大西洋を越えたデータ移転に関する新大統領令について

2023 年 7 月

Workday は、新たに EU-米国データ プライバシー フレームワーク (DPF) が承認されたことを歓迎します。DPF は、企業に対し、欧州の個人データを米国に合法的に移転する際の信頼性を提供するものです。  Workday は、国境を越えたデータ フローを促進する政府間協定を強く支持しています。また、大西洋を越えた安全なデータ フローを継続させるために長年にわたって取り組んできた、米国と欧州委員会の皆様に感謝します。DPF の下、米国政府の公約が達成され、欧州委員会の妥当性決定が確定したことで、大西洋両岸の政策立案者は 2020 年 7 月の「Schrems II」決定における欧州連合司法裁判所 (CJEU) の懸念に対処するための新たな安全策に合意しました。

このことがお客様にとってどのような意味を持つのかをご理解いただくために、新しく承認された DPF に関する一般的な質問をいくつか取り上げます。

大統領令が発表されたことにより、何が起きたのでしょうか？

ここでおさらいしましょう。CJEU の Schrems II 判決で示された主な争点は、米国政府のアクセス活動に関するものでした。昨年、米国政府は、米国情報機関が欧州の個人データにアクセスする方法について有意義な変更を行い、米国外の個人が自分のデータが不適切にアクセスされたと考えた場合に救済が受けられる権利を提供する体制を整えました。司法省と国家情報長官は、バイデン大統領による大西洋を越えたデータ移転に関する大統領令に基づき、これらの公約を履行しました。具体的には、米国の諜報機関が新しい方針と手続きを採用し、司法長官が DPF の救済措置を利用できる「適格国」として欧州経済地域を正式に指定し、新たにデータ保護審査裁判所が設立されました。この大統領令に関する Workday の見解について詳しく知りたい方は、以下をお読みください。 

DPF は Workday の顧客にどのような影響を与えますか？

この妥当性の決定により、お客様が欧州の個人データを米国に合法的に移転できる可能性が高まりました。2020 年以降、Workday は標準契約条項や処理業者に対する拘束力のある企業規則など、他のデータ移転メカニズムを使用してお客様をサポートしてきました。この間、お客様が移転に伴うリスクを評価できるよう、包括的な移転影響評価データシートも提供してきました。当社としては、今後も合法的なデータ移転メカニズムを提供し続け、米国の法制度における最近の変更を反映させるため、移転影響評価データシートを更新します。データ移転メカニズムとして新しい DPF を使用しない企業であっても、米国政府の新しい安全策は、標準契約条項や拘束力のある企業規則を使用する企業を含め、一般データ保護規則に基づく米国内の企業へのあらゆる個人データ移転に適用されます。

さらに、当社では、プライバシー シールド フレームワークの認証を維持し、DPF への迅速な移行を可能にしました。また、データへのアクセスを求める法執行機関の要請に関する透明性を維持し、透明性レポートの定期的な更新について公表することをお約束します。

Schrems III の予定はありますか？

セーフハーバー フレームワークやプライバシー シールド フレームワークで見られたように、DPF についても欧州の法廷で争われることになるでしょう。米国政府が欧州の個人データへの政府によるアクセスに対する安全策を強化し、米国外の個人に救済の権利を提供する前例のない修正により、Workday としては、大西洋を越えたデータ フローを扱う永続的かつ信頼性の高い法的基盤を確保するという両政府の共通目標が DPF によって達成されたと考えています。  

2022 年 10 月

Workday は、10 月 7日にジョー・バイデン大統領が発表した、大西洋を越えたデータ移転に関する待望の大統領令を大いに歓迎します。大統領令は、データ移転メカニズムとしてのプライバシー シールドを無効としたSchrems II 事件の核心であった、政府によるアクセスの問題に対処するための欧州連合と米国間の合意を求めたものです。米国と欧州連合との間のシームレスなデータ移転は、デジタル経済を推進し、多国籍企業がグローバル ワークフォースを効果的に管理する上で重要な役割を果たしています。

新しい大統領令は、社員データを含む EU から米国への個人データの自由な流れを維持するための前向きな一歩です。しかし、消化すべき情報がたくさんあるため、大統領令が何を意味するのか、そして今後お客様にどのような影響を与えるのかについて、少し明確にしていきたいと思います。

大統領令の意義は何でしょうか？

数か月前、バイデン大統領と欧州委員会のウルズラ・フォン・デア・ライエン委員長は、EU から米国への個人データの自由な流れを促進することを目的とした EU-米国データ プライバシー フレームワーク (DPF) と呼ばれる政策合意を発表しました。今回発表された大統領令は、EU 市民が国家安全保障の目的で米国政府によって個人データが違法に収集されたと考える場合、正式に苦情を申し立てるためのプロセスを提供することで、この協定に対する米国の公約を正式に履行するものです。また、米国の諜報活動が安全保障上の目的を達成するために必要かつ適切なものであるようにする安全策も講じられています。

この大統領令は、欧州委員会が EU-米国 DPF に参加する企業の妥当性確認プロセスを開始する道を開くものです。今回の大統領令の発行にとどまらず、米国と欧州連合の間で正式な妥当性確認フレームワークが再び施行されるまでには、さらにいくつかの段階を踏む必要があります。これには、欧州委員会による正式な妥当性決定の発行、および欧州データ保護委員会による決定の見直しと意見書の発行が含まれます。最後に、欧州加盟国がこのフレームワークを承認し、正式な採択が行われます。欧州委員会はすでに、プライバシー シールドの下で存在していたメカニズムに比べ、大幅な改善が見られるとして、新 EU-米国 DPF への支持を表明しています。

この大統領令は Workday の顧客にとって何を意味しますか？

Workday は、顧客サービスというコア バリューに則って、プライバシーとセキュリティを非常に重要視しており、お客様のデータを保護するために適切なセーフガードを維持しています。Schrems II 事件を受けて、当社は堅牢な移転影響評価 (TIA) ホワイトペーパーをお客様に提供しました。これは、企業のヒューマン キャピタル マネジメント (HCM) および財務管理システムのコンテキストで EU の個人データを米国に移転するリスクを評価するのに役立ちます。データの種類、Workday や他の類似企業に対する政府からの要請の履歴、政府の声明など、多くの要因に基づき、当社はリスクが低いと結論付けました。

Workday は、この米国法の変更を反映するために直ちに既存の TIA を更新し、拘束力のある企業規則 (BCR) や 標準の契約条項 (SCC) など、Workday がすでに採用している法的メカニズムを使用した移転をサポートするため、引き続き TIA を使用します。さらに、Workday はプライバシー シールド フレームワークの認定を保持しています。プライバシー シールドに対する法的な異議申し立ては、商業データ慣行ではなく国家安全保障の問題に基づくものであったため、来年春には確定するとされる新たな妥当性決定により、合法的なデータ移転メカニズムとして新たな EU-米国 DPF を使用するプロセスはほぼシームレスな状態になると予想されています。

今後の予定について教えてください

米国と欧州の間では、世界中のどこよりも多くのデータが行き来しており、米国と EU 間のシームレスなデータ転送は、今日のデジタル経済における大西洋を越えた貿易と投資の基盤となっています。政策立案者が企業などのステークホルダーと協力して、データ転送を可能にし、プライバシーを保護する持続的なフレームワークを開発し導入することが重要です。Schrems II 判決後の数か月間、Workday はバイデン政権および欧州委員会の担当者と緊密に連携し、後継のデータ移転フレームワークを策定する道筋を模索しました。当社としては、EU-米国データ プライバシー フレームワークの下で公約を履行するバイデン大統領による大統領令を強く支持し、新たな妥当性所見を支援するために EU のパートナーと協力していく所存です。

近日中に Workday コミュニティに掲載される最新の TIA にご注目ください。 

このブログは 2022 年 10 月に公開されたものです。