バイデン大統領は10月7日、今年3月に暫定合意が発表されたEU・米国間のデータプライバシー枠組みを実行に移すため、米国の情報機関による情報収集からプライバシーを守るセーフガード措置を指示する大統領令に署名した。
この枠組みに先立つ過去二つのEU・米国間のデータ移転枠組み(プライバシーシールド)が、米国の監視に対する懸念から欧州司法裁判所により破棄された後、多くの企業がどのようにEU・米国間のデータ移転を行えばよいのか分からない状態が続いていたが、新しい枠組みはこの状態の解消を目指している。
ホワイトハウスによると、今回の大統領令は、米国の情報収集に関する現行の「プライバシーと市民的自由の保護措置」を強化し、米国の情報収集活動が必要かつ適切なことだけを行うよう指示するもので、個人情報が米国の情報機関によって違法に収集されたと考える個人のために、独立した拘束力のある2段階の救済メカニズムを創設するものだという
1。
1段階目では、米国国家情報長官室の市民的自由保護官(CLPO)に苦情を訴えることができ、2段階目では、司法省が新たに設置するデータ保護審査裁判所(DPRC)が、CLPOの決定を独立して審査する。DPRCには、データプライバシーと国家安全保障の経験を持つ裁判官が米国政府外から任命される予定である。
欧州委員会は、同日、米国バイデン大統領が通信傍受による情報活動のセーフガード強化に関する大統領令に署名したことを受け、EUと米国が2022年3月に合意したEU・米国間のデータプライバシーの枠組みに関し、今後のEU一般データ保護規則(GDPR)十分性認定に向けたEU側の進め方を公表した
2。
欧州委員会は、この大統領令をEU司法裁判所が提示した課題を全てカバーする新しい法的拘束力を持つセーフガードを導入したものと評価している。
米国の大統領令を踏まえ、欧州委員会は、十分性認定のドラフトの作成を開始するとともに、認定に向けた手続を開始するとしている。具体的には、これから欧州データ保護会議(EDPB)の意見を聴取し、EU加盟国の代表からなる委員会から了解を得る必要がある。また、欧州議会も十分性認定について審査をする権限を持っている。
これらの手順の後、十分性認定の採択が可能となり、米国との関係では、採択されてはじめて十分性認定に基づく米・EU間の越境データ流通が可能となる。