英国政府は、EUと米国間の大西洋横断データ転送協定に参加し、「英国-米国データブリッジ」と呼ばれる拡張機能を追加することを正式に確認した。英国と米国は今年6月にはこの取り決めで大筋合意に達した。本日、英国政府は、ミシェル・ドネラン国務長官がこの協定を進めたことを確認した。この協定は、英国国民の情報の米国への輸出を許可し、英国のGDPRとしても知られる英国のデータ保護制度の下で国民の情報が適切に保護されることを保証することでデジタル商取引を促進することを目的としている。
科学・イノベーション・技術省(DSIT)は、「この決定を実施するため、本日(2023年9月21日)、十分性規制が議会に提出された。10月12日に規制が発効すると、英国の企業や組織はこのデータブリッジを利用して、個人データを米国の認定組織に安全かつ確実に転送できるようになる」と書いている。
英国が米国と独自のデータ共有協定を結ぶ必要性は、英国のEU離脱に起因している。したがって、Brexit が、データ移転協定に関して EU によって確立された枠組み (交渉プロセス中に英国の議員はまったく意見を述べなかった) に英国が依存する (政府の用語では「拡張する」) ことを意味するのは、小さな皮肉ではありません。
「英国国務長官は、英国によるEU-米国データプライバシーフレームワークの延長は、英国のデータ主体のデータが米国に転送される際のデータ保護のレベルを損なうことはないと判断した。この決定は、フレームワークが英国における個人データのプライバシーの高い基準を維持しているという信念に基づいている」とDSITは本日書いた。
「この決定を支持して、米国司法長官は9月18日、英国を大統領令14086に基づく『適格国』に指定した。これにより、英国のGDPR(一般データ保護規則)第46条および第49条に規定されているものを含む、あらゆる転送メカニズムに基づいて個人データが米国に転送されたすべての英国の個人は、自分の個人データが不法にアクセスされたと思われる場合、新たに確立された救済メカニズムに訴えることができるようになる」国家安全保障を目的として米国当局によって提供されたものです。」
「[EU-米国] データ プライバシー フレームワークの英国拡張」(DPF) とも呼ばれる英国-米国データ ブリッジにより、EU の枠組みに基づいて認定された米国企業は、DPF を通じて英国の個人データを受け取るために登録できるようになります。
英国のデータの米国への流れを促進するというドナラン氏の決断は、賢明で合理的なアプローチとして多くの人に認識されるだろうが、同時にEU離脱の当惑を露呈することになる。 DPFがEU内で法的課題に直面することを考えると、EUの枠組みに米国のデータブリッジを構築するという英国のアプローチは、この取り決めの持続性について疑問を引き起こしている。
データ保護の専門家は、この枠組みではグループ内の国民のデータが必要とされるレベルまで保護されていないと考えている。 EUと米国の間のこれまでの2つのデータ移転協定は、それぞれ2015年と2020年にEU最高裁判所によって却下された。 3回目の打撃でDPFが崩壊すると、さらに厄介な状況になる。
それでも、EU司法裁判所が英国に対する管轄権を失ったため、英国政府が国内のプライバシー基準を薄めていることは言うまでもなく、英国の「拡張ブリッジ」計画が唯一生き残る可能性が高い。
米国のデータブリッジは、Brexit後に英国が署名した最初のデータ共有協定ではない。英国も2022年7月に韓国と同様の協力に達した。