欧州委員会 安全で信頼できるEUと米国のデータフローに関する新たな十分性認定を採択

こんにちは、丸山満彦です。

欧州委員会が、EU米国間のデータ越境移転に関する新たな枠組み (Privacy Shield 2.0?) を採択しましたね。。。いろいろと調整をしていたみたいですが、どうなりますかね。。。

 

● European Commission

・2023.07.10 Data Protection: European Commission adopts new adequacy decision for safe and trusted EU-US data flows

 

Data Protection: European Commission adopts new adequacy decision for safe and trusted EU-US data flows	データ保護： 欧州委員会、安全で信頼できるEUと米国のデータフローに関する新たな十分性認定を採択
Today, the European Commission adopted its adequacy decision for the EU-U.S. Data Privacy Framework. The decision concludes that the United States ensures an adequate level of protection – comparable to that of the European Union – for personal data transferred from the EU to US companies under the new framework. On the basis of the new adequacy decision, personal data can flow safely from the EU to US companies participating in the Framework, without having to put in place additional data protection safeguards.	本日、欧州委員会は、EU-米国間のデータ・プライバシー枠組みに関する十分性認定を採択した。同決定は、新たな枠組みの下で、米国がEUから米国企業へ移転される個人データについて、欧州連合（EU）と同等の適切なレベルの保護を確保しているとの結論を下すものである。新たな十分性認定に基づき、個人データはEUから同枠組みに参加する米国企業へ、追加のデータ保護措置を講じることなく安全に移転することができる。
The EU-U.S. Data Privacy Framework introduces new binding safeguards to address all the concerns raised by the European Court of Justice, including limiting access to EU data by US intelligence services to what is necessary and proportionate, and establishing a Data Protection Review Court (DPRC), to which EU individuals will have access. The new framework introduces significant improvements compared to the mechanism that existed under the Privacy Shield. For example, if the DPRC finds that data was collected in violation of the new safeguards, it will be able to order the deletion of the data. The new safeguards in the area of government access to data will complement the obligations that US companies importing data from EU will have to subscribe to.	EU-米国データ・プライバシー枠組みは、欧州司法裁判所が提起したすべての懸念に対処するため、新たな拘束力のあるセーフガードを導入している。これには、米国の諜報機関によるEUデータへのアクセスを必要かつ適切なものに制限することや、EUの個人がアクセスできるデータ保護審査裁判所（DPRC）の設置などが含まれる。この新しい枠組みは、プライバシー・シールドの下で存在していたメカニズムと比較して、大幅な改善を導入している。例えば、DPRCは、データが新しいセーフガードに違反して収集されたと判断した場合、データの削除を命じることができる。政府によるデータへのアクセスの分野における新たなセーフガードは、EUからデータを輸入する米国企業が加入しなければならない義務を補完するものである。
President Ursula von der Leyen said: “The new EU-U.S. Data Privacy Framework will ensure safe data flows for Europeans and bring legal certainty to companies on both sides of the Atlantic. Following the agreement in principle I reached with President Biden last year, the US has implemented unprecedented commitments to establish the new framework. Today we take an important step to provide trust to citizens that their data is safe, to deepen our economic ties between the EU and the US, and at the same time to reaffirm our shared values. It shows that by working together, we can address the most complex issues.”	ウルスラ・フォン・デア・ライエン大統領は次のように述べた： 「新しいEU-米国データ・プライバシー枠組みは、欧州の人々の安全なデータフローを保証し、大西洋の両岸の企業に法的確実性をもたらすだろう。 昨年のバイデン大統領との基本合意を受けて、米国は新たな枠組みを確立するために前例のない約束を実行に移した。 今日、我々は、市民のデータの安全性に対する信頼を提供し、EUと米国の経済的結びつきを深め、同時に我々の共通の価値観を再確認するための重要な一歩を踏み出した。これは、我々が協力することで、最も複雑な問題にも対処できることを示している」。
US companies will be able to join the EU-U.S. Data Privacy Framework by committing to comply with a detailed set of privacy obligations, for instance the requirement to delete personal data when it is no longer necessary for the purpose for which it was collected, and to ensure continuity of protection when personal data is shared with third parties.	米国企業は、例えば、個人データが収集された目的に必要でなくなった場合には削除する義務や、個人データが第三者と共有される場合には保護の継続性を確保する義務など、プライバシーに関する詳細な義務を遵守することを約束することで、EU-米国データ・プライバシー枠組みに参加することができる。
EU individuals will benefit from several redress avenues in case their data is wrongly handled by US companies. This includes free of charge independent dispute resolution mechanisms and an arbitration panel.	EUの個人は、自分のデータが米国企業によって不当に取り扱われた場合、いくつかの救済手段から恩恵を受けることになる。これには、無料の独立した紛争解決メカニズムや仲裁パネルが含まれる。
In addition, the US legal framework provides for a number of safeguards regarding the access to data transferred under the framework by US public authorities, in particular for criminal law enforcement and national security purposes. Access to data  is limited to what is necessary and proportionate to protect national security.	さらに、米国の法的枠組みは、特に刑事法執行や国家セキュリティの目的のために、米国の公的機関がこの枠組みの下で移転されたデータにアクセスすることに関して、多くのセーフガードを定めている。データへのアクセスは、国家安全保障を守るために必要かつ適切なものに限定される。
EU individuals will have access to an independent and impartial redress mechanism regarding the collection and use of their data by US intelligence agencies, which includes a newly created Data Protection Review Court (DPRC). The Court will independently investigate and resolve complaints, including by adopting binding remedial measures.	EUの個人は、米国の情報機関によるデータの収集と使用に関して、独立した公平な救済メカニズムにアクセスできる。同裁判所は、拘束力のある是正措置の採択を含め、苦情を独自に調査・解決する。
The safeguards put in place by the US will also facilitate transatlantic data flows more generally, since they also apply when data is transferred by using other tools, such as standard contractual clauses and binding corporate rules.	米国が導入したセーフガードは、標準契約条項や拘束力のある企業規則など、他の手段を用いてデータを移転する場合にも適用されるため、大西洋を越えたデータの流れをより一般的に促進することにもなる。
Next steps	次のステップ
The functioning of the EU-U.S. Data Privacy Framework will be subject to periodic reviews, to be carried out by the European Commission, together with representatives of European data protection authorities and competent US authorities.	EU-米国データ・プライバシー枠組の機能は、欧州委員会が欧州のデータ保護当局および米国の所轄当局の代表者とともに実施する定期的な見直しの対象となる。
The first review will take place within a year of the entry into force of the adequacy decision, in order to verify that all relevant elements have been fully implemented in the US legal framework and are functioning effectively in practice.	最初の見直しは、十分性認定の発効から1年以内に行われ、すべての関連要素が米国の法的枠組みに完全に導入され、実際に効果的に機能していることを確認する。
Background	背景
Article 45(3) of the General Data Protection Regulation (GDPR) grants the Commission the power to decide, by means of an implementing act, that a non-EU country ensures ‘an adequate level of protection' - a level of protection for personal data that is essentially equivalent to the level of protection within the EU. The effect of adequacy decisions is that personal data can flow freely from the EU (and Norway, Liechtenstein and Iceland) to a third country without further obstacles.	一般データ保護規則（GDPR）第45条3項は、欧州委員会に対し、EU域外の国が「十分な保護水準」（EU域内の保護水準と実質的に同等の個人データ保護水準）を確保していることを、実施法によって決定する権限を与えている。十分性認定の効果は、個人データがEU（およびノルウェー、リヒテンシュタイン、アイスランド）から第三国へ、さらなる障害なしに自由に流れることができるということである。
After the invalidation of the previous adequacy decision on the EU-U.S. Privacy Shield by the Court of Justice of the EU, the European Commission and the US government entered into discussions on a new framework that addressed the issues raised by the Court.	EU司法裁判所がEUと米国のプライバシー・シールドに関する前回の十分性認定決定を無効とした後、欧州委員会と米国政府は、同裁判所が提起した問題に対処する新たな枠組みについて協議に入った。
In March 2022, President von der Leyen and President Biden announced that they had reached an agreement in principle on a new transatlantic data flows framework, following negotiations between Commissioner Reynders and US Secretary Raimondo. In October 2022, President Biden signed an Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities', which was complemented by regulations issued by US Attorney General Garland. Together, these two instruments implemented the US commitments reached under the agreement in principle into US law, and complemented the obligations for US companies under the EU-U.S. Data Privacy Framework.	2022年3月、フォン・デル・ライエン欧州委員長とバイデン大統領は、レインダース委員とライモンド米国務長官との交渉の結果、大西洋を越えた新たなデータの流れの枠組みについて基本合意に達したと発表した。2022年10月、バイデン大統領は「米国の情報機関活動に対するセーフガードの強化」に関する大統領令に署名した。これら2つの文書により、基本合意に基づく米国のコミットメントが米国法に導入され、EU-米国データ・プライバシー枠組みにおける米国企業の義務が補完された。
An essential element of the US legal framework enshrining these safeguards is the US Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities', which addresses the concerns raised by the Court of Justice of the European Union in its Schrems II decision of July 2020.	これらのセーフガードを明記する米国の法的枠組みの重要な要素は、「米国における情報機関活動に対するセーフガードの強化」に関する大統領令であり、これは2020年7月のシュレムスII号判決で欧州連合司法裁判所が提起した懸念に対処するものである。
The Framework is administered and monitored by the US Department of Commerce. The US Federal Trade Commission will enforce US companies' compliance.	この枠組みは米国商務省によって管理・監視される。米国連邦取引委員会は米国企業の遵守を強制する。
For More Information	詳細情報
Adequacy decision on the EU-US Data Privacy Framework	EU-米国データ・プライバシー枠組みに関する十分性認定決定
Questions and Answers : EU – US Data Privacy Framework	質問と回答：EU-米国データ・プライバシー枠組み
Factsheet – Transatlantic Data Privacy Framework	ファクトシート - 大西洋間のデータ・プライバシー枠組み
EU-US data transfers (europa.eu)	EU-米国間のデータ移転（europa.eu）
International dimension of data protection (europa.eu)	データ保護の国際的次元 (europa.eu)
Adequacy decisions (europa.eu)	十分性認定（europa.eu）
Joint Statement on Trans-Atlantic Data Privacy Framework (europa.eu)	大西洋横断データ・プライバシー枠組みに関する共同声明（europa.eu）

 

・2023.07.10 Adequacy decision on the EU-US Data Privacy Framework

・[DOCX] 仮訳

 

 

・2023.07.10 Questions and Answers : EU – US Data Privacy Framework

Questions & Answers: EU-US Data Privacy Framework	質問と回答 EUと米国のデータ・プライバシー枠組み
On 10 July, the European Commission adopted its adequacy decision for the EU-U.S. Data Privacy Framework. The adequacy decision concludes that the United States ensures an adequate level of protection – compared to that of the EU - for personal data transferred from the EU to US companies participating in the EU-U.S. Data Privacy Framework.	欧州委員会は7月10日、EUと米国のデータ・プライバシー枠組みに関する十分性認定を採択した。十分性認定は、EUからEU-米国データ・プライバシー枠組みに参加している米国企業に移転される個人データについて、米国がEUと比較して十分なレベルの保護を確保していると結論付けるものである。
The adequacy decision follows the US' signature of an Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities', which introduced new binding safeguards to address the points raised by Court of Justice of the European Union in its Schrems II decision of July 2020. Notably, the new obligations were geared to ensure that data can be accessed by US intelligence agencies only to the extent of what is necessary and proportionate, and to establish an independent and impartial redress mechanism to handle and resolve complaints from Europeans concerning the collection of their data for national security purposes.	この十分性認定は、米国が「米国におけるシグナルインテリジェンス活動のためのセーフガードの強化」に関する大統領令に署名したことを受けたもので、2020年7月のシュレムスII号判決で欧州連合司法裁判所が指摘した点に対処するため、新たな拘束力のあるセーフガードを導入した。特筆すべきは、米国の情報機関が必要かつ適切な範囲でのみデータにアクセスできるようにすること、国家安全保障目的のデータ収集に関する欧州人からの苦情を処理・解決するための独立した公平な救済メカニズムを確立することが、新たな義務として盛り込まれたことである。
1. What is an adequacy decision?	1. 十分性認定とは何か？
An adequacy decision is one of the tools provided under the General Data Protection Regulation (GDPR) to transfer personal data from the EU to third countries which, in the assessment of the Commission, offer a comparable level of protection of personal data to that of the European Union.	十分性認定とは、一般データ保護規則（GDPR）の下で、欧州委員会の評価において欧州連合（EU）と同等の個人データ保護レベルを提供する第三国に、EUから個人データを移転するために提供される手段の一つである。
As a result of adequacy decisions, personal data can flow freely and safely from the European Economic Area (EEA), which includes the 27 EU Member States as well as Norway, Iceland and Liechtenstein, to a third country, without being subject to any further conditions or authorisations. In other words, transfers to the third country can be handled in the same way as intra-EU transmissions of data.	十分性認定の結果、個人データは、EU加盟27カ国およびノルウェー、アイスランド、リヒテンシュタインを含む欧州経済領域（EEA）から第三国へ、さらなる条件や認可を受けることなく、自由かつ安全に流れることができる。言い換えれば、第三国へのデータ移転は、EU域内のデータ移転と同様に扱うことができる。
The adequacy decision on the EU-U.S. Data Privacy Framework covers data transfers from any public or private entity in the EEA to US companies participating in the EU-U.S. Data Privacy Framework.	EU-米国データ・プライバシー枠組に関する十分性認定決定は、EEA内のあらゆる公的・私的事業体からEU-米国データ・プライバシー枠組に参加している米国企業へのデータ移転を対象としている。
2. What are the criteria to assess adequacy?	2. 十分性の評価基準は何か？
Adequacy does not require the third country's data protection system to be identical to the one of the EU, but is based on the standard of ‘essential equivalence'. It involves a comprehensive assessment of a country's data protection framework, both of the protection applicable to personal data and of the available oversight and redress mechanisms.	十分性は、第三国のデータ保護制度がEUのそれと同一であることを要求するものではなく、「本質的同等性」の標準に基づいている。そのためには、個人データに適用される保護と、利用可能な監視および救済メカニズムの両方について、その国のデータ保護の枠組みを包括的に評価する必要がある。
The European data protection authorities have developed a list of elements that must be taken into account for this assessment, such as the existence of core data protection principles, individual rights, independent supervision and effective remedies.	欧州のデータ保護当局は、データ保護の基本原則の存在、個人の権利、独立した監督、効果的な救済措置など、この評価に考慮しなければならない要素のリストを作成した。
3. What is the EU-U.S. Data Privacy Framework?	3. EUと米国のデータ・プライバシー枠組みとは何か？
In its adequacy decision, the Commission has carefully assessed the requirements that follow from the EU-U.S. Data Privacy Framework, as well as the limitations and safeguards that apply when personal data transferred to the US would be accessed by US public authorities, in particular for criminal law enforcement and national security purposes.	十分性認定において、欧州委員会は、EU-米国データ・プライバシー枠組みから導かれる要件と、米国に移転された個人データが米国の公的機関、特に刑事法執行や国家セキュリティの目的でアクセスされる場合に適用される制限や保護措置について慎重に評価した。
On that basis, the adequacy decision concludes that the United States ensures an adequate level of protection for personal data transferred from the EU to companies participating in the EU-U.S. Data Privacy Framework. With the adoption of the adequacy decision, European entities are able to transfer personal data to participating companies in the United States, without having to put in place additional data protection safeguards.	その上で、十分性認定は、米国はEUからEU-米国データ・プライバシー枠組み参加企業に移転される個人データについて、十分な保護レベルを確保していると結論付けている。十分性認定の採択により、欧州の事業体は、追加のデータ保護措置を講じることなく、米国の参加企業に個人データを移転することができる。
The Framework provides EU individuals whose data would be transferred to participating companies in the US with several new rights (e.g. to obtain access to their data, or obtain correction or deletion of incorrect or unlawfully handled data). In addition, it offers different redress avenues in case their data is wrongly handled, including before free of charge independent dispute resolution mechanisms and an arbitration panel.	同枠組みは、米国の参加企業にデータが移転されるEUの個人に対し、いくつかの新しい権利（データへのアクセス、不正確または違法に取り扱われたデータの訂正または削除を求める権利など）を提供する。さらに、万が一データが不当に取り扱われた場合には、独立した紛争解決メカニズムや仲裁委員会が無料で利用できるなど、さまざまな救済手段が提供される。
US companies can certify their participation in the EU-U.S. Data Privacy Framework by committing to comply with a detailed set of privacy obligations. This could include, for example, privacy principles such as purpose limitation, data minimisation and data retention, as well as specific obligations concerning data security and the sharing of data with third parties.	米国企業は、詳細なプライバシー保護義務を遵守することを約束することで、EU-米国データ・プライバシー枠組みへの参加を証明することができる。これには、例えば、目的の制限、データの最小化、データ保持などのプライバシー原則のほか、データセキュリティや第三者とのデータ共有に関する具体的な義務も含まれる。
The Framework will be administered by the US Department of Commerce, which will process applications for certification and monitor whether participating companies continue to meet the certification requirements. Compliance by US companies with their obligations under the EU-U.S. Data Privacy Framework will be enforced by the US Federal Trade Commission.	フレームワークは米国商務省によって管理され、商務省は認証申請を処理し、参加企業が認証要件を継続的に満たしているかどうかを監視する。米国企業によるEU-米国データ・プライバシー枠組みにおける義務の遵守は、米国連邦取引委員会によって執行される。
4. What are the limitations and safeguards regarding access to data by United States intelligence agencies?	4. 米国の情報機関によるデータへのアクセスに関する制限と保護措置は何か。
An essential element of the US legal framework on which the adequacy decision is based concerns Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities', which was signed by President Biden on 7 October and is accompanied by regulations adopted by the Attorney General. These instruments were adopted to address the issues raised by the Court of Justice in its Schrems II judgment.	十分性認定の根拠となる米国の法的枠組みの重要な要素は、10月7日にバイデン大統領によって署名され、司法長官によって採択された規制を伴う「米国の情報活動に対するセーフガードの強化」に関する大統領令に関するものである。これらの文書は、シュレムス2世判決で司法裁判所が提起した問題に対処するために採択された。
For Europeans whose personal data is transferred to the US, the Executive Order provides for:	個人データが米国に移転される欧州の人々に対して、大統領令は以下を規定している：
Binding safeguards that limit access to data by US intelligence authorities to what is necessary and proportionate to protect national security;	米国の情報当局によるデータへのアクセスを、国家安全保障を守るために必要かつ適切なものに制限する拘束力のあるセーフガード；
Enhanced oversight of activities by US intelligence services to ensure compliance with limitations on surveillance activities; and	監視活動の制限の遵守を確実にするため、米国の情報機関による活動の監視を強化する。
The establishment of an independent and impartial redress mechanism, which includes a new Data Protection Review Court to investigate and resolve complaints regarding access to their data by US national security authorities.	米国の国家安全保障当局によるデータへのアクセスに関する苦情を調査・解決するための新しいデータ保護審査裁判所を含む、独立した公平な救済メカニズムの確立。
5. What is the new redress mechanism in the area of national security and how can individuals make use of it?	5. 国家安全保障分野における新たな救済メカニズムとは何か。
The US Government has established a new two-layer redress mechanism, with independent and binding authority, to handle and resolve complaints from any individual whose data has been transferred from the EEA to companies in the US about the collection and use of their data by US intelligence agencies.	米国政府は、EEAから米国内の企業にデータが移転された個人が、米国の情報機関によるデータの収集と使用について苦情を申し立てた場合、その苦情を処理し解決するために、独立した拘束力を持つ新しい2層の救済メカニズムを設立した。
For a complaint to be admissible, individuals do not need to demonstrate that their data was in fact collected by US intelligence agencies. Individuals can submit a complaint to their national data protection authority, which will ensure that the complaint will be properly transmitted and that any further information relating to the procedure —including on the outcome—is provided to the individual. This ensures that individuals can turn to an authority close to home, in their own language. Complaints will be transmitted to the United States by the European Data Protection Board.	苦情が認められるためには、個人のデータが実際に米国の情報機関によって収集されたことを証明する必要はない。個人は、自国のデータ保護当局に苦情を提出することができる。データ保護当局は、苦情が適切に伝達され、手続きに関する追加情報（結果を含む）が個人に提供されることを保証する。これにより、個人は母国に近い当局を、母国語で頼ることができる。苦情は欧州データ保護委員会から米国に送られる。
First, complaints will be investigated by the so-called ‘Civil Liberties Protection Officer' of the US intelligence community. This person is responsible for ensuring compliance by US intelligence agencies with privacy and fundamental rights.	まず、米国情報コミュニティのいわゆる『自由権保護官』が苦情を調査する。この担当者は、米国の情報機関によるプライバシーと基本的権利の遵守を保証する責任を負う。
Second, individuals have the possibility to appeal the decision of the Civil Liberties Protection Officer before the newly created Data Protection Review Court (DPRC). The Court is composed of members from outside the US Government, who are appointed on the basis of specific qualifications, can only be dismissed for cause (such as a criminal conviction, or being deemed mentally or physically unfit to perform their tasks) and cannot receive instructions from the government. The DPRC has powers to investigate complaints from EU individuals, including to obtain relevant information from intelligence agencies, and can take binding remedial decisions. For example, if the DPRC would find that data was collected in violation of the safeguards provided in the Executive Order, it can order the deletion of the data.	第二に、個人は自由権保護官の決定に対して、新設されたデータ保護審査裁判所（DPRC）に不服を申し立てることができる。同裁判所は、特定の資格に基づいて任命された米国ガバナンス外部のメンバーで構成され、理由（前科があるとか、精神的・肉体的に職務遂行に適さないと判断されたとか）がある場合にのみ解任され、政府から指示を受けることはできない。DPRCは、情報機関から関連情報を入手することも含め、EU個人からの苦情を調査する権限を持ち、拘束力のある改善決定を下すことができる。例えば、大統領令に規定された保護措置に違反してデータが収集されたとDPRCが判断した場合、DPRCはデータの削除を命じることができる。
In each case, the Court will select a special advocate with relevant experience to support the Court, who will ensure that the complainant's interests are represented and that the Court is well informed of the factual and legal aspects of the case. This will ensure that both sides are represented, and introduce important guarantees in terms of fair trial and due process.	各事件において、裁判所は関連する経験を持つ特別弁護人を選出し、裁判所を支援する。この弁護人は、申立人の利益が代表者に代表され、裁判所が事実上および法律上の側面について十分な情報を得ていることを保証する。これにより、双方の代表者が確保され、公正な裁判と適正手続きの面で重要な保証が導入される。
Once the the Civil Liberties Protection Officer or the DPRC completes the investigation, the the complainant will be informed that either no violation of US law was identified, or that a violation was found and remedied.  At a later stage, the complainant will also be informed when any information about the procedure before the DPRC—such as the reasoned decision of the Court— is no longer subject to confidentiality requirements and can be obtained.	自由権擁護官または防御委員会が調査を完了すると、米国法違反が確認されなかったか、または違反が発見され是正されたことが申立人に通知される。  後日、DPRCにおける手続に関する情報（裁判所の理由付き決定など）が守秘義務の対象から外れ、入手できるようになった時点で、申立人にも通知される。
6. When will the decision apply?	6. 決定はいつから適用されるのか？
The adequacy decision entered into force with its adoption on 10 July.	十分性認定決定は7月10日に採択され発効した。
There is no time limitation, but the Commission will continuously monitor relevant developments in the United States and regularly review the adequacy decision.	期限はないが、欧州委員会は米国の関連動向を継続的に監視し、十分性認定を定期的に見直す。
The first review will take place within one year after the entry into force of the adequacy decision, to verify whether all relevant elements of the US legal framework are functioning effectively in practice. Subsequently, and depending on the outcome of that first review, the Commission will decide, in consultation with the EU Member States and data protection authorities, on the periodicity of future reviews, which will take place at least every four years.	最初の見直しは、十分性認定の発効後1年以内に行われ、米国の法的枠組みのすべての関連要素が実際に有効に機能しているかどうかを検証する。その後、最初の見直しの結果に応じて、欧州委員会はEU加盟国およびデータ保護当局と協議の上、今後の見直しの周期を決定する。
Adequacy decisions can be adapted or even withdrawn in case of developments affecting the level of protection in the third country.	十分性認定は、第三国の保護水準に影響を与えるような進展があった場合には、適応され、あるいは撤回されることもある。
7. What is the impact of the decision on the possibility to use other tools for data transfers to the United States?	7. この決定は、米国へのデータ移転に他の手段を用いる可能性にどのような影響を与えるのか？
All the safeguards that have been put in place by the US Government in the area of national security (including the redress mechanism) apply to all data transfers under the GDPR to companies in the US, regardless of the transfer mechanims used. These safeguards therefore also faciliate the use of other tools, such as standard contractual clauses and binding corporate rules.	国家安全保障の分野で米国ガバナンスが導入したすべての保護措置（救済措置を含む）は、GDPRに基づく米国企業へのすべてのデータ移転に適用される。したがって、これらの保護措置は、標準契約条項や拘束力のある企業規則など、他のツールの使用も容易にする。

 

・2023.07.10 Commercial sector: adequacy decision on the EU-US Data Privacy Framework

Commercial sector: adequacy decision on the EU-US Data Privacy Framework	商業分野： EUと米国のデータ・プライバシー枠組みに関する十分性認定決定
On 10 July the European Commission adopted its adequacy decision for the EU-US Data Privacy Framework. On the basis of the  adequacy decision,  personal data can flow freely from the EU to companies in the United States that participate in the Data Privacy Framework.	欧州委員会は7月10日、EUと米国のデータ・プライバシー枠組みに関する十分性認定を採択した。十分性認定に基づき、個人データはEUからデータ・プライバシー枠組みに参加する米国の企業に自由に流れることができる。
The adequacy decision followed the adoption of Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities’ by US President Biden on 7 October and a Regulation issued by the US Attorney General. These instruments  introduced new binding safeguards to address the points raised by Court of Justice of the European Union in its Schrems II decision of July 2020, ensuring that data can be accessed by U.S. intelligence agencies only to the extent necessary and proportionate and establishing an independent and impartial redress mechanism to handle and resolve complaints from Europeans concerning the collection of their data for national security purposes.	十分性認定は、10月7日のバイデン米大統領による「米国におけるシグナルインテリジェンス活動のためのセーフガードの強化」に関する大統領令の採択と、米司法長官による規則に続くものである。これらの文書は、欧州連合司法裁判所が2020年7月に下したシュレムスII号判決で指摘した点に対処するため、新たな拘束力のあるセーフガードを導入したもので、米国の諜報機関によるデータへのアクセスが必要かつ適切な範囲に限られることを保証し、国家安全保障目的のデータ収集に関する欧州人からの苦情を処理・解決するための独立した公平な救済メカニズムを確立するものである。
The safeguards that have been put in place by the US Government in the area of national security (including the redress mechanism) apply to all data transfers under the GDPR to companies in the US, regardless of the transfer mechanims used. These safeguards therefore also faciliate the use of other tools, such as standard contractual clauses and binding corporate rules.	国家安全保障の分野で米国ガバナンスが導入したセーフガード（救済メカニズムを含む）は、使用される移転の仕組みにかかわらず、GDPRに基づく米国内の企業へのすべてのデータ移転に適用される。したがって、これらのセーフガードは、標準契約条項や拘束力のある企業規則など、他のツールの使用も容易にする。

 

 

---

 

● White House

・2023.07.10 Statement from President Joe Biden on EU Adoption of Adequacy Decision for U.S.-EU Data Flows

Statement from President Joe Biden on EU Adoption of Adequacy Decision for U.S.-EU Data Flows

EUが米欧データ・フローに関する十分性認定を採択したことに関するジョー・バイデン大統領の声明

I welcome the European Commission’s adequacy decision for the EU-U.S. Data Privacy Framework—which will allow personal data to be transferred from Europe to U.S. companies safely and securely. Today’s announcement represents the culmination of years of close cooperation between the United States and the European Union, and affirms the strength of our transatlantic relationship founded on our shared democratic values and vision for the world. The decision reflects our joint commitment to strong data privacy protections and will create greater economic opportunities for our countries and companies on both sides of the Atlantic.

欧州委員会がEU-米国データ・プライバシー枠組の十分性認定を行ったことを歓迎する。これにより、欧州から米国企業への個人データの安全かつ確実な移転が可能になる。本日の発表は、米国と欧州連合（EU）の長年にわたる緊密な協力関係の集大成であり、民主主義的価値観と世界に対するビジョンを共有する我々の大西洋を越えた関係の強さを確認するものである。今回の決定は、強力なデータプライバシー防御に対する我々の共同コミットメントを反映したものであり、大西洋の両岸にある両国と企業にとって、より大きな経済的機会を創出するものである。