欧州 EDPB 米国の十分性認定についての1年後のレビュー結果
こんにちは、丸山満彦です。
2023年7月10日にEUと米国のデータ・プライバシー枠組みに関する十分性認定が採択されていますが、その1年後の状況の見直しが行われ、引き続き十分性認定は続けるということになったようです。。。
● EDPB
報告書の名称は、
- EDPB Report on the first review of the European Commission Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework
- EDPB EU-USデータ・プライバシー枠組の下での個人データの適切な保護に関する欧州委員会の施行決定の第1回レビューに関する報告書
です...
・[PDF]
EXECUTIVE SUMMARY | エグゼクティブサマリー |
On 10 July 2023, the European Commission adopted its adequacy decision for the EU-U.S. Data Privacy Framework. Article 3 of the adequacy decision requires the Commission to regularly review the decision, with the first periodic review to take place after one year from the date of the notification of the adequacy decision to the Member States. In line with Recital 212 of the adequacy decision, five representatives of the EDPB participated in the review meeting that was held in Washington D.C. on 18 and 19 July of 2024. The EDPB focused on the assessment of both the commercial aspects of the EU-U.S. Data Privacy Framework (‘DPF’) and on the access by U.S. public authorities to personal data transferred from the EU to DPF-certified organisations. | 2023年7月10日、欧州委員会はEUと米国のデータ・プライバシー枠組みに関する十分性認定を採択した。十分性認定の第3条では、欧州委員会はこの決定を定期的に見直すことが義務付けられており、最初の定期的な見直しは、加盟国への十分性認定の通知日から1年後に行われることになっている。十分性認定の前文212に従い、EDPBの代表者5名が2024年7月18日と19日にワシントンD.C.で開催されたレビュー会合に参加した。EDPBは、EUと米国のデータ・プライバシー・フレームワーク(DPF)の商業的側面と、米国の公的機関によるEUからDPF認定組織へ移転された個人データへのアクセスの両方のアセスメントに焦点を当てた。 |
The EDPB welcomes the efforts made by the U.S. authorities and the Commission to implement the DPF, and takes positive note of several developments that took place since the adoption of the adequacy decision. | EDPBは、DPFの実施に向けた米国当局と欧州委員会の努力を歓迎するとともに、十分性認定の採択以降に起こったいくつかの進展に前向きに留意する。 |
Concerning the commercial aspects of the DPF, the EDPB notes that the U.S. Department of Commerce took all relevant steps to implement the certification process for U.S. companies, including developing a new website, updating procedures, engaging with companies, and conducting awareness-raising activities. Similarly, the multi-layered redress system under the DPF has been updated and implemented and provides for several, easily accessible avenues for complaints from EU individuals. However, the very low number of eligible complaints received in the first year of the DPF appears to confirm previous concerns of the EDPB that the possibility for individuals to lodge complaints must be accompanied by proactive checks from the competent U.S. authorities on compliance with the substantial elements of the DPF Principles. Thus, the EDPB would like to encourage the Department of Commerce and the Federal Trade Commission to increase ex officio investigations as regards substantial compliance of certified organizations with all DPF Principles in the near future. | DPFの商業的側面に関して、EDPBは、米国商務省が米国企業向けの認証プロセスを実施するために、新しいウェブサイトの開発、手続きの更新、企業との関わり、啓発活動の実施など、あらゆる関連措置を講じたことに留意する。同様に、DPFに基づく多層的な救済制度も更新・実施され、EUの個人からの苦情に対応するための、アクセスしやすい複数の手段を提供している。しかし、DPF初年度の苦情受付件数が非常に少なかったことから、EDPBが以前から懸念していた、個人が苦情を申し立てられるようにするためには、DPF原則の実質的な要素が遵守されているかどうかを、管轄の米国当局が積極的にチェックする必要があることが確認された。したがって、EDPBは商務省と連邦取引委員会に対し、近い将来、DPF原則のすべてに対する認証組織の実質的な遵守に関して、職権による調査を強化するよう奨励したい。 |
The EDPB would also like to incentivise the Department of Commerce to work on and publish practical guidance on the Accountability for Onward Transfer Principle of the DPF. Such guidance would ideally clarify the requirements that DPF-certified companies who receive personal data from EU exporters need to comply with when transferring such data to other third countries. The EDPB also believes that there is a need to settle the longstanding divergence in interpretation between EU and US authorities of the notion of ‘HR Data’ under the DPF. Therefore, the EDPB equally encourages the Department of Commerce to swiftly develop guidance on this matter that acknowledges the broad definition of HR Data under the DPF and lays out practical examples where HR Data would be processed under the DPF, explaining for each scenario which DPF Principles would be relevant. The EDPB stands ready to provide feedback to the Department of Commerce’s guidance. | EDPBはまた、商務省がDPFの「国外移転の説明責任原則」に関する実務ガイダンスに取り組み、公表するよう働きかけたい。このようなガイダンスは、理想的には、EUの輸出業者から個人データを受け取るDPF認定企業が、当該データを他の第三国に移転する際に遵守すべき要件を明確にするものである。EDPBはまた、DPFにおける「人事データ」の概念について、EUと米国の当局の間で長年の解釈の相違があることに決着をつける必要があると考えている。そのため、EDPBは商務省に対し、DPFにおけるHRデータの広範な定義を認識し、HRデータがDPFの下で処理される実際の例を示し、各シナリオについてどのDPF原則が関連するかを説明するガイダンスを早急に作成することを同様に奨励する。EDPBは商務省のガイダンスに対するフィードバックを提供する用意がある。 |
Concerning access by U.S. public authorities to personal data transferred from the EU to DPFcertified organisations, the EDPB recalls that the adequacy decision is based in particular on the Commission’s favourable assessment of Executive Order 14086, which is effectively meant to remedy the deficits identified in the judgment of the CJEU in Case C-311/18. To this end, Executive Order 14086 provides for additional safeguards, most notably by introducing the concepts of necessity and proportionality into the U.S. legal framework on signals intelligence and establishing a new redress mechanism. In the first periodic review one year after the adoption of the adequacy decision, the EDPB focused on the effective implementation of these safeguards as well as on new developments concerning government access to personal data for national security purposes. | EDPBは、EUからDPF認定機関に移転された個人データへの米国の公的機関によるアクセスに関して、今回の十分性認定は、特に欧州委員会による大統領令14086に対する好意的なアセスメントに基づいていることを想起する。この大統領令は、Case C-311/18のCJEUの判決で指摘された欠陥を事実上是正するものである。この目的のために、大統領令14086は追加的なセーフガードをプロバイダとして規定している。特に、シグナルインテリジェンスに関する米国の法的枠組みに必要性と比例性の概念を導入し、新たな救済メカニズムを設けている。十分性認定の採択から1年後の第1回定期審査では、EDPBはその実効性に焦点を当て、 EDPBは、これらのセーフガードの効果的な実施と、国家安全保障目的の個人データへの政府アクセスに関する新たな進展に焦点を当てた。 |
On the implementation of the principles of necessity and proportionality, the EDPB recognizes that the U.S. Intelligence Community’s internal policies and procedures have been updated and published. The EDPB would have welcomed, however, an opportunity during the periodic review to discuss examples that clearly identify how the principles of necessity and proportionality are specifically interpreted and applied at agency level. The EDPB expects that future reviews would address this point. The EDPB is not in a position to fully assess the implementation of necessity and proportionality in practice and highlights the need to continue to carefully monitor this aspect, including in future reviews. | 必要性と比例性の原則の実施について、EDPBは米国インテリジェンス・コミュニティの内部方針と手順が更新され、公表されていることを認識している。しかし、EDPBは定期的なレビューの中で、必要性と比例性の原則が具体的にどのように解釈され、各省庁レベルで適用されているかを明確に示す事例について議論する機会を歓迎した。EDPBは、今後のレビューでこの点が取り上げられることを期待している。EDPBは、実務における必要性と比例性の履行を完全にアセスメントする立場にはなく、今後のレビューも含め、この点を注意深く監視し続ける必要性を強調している。 |
On effective redress, the EDPB had already recognized significant improvements, especially relating to the powers of the Data Protection Review Court. U.S. authorities have subsequently taken measures to implement the redress mechanism of the DPF. The EDPB welcomes these important steps which include not only the designation of the EU, Iceland, Liechtenstein and Norway as qualifying states for the redress mechanism but also the appointment of eight judges and two special advocates to the Data Protection Review Court. The EDPB considers that the elements of the redress mechanism provided for in Executive Order 14086 are in place. At the time of the review, no complaint had been filed under the new framework by EU individuals. Also, the annual review of the redress mechanism carried out by the Privacy and Civil Liberties Oversight Board is still pending. The EDPB wishes to renew its call to the Commission to monitor the practical functioning of the different safeguards of Executive Order 14086 designed to ensure an essentially equivalent level of protection. The redress mechanism should remain a priority during future periodic reviews. | 効果的な救済措置に関しては、EDPBはすでに、特にデータ保護審査裁判所の権限に関する大幅な改善を認めていた。米国当局はその後、DPFの救済メカニズムを実施するための措置を講じた。EDPBは、EU、アイスランド、リヒテンシュタイン、ノルウェーが救済メカニズムの適格国に指定されただけでなく、8人の裁判官と2人の特別弁護人がデータ保護審査裁判所に任命されたことを含む、これらの重要な措置を歓迎する。EDPBは、大統領令14086号に規定された救済措置の要素は整っていると考えている。レビューの時点では、EU加盟国の個人からこの新しい枠組みの下で苦情が提出されたことはなかった。また、プライバシー・自由監視委員会(Privacy and Civil Liberties Oversight Board)が実施する救済メカニズムの年次レビューもまだ保留されている。EDPBは欧州委員会に対し、実質的に同等の保護レベルを確保するために設けられた大統領令14086のさまざまなセーフガードの実際の機能を監視するよう、改めて要請したい。救済メカニズムは、今後の定期的な見直しの際にも優先されるべきものである。 |
With regard to the re-authorisation of Section 702 of the Foreign Intelligence Surveillance Act, the | 外国情報監視法第702条の再承認について、EDPBは次のように評価する。 |
EDPB takes positive note of the legislative changes which increase privacy protections and recalls that Executive Order 14086 remains fully applicable when requesting access to data under Section 702 of the Foreign Intelligence Surveillance Act. However, the EDPB regrets that the reform did not incorporate the recommendation of the Privacy and Civil Liberties Oversight Board to codify certain safeguards of the Executive Order in Section 702 of the Foreign Intelligence Surveillance Act, thus not taking the opportunity to introduce additional safeguards as also previously recommended by the EDPB. The EDPB is concerned that the amendment to the definition of “electronic communication service provider” under Section 702 of the Foreign Intelligence Surveillance Act does not meet the requirement of clear, precise and accessible law. Notwithstanding the safeguards of Executive Order 14086, this change creates uncertainty about the actual reach of Section 702 surveillance. The EDPB considers that it is important for the Commission to follow up on future developments concerning Section 702 of the Foreign Intelligence Surveillance Act and also encourages the Privacy and Civil Liberties Oversight Board to monitor these developments. | EDPBは、プライバシー保護を強化する法改正に前向きに留意し、外国情報監視法第702条に基づくデータへのアクセスを要求する場合、大統領令14086が引き続き完全に適用されることを想起する。しかしEDPBは、大統領令の特定の保護措置を外国情報監視法第702条に成文化するというプライバシー・自由監視委員会の勧告を今回の改革が取り入れなかったこと、またEDPBが以前に勧告した追加保護措置を導入する機会を設けなかったことを遺憾に思う。EDPBは、外国情報監視法第702条における「電子通信サービスプロバイダー」の定義の改正が、明確で正確かつ利用しやすい法律という要件を満たしていないことを懸念している。大統領令14086のセーフガードにもかかわらず、この変更は第702条の監視の実際の範囲について不確実性をもたらす。EDPBは、委員会が外国情報監視法第702条に関する今後の動向をフォローアップすることが重要であると考えており、また、プライバシー・自由監視委員会に対しても、こうした動向を監視することを奨励している。 |
The EDPB underlines that an adequate level of protection must be ensured also with regard to governmental acquisition of personal data by U.S. intelligence agencies from data brokers and other commercial entities that is not captured by Executive Order 14086. The Commission should further assess and monitor this particular form of government access and its practical use cases. | EDPBは、データブローカーやその他の事業体から、大統領令14086では把握されていない個人データを米国情報機関が政府によって取得する場合にも、適切なレベルの保護が確保されなければならないことを強調する。EDPBは、このような政府のアクセス形態とその実際の使用例をさらにアセスメントし、監視すべきである。 |
The EDPB would find it appropriate for the next review of the DPF to take place within less than four years, taking into account the numerous important aspects of the adequacy decision and the implementation of the DPF that the EDPB has recommended the Commission to closely monitor. This would allow the Commission and the EDPB to follow up in a structured manner on comprehensive information from U.S. authorities and other stakeholders about the practical application of the DPF sooner than the legally-established maximum time limit for the review. | EDPBは、十分性認定とDPFの実施に関して、EDPBが委員会に注視するよう勧告した数多くの重要な側面を考慮すると、DPFの次回の見直しは4年以内に行うことが適切であると考える。そうすることで、欧州委員会とEDPBは、DPFの実際の運用に関する米国当局やその他の利害関係者からの包括的な情報を、法律で定められたレビューの最長期限よりも早く、体系的な形でフォローアップすることができるようになる。 |
Executive summary | エグゼクティブ・サマリー |
1 INTRODUCTION | 1 序文... |
2 ON THE COMMERCIAL ASPECTS OF THE EU-U.S. DPF | 2 EU-U.S.DPFの商業的側面について |
2.1 Self-certification process; oversight and supervision of compliance with the Principles | 2.1 自己認証プロセス、原則遵守の監督と監視 |
2.2 Complaint-handling, independent recourse mechanisms and arbitration | 2.2 苦情処理、独立した救済メカニズム、仲裁 |
2.3 Guidance and cooperation | 2.3 指導と協力. |
2.4 Relevant legal developments in the U.S. | 2.4 米国における関連法動向 |
3 ON THE ACCESS AND USE OF PERSONAL DATA TRANSFERRED UNDER THE DECISION BY U.S. PUBLIC AUTHORITIES | 3 米国の公的機関による、この決定に基づいて移転された個人データへのアクセスと使用について |
3.1 Implementation of necessity and proportionality | 3.1 必要性と比例性の実施 |
3.1.1 Internal policies and procedures | 3.1.1 内部方針および手続き.... |
3.1.2 Updates of legitimate objectives | 3.1.2 正当な目的の更新. |
3.1.3 Prior independent authorisation of bulk collection | 3.1.3 大量収集の事前の独立した認可。 |
3.2 Re-authorisation of Section 702 FISA | 3.2 FISA702条の再承認 |
3.2.1 Expansion of "electronic communication service provider" | 3.2.1 「電子通信サービスプロバイダ 」の拡大 |
3.2.2 Changes regarding the role of amici curiae | 3.2.2 アミーチ・キュリエの役割に関する変更 |
3.3 Redress mechanism | 3.3 救済メカニズム. |
3.3.1 Developments relating to the redress mechanism. | 3.3.1 償還メカニズムに関連する進展. |
3.3.2 Independence of the DPRC | 3.3.2 DPRCの独立性 |
3.3.3 Standard response | 3.3.3 標準回答 |
3.4 Government access to commercially available data | 3.4 政府による市販データへのアクセス |
4 CONCLUSIONS & RECOMMENDATIONS | 4 結論と提言 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.07.11 欧州委員会 安全で信頼できるEUと米国のデータフローに関する新たな十分性認定を採択
Comments