範囲 |
| 1.3.5 Limitations to the duty to adhere to the DPF Principles | 1.3.5 DPF原則を遵守する義務の制限 |
| 1.3.6 Changes with regard to the ’Privacy Shield’ | 1.3.6 「プライバシーシールド」に関する変更点 |
| 1.3.7 Lack of clarity in the documents of the DPF | 1.3.7 DPFのドキュメントが明確でない |
| 2 GENERAL DATA PROTECTION ASPECTS | 2 一般的なデータ保護の側面 |
| 2.1 Content principles | 2.1 コンテンツの原則 |
| 2.1.1 Concepts | 2.1.1 コンセプト |
| 2.1.2 The purpose limitation principle | 2.1.2 目的制限の原則 |
| 2.1.3 Rights of access, rectification, erasure and objection | 2.1.3 アクセス、修正、消去、異議申し立ての権利 |
| 2.1.4 Restrictions on onward transfers | 2.1.4 転送の制限 |
| 2.1.5 Automated decision-making and profiling | 2.1.5 自動的な意思決定とプロファイリング |
| 2.2 Procedural and Enforcement Mechanisms | 2.2 手続きと執行のメカニズム |
| 2.3 Redress mechanisms | 2.3 リドレスメカニズム |
| 3 ACCESS AND USE OF PERSONAL DATA TRANSFERRED FROM THE EUROPEAN UNION BY PUBLIC AUTHORITIES IN THE US | 3 欧州連合から転送された個人データの米国内の公的機関によるアクセスと使用 |
| 3.1 Access and use for criminal law enforcement purposes | 3.1 刑事法執行のためのアクセスおよび使用 |
| 3.1.1 Access by law enforcement authorities to personal data should be based on clear, precise and accessible rules | 3.1.1 法執行機関による個人データへのアクセスは、明確、正確かつアクセス可能な規則に基づいて行われる必要がある |
| 3.1.2 Necessity and proportionality with regard to the legitimate objectives pursued need to be demonstrated | 3.1.2 追求される正当な目的に関する必要性と比例性が証明される必要がある |
| 3.1.3 An independent oversight mechanism should exist | 3.1.3 独立した監視機構が存在すべき |
| 3.1.4 Effective remedies need to be available to the individual | 3.1.4 効果的な救済措置が個人で利用できる必要がある |
| 3.1.5 Further use of the information collected | 3.1.5 収集した情報のさらなる利用について |
| 3.2 Access and use for national security purposes | 3.2 国家安全保障のためのアクセスおよび使用 |
| 3.2.1 Guarantee A - Processing should be in accordance with the law and based on clear, precise and accessible rules | 3.2.1 保証A - 処理は法律に従い、明確、正確かつ利用しやすい規則に基づいて行われるべし |
| 3.2.2 Guarantee B - Necessity and proportionality with regard to the legitimate objectives pursued need to be demonstrated | 3.2.2 保証B - 追求される正当な目的に関する必要性と比例性が証明される必要がある |
| 3.2.3 Guarantee C - Oversight | 3.2.3 保証C – 監督 |
| 3.2.4 Guarantee D - Effective remedies need to be available to the individual | 3.2.4 保証D - 効果的な救済措置が個人で利用可能である必要がある |
| 4 IMPLEMENTATION AND MONITORING OF THE DRAFT DECISION | 4 決定書草案の実施とモニタリング |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.12.16 欧州委員会 米国との安全なデータの流れを確保するための適切な決定の採択に向けたプロセスを開始
・2022.10.11 米国 米国におけるシグナル・インテリジェンス活動のための安全保障の強化に関する大統領令(GDPR対応)
・2022.03.27 米国と欧州委員会が米国ー欧州間のデータプライバシーフレームワークに合意したと発表していますね。。。
・2021.03.28 EU-USプライバシーシールドを強化するための交渉を推進 - 米国商務長官と欧州司法長官による共同記者会見
・2020.07.16 EU-USのプライバシーシールドを無効にしま〜す by EU裁判所
Comments