英国政府は、英国の組織が2023年10月12日からEU-US Data Privacy Frameworkの拡張制度(UK-US data bridge)を利用できるようになると発表しました。 英国から米国への個人データの自由で安全な流れを促進するこの法的枠組みは、英国企業に利益をもたらす可能性があります。

英国から米国への個人データの移転はどのように規制されるか?

英国のデータ保護法では、以下のいずれかを満たさない限り、個人データを英国外に移転することは原則として禁止されています:

-    英国に比べて適切なレベルのデータ保護が確保されていると国務大臣がみなした国、地域、部門、または組織への移転(十分性認定(adequacy regulation(decision)に基づく移転); 

-    適切な保護措置(appropriate safeguards)の下での移転;または

-    英国GDPRの第49条に規定される特定の状況(specific situations)における移転。

欧州委員会(European Commission)は2023年7月にEU-US Data Privacy Framework (DPF)に対する十分性認定(adequacy decision)を採択しました。もっとも、この認定はBrexit後になされたものであるため、英国から米国へのデータ移転には適用されません。したがって、英国の組織は、適切な保護措置(appropriate safeguards)に基づくか、特定の状況(specific situations)に該当するときでない限り、個人データを米国に移転することはできません。

UK-US data bridgeとは何か?

UK-US data bridgeとは、DPFに参加する米国の組織が英国に比べて十分なレベルのデータ保護を有することを示す十分性認定の仕組み(adequacy regulation)です。これにより、英国の組織は、適切な保護措置(appropriate safeguards)や特定の状況(specific situations)に依拠することなく、DPFに参加する米国の組織に個人データを移転することができます。

UK-US data bridgeは英国の組織にとってなぜ有益なのか?

個人データを移転する組織が適切な保護措置(appropriate safeguards)を提供しているとみなされるための要件は、一般的に複雑で対応に手間がかかると考えられています。また、特定の状況(specific situations)の下でのデータ移転は、他に依拠できる根拠がない場合の最後の手段であり、実際のところ、データを処理する組織にとって使い勝手の良いものではありません。このように、UK-US data bridgeは英国企業のコンプライアンス・コストを削減する可能性があります。

どのような米国組織がUK-US data bridgeの対象となるか?

(UK-US data bridgeの枠組みでデータ移転を行うためには)個人データの受領者が、DPFの下でUK-US data bridge の拡張認証を取得した米国の組織である必要があります。この拡張認定は、DPF認証を受けた米国組織が保有するDPFアカウントを通じて行うことができます。UK-US data bridgeはDPFへの参加に基づいているため、DPFに加入していない米国組織は、この個人データの移転方法を利用する前に、まずDPFに加入する必要があります。また、銀行、保険、電気通信など、一部の業種の米国企業はDPFの対象外であることにも注意が必要です。UK-US data bridgeへの参加の有無を含むDPF参加者のリストについては、こちらをご参照ください。

UK-US data bridgeに対するICOのスタンスは?

英国個人データ保護監督機関 (ICO)は、UK-US data bridgeを採用する決定は妥当であるとしているものの、無条件に支持しているわけではないようです。その保護が適切に適用されていない場合、ICOは英国のデータ主体に何らかのリスクをもたらす可能性のある特定の分野が存在することを懸念しています。例えば、automated decisionについて人間によるレビューを受ける権利、忘れられる権利、無条件に同意を撤回する権利の保護は、UK-US data bridgeからは欠落している可能性が指摘されています。

米国へのデータ移転の枠組みはまた失敗するのか?

実はEUは、2015年(Schrems I)および2020年(Schrems II)に、米国へのデータ移転スキームについて、欧州司法裁判所(CJEU)によって無効と判断された経験があります。これらのケースに関与していたアクティビストのグループは、既に、DPFへの異議申立ての意向を表明しています。 現時点では、この異議申立ての行方は不透明ですが、もし成功すれば、DPFを基礎とするUK-US data bridgeの有効性に複雑な問題が生じる可能性があります。

3CSにできること

当社の企業法務および商事法務弁護士およびコンサルタントのチームは、国内的および国際的な専門知識を有し、あらゆる範囲の企業法務および商事法務に関するサービスを提供しています。UK-US bridgeの詳細や商事法務に関するサポートについては、3CS の担当者までお問い合わせください。

Keith McAlister

3CSコーポレートソリシターズ

リーガルアドバイスに加え、ソリューションを提供
お問い合わせ

お問い合わせ

3CSコーポレートソリシターズ
60 Moorgate
London
EC2R 6EJ

 3CSは、ロンドン金融街の中心地であるシティにオフィスを構えております。最寄り駅はLiverpool Street、Moorgate、Bankです(いずれも徒歩5分圏内)。

地図を表示

+44(0) 204 5161 260 English (United Kingdom)

info@3cslondon.com

Please enter your name
Please enter your phone number
Please enter your email
Invalid Input
Invalid Input
Please enter your name

クライアント

当事務所のクライアント
The Legal 500 - Leading Firm 2025

Registered in England & Wales | Registered office is 60 Moorgate, London, EC2R 6EJ
3CS Corporate Solicitors Ltd is registered under the number 08198795
3CS Corporate Solicitors Ltd is a Solicitors Practice, authorised and regulated by the Solicitors Regulation Authority with number 597935

Registered in England & Wales | Registered office is 60 Moorgate, London, EC2R 6EJ
3CS Corporate Solicitors Ltd is registered under the number 08198795
3CS Corporate Solicitors Ltd is a Solicitors Practice, authorised and regulated by the Solicitors Regulation Authority with number 597935