EU・米国間データプライバシーフレームワーク
欧州委員会は今週、EU・米国間データプライバシーフレームワーク(EU-U.S. DPF)の採用を発表しました。EU-U.S. DPFは、EUと米国間のデータフローの重要な規制基盤を復活させます。これは、欧州連合司法裁判所が以前のEU-U.S.プライバシーシールドフレームワークをEU法の下で有効なデータ転送メカニズムとして無効にした際に失われたものです。本記事では、EU-U.S. DPFの内容、その原則、管理、監督、執行について探ります。
EU・米国間データプライバシーフレームワーク(EU-U.S. DPF)とは?
EU-U.S. DPFは、米国の組織が欧州連合から米国の組織に転送される個人データを保護するための一連のプライバシー原則を遵守することを約束するフレームワークです。
このフレームワークは、EUの一般データ保護規則(GDPR)の下で提供されるツールの一つである適正性決定を通じて提供され、EUから他の国に個人識別情報(PII)を転送するためのものです。これらの国は、欧州連合と同等の個人データ保護レベルを提供します。
EU-U.S. DPF認証を受ける資格を得るためには、組織は連邦取引委員会(FTC)または米国運輸省(DoT)の調査および執行権限の対象となることに同意しなければなりません。EU-U.S.データプライバシーフレームワークの原則は、組織の認証が行われるとすぐに適用されます。EU-U.S. DPFリストに掲載された組織は、原則への遵守を毎年再認証する必要があります。
EU-U.S. DPFは何を保護しようとしているのか?
EU-U.S. DPFは、商務省によって発行されたフレームワークの原則への遵守を認証した米国の組織に転送されるEUからの個人データを保護します。名前、メールアドレス、電話番号などの個人識別情報は、通常、Amazon、Meta(Facebook、Instagramなど)、Appleなどの米国に本社を置く組織によってEUから米国に転送されます。
ただし、フレームワークは、出版、放送、またはジャーナリズム資料の公的なコミュニケーションの他の形式のために収集されたデータや、メディアアーカイブから配信された以前に公開された資料の情報を免除します。
EU-U.S. DPFにおけるデータ管理者とデータ処理者
EU-U.S. DPFは、データ管理者またはデータ処理者として資格を持つ米国の組織に適用されます。フレームワークは、データ管理者を、単独または他者と共同で個人データの処理の目的と手段を決定する個人または組織と定義しています。データ処理者は、管理者の代理として行動するエージェントとして定義されています。
EU-U.S. DPFの下でのデータ処理は、個人データに対して行われる操作または一連の操作として定義されており、自動化された手段によるかどうかにかかわらず、収集、記録、組織化、保存、適応または変更、取得、相談、使用、開示または配信、消去または破壊などが含まれます。
フレームワークは、米国の処理者がEUの管理者からの指示にのみ従って行動し、フレームワークの原則に基づいて権利を行使する個人に対応するのを支援することを契約上義務付けています。サブプロセッシングの場合、処理者はサブプロセッサーと契約を結び、フレームワークの原則によって提供されるのと同じレベルの保護を保証し、その適切な実施を確保するための措置を講じる必要があります。
EU-U.S.データプライバシーフレームワークの原則
EU-U.S. DPFの原則は、基本的にこのフレームワークの対象となるコントローラーによって処理される個人情報のデータ主体(すなわち、EU市民および居住者)のための要件と権利です。原則には以下が含まれます:
目的制限と選択の原則はデータが合法的に処理されることを保証します
EU-U.S. DPFで概説されている主要な規定の一つであるこの原則は、すべてのPIIが合法的かつ公正な方法で処理されなければならないことを規定しています。このデータは明確に定義された目的のために収集され、その元の意図に反する方法でさらに使用されるべきではありません。基本的に、組織は個人データをその元の目的またはその後に承認された目的から逸脱する方法で再利用することはできません。
さらに、選択の原則は、組織がPIIを新しい目的で使用したい場合、たとえその目的が元の目的と一致していても、または第三者と共有したい場合、PIIによって識別される個人に対して、この新しい目的のためにPIIの使用を拒否する機会を与える必要があることを要求します。この拒否、またはオプトアウトは、簡単でアクセスしやすい方法で促進されるべきです。
特別なカテゴリーの個人データは極めて慎重に処理されなければなりません
この原則は、特に「センシティブ情報」の取り扱いと処理において特別な注意が必要であることを強調しています。この用語は、フレームワークによって定義され、個人の健康状態、人種または民族的出自、政治的意見、信念、労働組合のメンバーシップ、または第三者によってセンシティブと分類されるその他の情報を含む個人データを指します。
この原則は、EU-U.S. DPFの下で認証された組織が、欧州連合のデータ保護法の下でセンシティブと分類されるデータを同じレベルのセンシティビティで扱うことを義務付けています。基本的に、組織は、元々収集された目的またはその後に承認された目的を超えてセンシティブ情報を使用するために、個人から明示的な許可(「オプトイン」)を得る必要があります。このルールの例外は、法的請求、医療ケア、診断、または個人の重要な利益に関連する場合など、EUのデータ保護法で既に確立されている例外に沿った特定の状況でのみ許可されます。
データの正確性、最小化、およびセキュリティはデータを機密に保ち、必要な期間のみ保持します
この原則は、データ管理における正確性、関連性、およびセキュリティの重要性を強調しています。この原則は、データが最新で正確であるだけでなく、その目的に特化し、比例している必要があることを義務付けています。さらに、データはその目的のために必要な期間を超えて保持されるべきではありません。データの整合性と目的制限の原則と同様に、データの正確性、最小化、およびセキュリティの原則は、処理目的に関連するデータを制限する必要性を強調し、データが完全で正確で信頼できることを保証します。
個人データの保持に関して、フレームワークは、PIIが識別可能な形で保存されるのは、最初に確立された目的または関与する個人によってその後に承認された目的のために必要な期間のみであると規定しています。これには、適切な保護措置が講じられている場合の公共の利益のためのアーカイブや統計分析などの特定の目的が含まれます。
この原則はまた、セキュリティの重要性を強調し、組織がデータを不正アクセスや偶発的な損失または損害から保護するための措置を講じることを促します。関連するリスクとデータ処理の性質を考慮して、セキュリティの原則は合理的で適切なレベルのデータセキュリティを維持することを強調しています。
透明性の原則はデータ主体への事前通知の必要性を強調します
透明性の原則は、データ主体がその個人データの処理の主な特徴について通知されるべきであることを要求します。この原則は、組織がデータ主体に以下のことを通知することを要求します:
- 組織のDPFへの参加
- 収集されるデータの種類
- 処理の目的
- 個人データが開示される可能性のある第三者の種類または身元とその目的
- 個々の権利
- 組織への連絡方法
- 利用可能な救済手段
この原則は、データ主体が最初に個人データを求められたとき、または可能な限り早く通知されるべきであることを強調しています。また、データが元々収集された目的とは大きく異なる(が互換性のある)目的で使用される前、または第三者と共有される前に、データ主体に通知されるべきであると規定しています。
さらに、組織はこれらに準拠していることを示すプライバシーポリシーを公に開示する必要があります。また、認証、データ主体の権利、利用可能な救済メカニズム、参加組織のデータプライバシーフレームワークリスト、および適切な代替紛争解決プロバイダーのウェブサイトに関する追加情報を提供するために商務省のウェブサイトへのリンクを含めるべきです。
個人の権利の原則はデータ主体にその個人データに対する力を与えます
個人、または具体的にはデータ主体の権利は、データを管理または処理する者に対して主張することができます。この原則には、個人データへのアクセス、データの処理に対する異議申し立て、および誤ったデータの修正または削除の権利が含まれます。
「データへのアクセス」とは、個人が理由を提供することなく、組織に対してその個人データを処理しているかどうかの情報を要求できることを意味します。また、処理されている個人データの種類、処理の目的、およびPIIが開示されるエンティティについて通知を受ける権利もあります。アクセス要求にはタイムリーに対応されるべきです。
個人は、データが不正確である場合や、合意された原則に違反して処理された場合に、そのデータを修正または削除する権利を持っています。また、元の意図とは大きく異なる目的でのデータの使用や、第三者とのデータの共有に対して異議を申し立てることができます。また、個人データが直接マーケティングに使用されることをいつでもオプトアウトする権利もあります。
転送の制限
欧州連合から米国の組織に転送された個人データに提供される保護レベルは、そのデータが米国または他の国の受取人にさらに転送されることによって損なわれてはなりません。この原則は、いかなる転送も以下の場合にのみ行われることを規定しています:
- 限定された特定の目的のため
- EU-U.S. DPF組織と第三者(または企業グループ内の同等の取り決め)との間の契約に基づいて
- その契約が第三者に原則によって保証されるのと同じレベルの保護を提供することを要求する場合にのみ
アカウンタビリティの原則は組織がコンプライアンスを示すことを保証します
アカウンタビリティの原則は、データを処理する組織がデータ保護義務を完全に遵守するための適切な技術的および組織的措置を実施する義務があることを示しています。これは、特に関連する規制当局に対して、コンプライアンスを実証することを含みます。EU-U.S. DPFの下で認証を受けることは任意の選択ですが、一度コミットすると、組織のフレームワークの原則への厳格な遵守が義務的かつ法的に拘束されます。さらに、これらの原則へのコンプライアンスを確保するための強力なメカニズムを確立する必要があります。
また、プライバシーポリシーが原則と一致しているかどうかを確認し、その実行を確認することが期待されています。これは、組織のプライバシーポリシーの実行に関する従業員のトレーニングを義務付ける内部手順を備えた自己評価システムを通じて達成できます。コンプライアンスの定期的かつ客観的なレビューもこのプロセスの一部です。あるいは、監査、ランダムチェック、または技術ツールを使用した外部コンプライアンスレビューも実施できます。
EU-U.S. DPFの管理、監督、および執行
EU-U.S. DPFは、米国商務省(DoC)によって管理および監視されます。フレームワークは、ガイドラインの遵守を確保するために使用されるさまざまな執行メカニズムを概説しています。これらの原則の違反は迅速に対処されます。
組織はどのように認証および再認証されるのか?
組織が毎年認証または再認証を受けるためには、EU-U.S. DPFフレームワークの原則を遵守することを公に約束しなければなりません。これには、プライバシーポリシーを自由にアクセス可能にし、それらが適切に実施されていることを確認することが含まれます。認証または再認証プロセスの一環として、組織はDoCに以下を提供する必要があります:
- 関連する組織の名前
- 組織が個人データを処理する目的の説明
- 認証によってカバーされる個人データ
- 選択された検証方法
- 関連する独立した救済メカニズム
- 原則の遵守を強制する管轄権を持つ法定機関
EU-U.S. DPFの遵守はどのように監視されるのか?
EU-U.S. DPFの原則の遵守は、DoCによって継続的に監視されます。これには、選択された組織に対するランダムな「スポットチェック」の実施や、潜在的なコンプライアンス問題が発生した場合の特定のアドホックチェックが含まれます。DoCは以下を評価します:
- 苦情やデータ主体の要求を処理するための連絡先が利用可能で応答性があるかどうか
- 組織のプライバシーポリシーがそのウェブサイト上で、またはDoCのウェブサイトへのハイパーリンクを通じて容易に利用可能であるかどうか
- 組織のプライバシーポリシーが認証要件を引き続き遵守しているかどうか
- 組織が選択した独立した紛争解決メカニズムが苦情を処理するために利用可能であるかどうか
参加の虚偽の主張の特定と対処
EU-U.S. DPFへの参加の虚偽の主張や認証マークの不正使用は、DoCによって監視されます。これは、データ保護当局(DPA)からの苦情などに基づいて、独立して行われます。DoCは、EU-U.S. DPFから撤退した組織が初期の認証または年次再認証を完了していないかどうか、参加者として削除されているかどうか、および公開されたプライバシーポリシーからEU-U.S. DPFへのすべての言及を削除しているかどうかを継続的に確認します。DoCはまた、組織のプライバシーポリシーにおけるEU-U.S. DPFへの違法な言及を確認するためにインターネット検索を実施します。
EU-U.S. DPFはどのように執行されるのか?
EU-U.S.データプライバシーフレームワークの執行は、主に独立した監督機関によって監督されます。この独立した機関は、データ保護規制の遵守を厳密に監視し、非遵守の場合には罰則を課す責任を負います。このプロセスが効果的であるためには、EU-U.S. DPF内の組織は、主に連邦取引委員会および運輸省などの米国の規制機関に対して責任を負う必要があります。これらの米国当局は、フレームワークの原則を完全に遵守するために必要な重要な調査および執行権限を持っています。
欧州連合から米国の公的機関によって転送された個人データのアクセスと使用
EU-U.S.データプライバシーフレームワークの下で、米国の公的機関によって転送された個人データの取り扱いは、フレームワークの規定において重要な役割を果たします。フレームワークには、認証された米国の組織がそのようなデータを処理できるという規定があり、それは米国の連邦検察官および調査官によって刑法執行のためにアクセスされ、データ主体の国籍や居住地に関係なく、米国に拠点を置く組織から取得された情報と同様に扱われます。
さらに、EUからEU-U.S. DPFの下で組織に転送されたデータは、国家安全保障に関連する理由で米国の機関によって収集される可能性があります。これは特定の法的規定の下で運営され、特定の条件と保護措置が講じられています。個人データが米国に所在する組織によって受信された後、情報機関は法律によって承認されている場合に限り、特に外国情報監視法(FISA)や国家安全保障書簡(NSL)を通じてアクセスを許可する他の規定の下で、セキュリティ上の理由でデータにアクセスすることができます。さらに、米国の情報機関は、EUと米国間のデータ転送を含む、管轄外の個人データを収集する権利を留保しています。この収集は主に大統領令12333(EO 12333)に基づいています。
KiteworksはEU-U.S.データプライバシーフレームワークへのコンプライアンスを簡素化します
データプライバシー規制は、個人データの移動と処理に対する厳格な管理を要求します。組織は、これに応じて厳格な遵守を示す必要があり、そうでなければ、財務的罰則、訴訟、顧客の喪失、ブランドの侵食を含む非遵守のリスクにさらされます。Kiteworksのプライベートコンテンツネットワーク(PCN)は、これらのデータプライバシーの課題に対処し、非遵守のリスクを軽減します。Kiteworksは、組織が信頼できる第三者と共有するPIIおよびその他の機密コンテンツを統合、保護、管理、および追跡するためのツールを提供します。Kiteworksを使用すると、組織はPIIがどこに保存されているか、誰がアクセスしているか、何をしているかを確認できます。これにより、組織はPIIを報告、取得、返却、または削除し、EU-U.S.データプライバシーフレームワークへの遵守を確保できます。
Kiteworksは、データ主権要件に準拠したオンプレミスおよびプライベートクラウドの展開を提供します。各通信チャネル(エンドツーエンド暗号化を含むメール、ウェブフォーム、ファイル共有、アプリケーションプログラミングインターフェース[API]、およびマネージドファイル転送[MFT])は、機密データが転送中および保存中に安全であることを保証します。詳細なアクセス制御により、組織は特定のデータにアクセスできる人を正確に管理できます。詳細な監査ログとリアルタイムの監視機能により、組織はEU-U.S.データプライバシーフレームワークおよび一般データ保護規則(GDPR)、情報セキュリティ登録評価者プログラム(IRAP)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、カリフォルニア州消費者プライバシー法(CCPA)、サイバーエッセンシャルプラス、国際標準化機構27000規格(ISO 27001)など、数多くのデータプライバシー規制および基準へのコンプライアンスを示すことができます。
Kiteworksのプライベートコンテンツネットワークがどのようにして貴社がEU-U.S.データプライバシーフレームワークに準拠するのを支援できるかについての詳細情報を得るには、カスタムデモを今すぐスケジュールしてください。
