ジョーンズ・デイ・アラート：EU ・U.S.間のデータ保護セーフ ・ハーバーが無効に

2000年の欧州委員会と米政府との合意によるセーフ・ハーバーには、4000社以上の米企業が、欧州連合域内の顧客や事業者から電子データを受領するために参加してきました。しかしながら、欧州司法裁判所は、2015年10月6日、このセーフ・ハーバーを、欧州連合から米国に移転される個人情報に対しEUデータ保護指令95/46/ECにより求められる十分なレベルの保護を提供していないことを理由に、無効と判断しました。この判断の結果、このセーフ・ハーバーを米国へのデータ移転の基礎として用いてきた企業（サービス提供者との契約において用いる場合も含みます）は、同指令が定める他の有効なデータ移転許容手段を設けなければならなくなりました。セーフハーバー以外の有効なデータ移転許容手段としては、標準契約条項（Standard Contractual Clauses）の採用、拘束力を有する企業の内部規定（Binding Corporate Rules）の制定、本人の同意取得などがあり得ますが、最も迅速に利用できる方法は、標準契約条項です。

なお、現在欧州連合と米国との間では、セーフハーバーの見直しについての交渉が続けられていますが、この判決を受け、セーフハーバーを「復活」させるために、その大きな見直しが求められることになるでしょう。

本件は、日本企業の米国子会社等が欧州の顧客を持つ場合や、日本企業の欧州子会社等が米国企業からITサービスの提供を受ける場合などに大きな影響があるため、ご紹介いたします。

詳細は、Jones Day Alert “EU–U.S. Data Protection Safe Harbor: Not Safe Anymore” （オリジナル（英語）版）をご参照ください。