EU十分性認定:国別一覧と2026年の最新動向
GDPR第45条の下では、欧州委員会は、EU域外の国がEU基準と実質的に同等のデータ保護を提供していると判断した場合に、十分性認定を発行する。この認定を受けると、標準契約条項などの追加的な保護措置を要することなく、EUから当該国へ個人データを自由に移転できるようになる。
EU十分性認定とは、欧州経済領域(EEA)外の国が、EU域内で保証されるものと「実質的に同等」の水準のデータ保護を提供しているという、欧州委員会による正式な決定である。ある国が十分性認定を受けると、標準契約条項(SCC)や拘束的企業準則などの追加的な保護措置を組織が導入する必要なく、EUから当該国へ個人データを自由に移転することができる。
十分性の枠組みは、GDPR第45条に定められており、委員会が評価すべき基準、ならびに採択、見直し、撤回の手続を規定している。十分性認定は国際的なデータ保護における最も重要な法的手段の一つであり、EUとその貿易相手国との間で円滑な国境を越えたデータフローが可能かどうかを決定する。
本ガイドは、十分性がどのように機能するか、現在十分性の地位を有するすべての国と機関、GDPR以前の11の決定に関する2024年の見直し、英国の2025年12月更新、ブラジルの2026年決定、EU-米国データプライバシーフレームワークとその訴訟の経緯、そして貴組織にとって十分性が何を意味するかを扱う。
GDPR第45条に基づく十分性認定の仕組み
GDPR第45条は、欧州委員会に対し、第三国、地域、第三国内の1つもしくは複数の特定の分野、または国際機関が十分な水準の保護を確保していることを決定する権限を与えている。法的基準は同一の保護ではなく、EU法との「実質的同等性」である。
評価基準
ある国の十分性を評価する際、委員会は第45条(2)に定められたいくつかの要素を考慮する。
法の支配と人権: 国家安全保障、公共の利益、刑法、政府による個人データへのアクセスに関する立法を含む、当該国の一般的な法的枠組み。独立した司法制度の存在が重要な要素となる。
独立した監督機関: 当該国が、調査、介入、違反への制裁を行う十分な執行権限を有する、1つまたは複数の独立したデータ保護機関を有しているかどうか。当局はまた、権利を行使するデータ主体への支援および助言を提供しなければならない。
国際的な取り組み: 欧州評議会条約108号およびその近代化されたプロトコル(条約108+)、二国間または多国間協定、その他の法的拘束力のある義務など、国際的なデータ保護文書への当該国の参加状況。
データ主体の権利: 個人が、アクセス、訂正、消去、処理の制限を含む実効的かつ執行可能な権利、および実効的な行政上・司法上の救済を受ける権利を有しているかどうか。
再移転規則: 当該国が他の第三国へのさらなる移転に条件を課しているかどうか。これにより、十分性が、保護の弱い法域へのデータフローの抜け穴となることを防止する。
採択プロセス
十分性評価は長期にわたるプロセスである。委員会は多くの場合数年にわたり評価を実施する。欧州データ保護会議(EDPB)は決定草案について意見を発する。コミトロジー委員会における加盟国代表が決定の承認について投票する。欧州議会および理事会は、委員会に対し決定の維持、修正、または撤回を求めることができる。
当初の評価から最終的な採択までは、通常2年から4年を要する。条約108+を批准し、真に独立した実効的な執行権限を有する監督機関を設立し、GDPRに整合した包括的な立法を制定した国は、より速くプロセスを進む傾向がある。
監視と定期的な見直し
第45条(3)は、委員会に対し、十分な保護を提供する国における進展を継続的に監視することを要求している。第45条(4)は、委員会に対し、決定の機能について欧州議会および理事会に定期的に報告することを要求している。委員会が、ある国がもはや実質的同等性を提供していないと判断した場合、決定を修正、停止、または撤回することができる。
EU十分性認定を受けている国
2026年時点で、欧州委員会は17の国、地域、機関について十分性認定を発行している。この一覧には、GDPR以前の決定(当初1995年データ保護指令の下で採択され、GDPR第45条(9)の下で引き続き効力を有するもの)と、2018年5月のGDPR施行以降に採択された決定の両方が含まれる。
GDPR以前の十分性認定(指令時代)
これらの決定は、2018年5月25日のGDPR施行前に指令95/46/ECの下で採択された。撤回または修正されない限り、引き続き効力を有する。
アンドラ(2010年10月採択):アンドラの2003年個人データ保護資格法およびその独立監督機関(APDA)が十分性認定の根拠となった。委員会の2024年1月の見直しは、十分性が引き続き正当化されることを確認した。
アルゼンチン(2003年6月採択):アルゼンチンの個人データ保護法(法律25,326号)および公的情報アクセス庁(AAIP)が十分性の根拠を形成している。アルゼンチンは、ブラジルを除けば、EU十分性を有する唯一の南米諸国である。
カナダ(2001年12月採択、部分的):カナダの十分性は、その商業活動において個人情報保護および電子文書法(PIPEDA)の適用を受ける組織に限定されている。公共部門の処理、PIPEDAの適用を受けない組織、およびPIPEDAと実質的に類似しているとは認められていない州法は、この決定の対象外である。
フェロー諸島(2010年3月採択):デンマーク王国内の自治領であり、独自のデータ保護法制を有する。
ガーンジー(2003年11月採択):英国王室属領であり、ブレグジット後、英国GDPRに整合したデータ保護法制を有する。
マン島(2004年4月採択):情報コミッショナー事務局(マン島)の下で独立したデータ保護制度を有する英国王室属領。
イスラエル(2011年1月採択):イスラエルの1981年プライバシー保護法およびプライバシー保護局が枠組みを提供した。イスラエルは、GDPR基準により近づけるためプライバシー法制の近代化に取り組んでいる。
ジャージー(2008年5月採択):独自のデータ保護法制および監督機関(ODPA)を有する英国王室属領。
ニュージーランド(2012年12月採択):ニュージーランドのプライバシー法およびプライバシーコミッショナー事務局が十分性の根拠を提供した。ニュージーランドは2020年11月、大幅に近代化されたプライバシー法を制定した。
スイス(2000年7月採択):最も早期の十分性認定の一つ。スイスは2023年9月1日に施行された改正連邦データ保護法(revFADP)を制定し、その枠組みをGDPRにより整合させた。委員会は、revFADPがスイスの十分性の地位を強化するかどうかを監視してきた。
ウルグアイ(2012年8月採択):ウルグアイのデータ保護法(法律18,331号)および規制・データ保護局(URCDP)が十分性認定を支えた。
GDPR以降の十分性認定
日本(2019年1月採択):GDPRの下で採択された最初の十分性認定。日本の個人情報保護法(APPI)は、機微データに関するより厳格な規則、再移転、個人の権利を含む、EUと特別に交渉された追加的な保護措置によって補完された。委員会は2023年4月に最初の見直しを完了し、APPIとGDPR原則との継続的な整合を踏まえ、十分性が引き続き正当化されると結論付けた。
大韓民国(韓国)(2021年12月採択):韓国の個人情報保護法(PIPA)(2020年に大幅に改正)および個人情報保護委員会(PIPC)が決定を支えた。韓国は、法執行および国家安全保障目的のための政府によるデータアクセスに関する追加的な誓約を行った。
英国(2021年6月採択、2025年12月更新):英国の十分性認定については、以下の独立したセクションで詳しく扱う。
米国(DPF)(2023年7月採択):この十分性認定は、EU-米国データプライバシーフレームワーク(DPF)の下で認証を受けた米国事業者のみに適用される。米国について一般的な十分性認定は存在しない。認証を受けていない米国事業者への移転には、依然としてSCCまたはその他の保護措置が必要である。
ブラジル(2026年1月26日採択):これまでで最も新しく、最も包括的な十分性認定であり、初の相互十分性の取り決めである。詳細は以下のセクションを参照。
欧州特許機構(2025年7月15日採択):国際機関に対して初めて採択された十分性認定。これにより、特許付与プロセスのデジタル変革を支えるEU団体と欧州特許機構との間で円滑なデータフローが可能となる。
旧11決定の2024年1月の見直し
2024年1月15日、欧州委員会は、指令95/46/ECの下で採択された11の十分性認定に関する第1回定期見直しの報告書(文書SWD(2024) 3 final、委員会通達COM/2024/7に付随)を公表した。見直しの対象となった11の決定は、アンドラ、アルゼンチン、カナダ、フェロー諸島、ガーンジー、マン島、イスラエル、ジャージー、ニュージーランド、スイス、ウルグアイである。
結論:11件すべてが引き続き十分性を提供
委員会の全体的な結論は、11のすべての国と地域が引き続き十分な水準のデータ保護を提供しており、現時点でいずれの決定も撤回または修正を要しないというものであった。
国別の所見
この見直しは一律の追認ではなかった。委員会は、引き続き監視を要する具体的な分野を特定した。
アルゼンチンについては、委員会は、GDPR基準に近づけるため2000年のデータ保護法を近代化する立法改革プロセスを完了する必要性を指摘し、AAIP監督機関の新たな長官の任命を求めた。
イスラエルについては、委員会は、プライバシー保護法を更新するための継続中の立法改革を指摘し、その改革の範囲および深度が将来の十分性評価に関連することを述べた。
カナダについては、委員会は継続中のPIPEDA改革プロセス(C-27法案)を指摘し、改革の実施が将来の十分性見直しに影響することを述べた。
ニュージーランドについては、委員会は2020年プライバシー法改正の肯定的な影響を指摘し、同国の機能する独立監督機関を評価した。
委員会は、ガーンジー、マン島、ジャージー、フェロー諸島、アンドラ、スイス、ウルグアイの十分性認定が引き続き満足に機能していることを確認しつつ、各法域における規制上の進展の継続的な監視の維持を勧告した。
英国の十分性認定:サンセット条項、延長、2025年12月の更新
英国の十分性認定は、当初の採択時に挿入された独自のサンセット条項のため、他のいかなる十分性認定よりも複雑な経緯をたどっている。
2021年の当初決定とサンセット条項
委員会は、EU-英国貿易協力協定の橋渡し措置が失効する直前の2021年6月28日に英国の十分性認定を採択した。他のすべての十分性認定とは異なり、英国の決定には4年間のサンセット条項が含まれており、更新されない限り2025年6月27日に自動的に失効するとされていた。この条項は、委員会がブレグジット後にEU法から独立して発展する英国のデータ保護枠組みを再評価する能力を確保するために挿入された。
2025年6月の技術的延長
2025年6月27日の失効日が近づく中、委員会は正式な更新プロセスをまだ完了していなかった。2025年6月24日、委員会は、更新評価が完了するまでの間データフローを維持するため、GDPRに基づく決定とLED(法執行指令)に基づく決定の両方について短期の技術的延長を採択した。
2025年12月19日の更新
2025年12月19日、委員会はGDPRおよび法執行指令(LED)の両方の下で英国の十分性認定を正式に更新した。更新された決定は6年間有効であり、2031年12月27日に失効する。委員会は、EDPBと緊密に連携しつつ、4年後に中間見直しを行うことを約束した。
委員会は、2021年以降のいくつかの立法上の変更にもかかわらず、英国が引き続き実質的に同等のデータ保護を提供していると結論付けた。その中で重要なのは、2025年6月19日に成立した**データ(利用およびアクセス)法2025(DUAA)**の制定である。DUAAは、GDPR基準からのより大きな乖離を含んでいたデータ保護・デジタル情報法案に代わるものであった。委員会はDUAAを評価し、英国の全体的な枠組みが引き続き実質的に同等であると認定した。
EDPBの意見と監視条件
EDPBは2025年10月、英国の十分性認定草案に関する意見を採択した。EDPBは更新を歓迎する一方で、英国の移民に関するデータ保護規則の適用除外、英国-米国データブリッジおよびそれがEUデータの再移転に及ぼす影響、そして英国の枠組みが独立して発展を続ける中での将来的な乖離のリスクを含むいくつかの分野について、委員会に対し実効的な監視の確保を求めた。
この更新により、2031年12月までの6年間、組織は十分性認定の下でEUと英国の間で個人データを自由に移転できる。英国の十分性に依拠する組織は、監視条件について認識を維持し、2031年に委員会が再度更新しないと決定した場合に備えてSCCの代替計画を維持すべきである。
ブラジル:最新の十分性認定(2026年1月)
2026年1月26日、欧州委員会は実施決定(EU)2026/179を採択し、ブラジルのLGPD枠組みがGDPR第45条の下で十分なデータ保護を提供していると認定した。同日、ブラジルの国家データ保護局(ANPD)は、ブラジル一般データ保護法(LGPD)の下でEUが十分な保護を提供していると相互に認定する決議CD/ANPD第32号を採択した。
ブラジル決定を特徴づけるもの
ブラジル決定は、いくつかの点で従来の十分性認定とは一線を画している。
相互承認: 双方が同時に互いの十分性を認定し、真に双務的な取り決めを実現した。ブラジルのANPD決議32はEUの決定を反映しており、双方向の自由なデータフローを可能にしている。
最も広範な分野的範囲: カナダ(商業活動のみ)や米国(DPF認証事業者のみ)とは異なり、ブラジルの十分性は公共部門と民間部門の双方の移転をカバーしており、GDPRの下で採択された十分性の取り決めの中で最も包括的なものとなっている。
安全保障の適用除外: この決定は、国防、国家安全保障、または犯罪捜査目的のためにのみ行われる移転には適用されず、これはLGPD自体のこれらの分野における適用除外と整合している。
見直しスケジュール: この決定は4年ごとの正式な見直しの対象となり、委員会はANPDと緊密に連携して継続的な監視を行う。
背景:ブラジルのデータ保護枠組み
ブラジルは2018年に一般データ保護法(Lei Geral de Protecao de Dados、LGPD)を制定し、2020年9月から施行した。LGPDは、処理の適法根拠、データ主体の権利、データ侵害通知、データ保護責任者に関する要件など、GDPRの構造および原則を密接に反映している。ANPDは独立監督機関として設立され、国際データ移転メカニズムおよびセキュリティインシデント通知に関する実施規則を発行し、ブラジルの枠組みをEU基準にさらに整合させてきた。
EUは、数年前に開始された評価プロセスを経て、2025年9月に十分性決定の草案を公表した。最終決定は2026年1月26日に採択された。
EU-米国データプライバシーフレームワーク
EU-米国データプライバシーフレームワーク(DPF)は、委員会とバイデン政権との間の集中的な交渉を経て、2023年7月10日に十分性認定として採択された。DPFは、欧州連合司法裁判所(CJEU)が2020年7月のSchrems II判決で無効とした「プライバシーシールド」枠組みに代わるものである。
DPFの仕組み
国全体を対象とする十分性認定とは異なり、DPFは自己認証制度である。米国事業者は、国際貿易局(ITA)を通じてdataprivacyframework.govにおいてDPF原則の遵守を任意に認証する。認証を受けた事業者は、DPF原則に同意し、FTCおよび運輸省の執行に服する。EU域内の個人は、米国のシギント(信号情報)活動に関する請求について、大統領令14086号により設立されたデータ保護審査裁判所(DPRC)を通じて救済を求めることができる。
2024年10月の第1回年次見直し
2024年10月9日、委員会はEU-米国DPFの第1回定期見直しに関する報告書(COM(2024) 451 final)を公表した。見直し会合は2024年7月18日から19日にワシントンD.C.で開催された。
主な調査結果:委員会は、DPFが最初の1年間、意図どおりに機能していたと認定した。認証企業の70%を中小企業が占め、ICT分野からの参加が顕著であった(認証の47%)。米国当局は、DPFの最初の1年間、国家安全保障または法執行の法的枠組みに関連する変更がなかったことを確認した。
訴訟:Latombe事件(2025年9月)
DPFは、欧州一般裁判所における事件T-553/23号、フィリップ・ラトンブ対欧州委員会において、最初の司法上の異議申立てに直面した。2025年9月3日、一般裁判所は訴えを棄却し、米国がDPFの下で移転される個人データについて十分な水準の保護を確保していることを確認した。裁判所は、米国のシギント活動が、その決定が最終的かつ拘束力を有するDPRCによる司法上の監督に服しており、Schrems IIで確立された実質的同等性の基準を満たしていると判断した。
この決定はCJEUに上訴される可能性がある。マックス・シュレムスが設立したプライバシー擁護団体NOYB(None of Your Business)は、動向を注視しており、より広範な別個の異議申立てを行う可能性があると示唆している。
継続する政治的不確実性
DPFの長期的な安定性は、2025年のトランプ政権の動きに起因する政治的リスクに直面している。主な懸念は次のとおりである。
PCLOB: 2025年1月、トランプ政権はプライバシー・市民的自由監視委員会の民主党所属委員を解任し、同委員会は定足数を欠くこととなった。PCLOBは、DPFの保護措置の基盤となる米国の監視枠組みの監督において役割を果たしている。
FTCの独立性: 2025年2月の機関の説明責任に関する大統領令は、FTCが認証事業者に対しDPFの誓約を執行するための十分な独立性を維持しているかどうかについて懸念を生じさせた。
ノルウェーのDatatilsynet、ドイツのDSK、デンマークのDatatilsynetを含む複数の欧州データ保護当局は、代替の移転メカニズムのための緊急時対応計画を策定するよう組織に助言するガイダンスを発行した。DPFに依拠する組織は、バックアップとして最新のSCCの取り決めを維持すべきである。
十分性認定はどのように撤回または争われるか
EU-米国間のデータ移転枠組みの歴史は、十分性に基づく取り決めの脆さと、撤回がもたらす帰結を示している。
Schrems I:セーフハーバー(2015年)
2015年10月、CJEUは、エドワード・スノーデンによって暴露された米国の大規模監視プログラムに関する事実を受け、セーフハーバー枠組み(事件C-362/14号、Schrems対データ保護コミッショナー)を無効とした。裁判所は、委員会のセーフハーバー十分性認定が実質的に同等の保護を提供していなかったと判断した。米国法は、十分な司法上の監督なしに個人データへの大規模なアクセスを認めていたためである。
Schrems II:プライバシーシールド(2020年)
2020年7月、CJEUは同様の根拠に基づき、プライバシーシールド枠組み(事件C-311/18号、データ保護コミッショナー対Facebook Ireland)を無効とした。米国の監視法は、EU基準と同等の執行可能な権利や実効的な司法救済をデータ主体に提供していなかった。裁判所はまた、標準契約条項は引き続き有効であるが、データ輸出者はこれに依拠する前に移転影響評価を実施しなければならないことを確認した。
撤回の実務上の帰結
十分性認定が無効とされると、移転の法的根拠は直ちに消滅する。Schrems II判決後:
- プライバシーシールドを唯一の移転メカニズムとして依拠していた5,300社を超える米国企業が、急遽代替の保護措置を導入する必要に迫られた。
- EUの組織は、数百のサービスプロバイダーとの契約を再交渉する必要があることに気づいた。
- データ保護当局は、有効な法的根拠を欠く米国への移転に対する執行措置を開始した。
十分性が撤回された場合、保証された移行期間は存在しない。組織は、十分性を移転戦略の唯一の層としてではなく、その一つの層として扱い、十分性認定が重要なデータフローに影響する場合は常に最新のSCC取り決めを維持すべきである。
部分的および分野別の十分性
GDPRは、国内の「1つまたは複数の特定の分野」についての十分性を明示的に認めている。現行の2つの決定は、部分的な十分性が実務上どのように機能するかを示している。
カナダ:商業活動のみ
カナダの十分性は、その商業活動においてPIPEDAの適用を受ける組織にのみ適用される。政府機関による処理、PIPEDAと実質的に類似しているとは認められていない州法の下で処理されるデータ、および非商業的処理は、この決定の範囲外である。
カナダのデータ保護改革は数年にわたり継続してきた。C-27法案(消費者プライバシー保護法)は、制定されればPIPEDAを近代化された枠組みに置き換えるはずであった。
米国:DPF認証事業者のみ
米国の十分性認定は、範囲において最も限定的である。ITAを通じてDPFの下で積極的に自己認証を行った事業者のみを対象とする。米国について国としての一般的な十分性認定は存在しない。認証を受けていない米国事業者への移転は、SCC、拘束的企業準則、またはGDPR第46条の下でのその他のメカニズムに依拠しなければならない。
保留中の十分性評価
2026年のブラジルの追加により、十分性を目指す近い将来の候補国の数は絞られてきたが、いくつかの国は依然として協議または評価の様々な段階にある。
台湾: 台湾の個人データ保護法およびその改正計画は、特にEU・台湾間の経済・技術関係の強化という文脈において、EUの関心を集めてきた。台湾に対する十分性認定は、両岸関係を踏まえると政治的に微妙であるが、その強力な立法基盤は台湾を有力な候補国たらしめている。
ケニア: ケニアは2019年に包括的なデータ保護法を制定し、データコミッショナーを設立し、その枠組みを国際基準に整合させる取り組みを進めてきた。サブサハラ・アフリカにおける十分性は、より長期的な可能性として残っている。
インド: インドは2023年デジタル個人データ保護法(DPDPA)を制定し、新たな監督枠組み(データ保護委員会)を設立した。インド・EU間の十分性協議は緒に就いたばかりであり、政府アクセスおよび国家安全保障の適用除外が大きな障壁となっている。
条約108+を批准し、十分な執行予算と実績を有する真に独立した監督機関を設立し、GDPRと同等の原則を持つ包括的な立法を制定した国が、最も有利な立場にある。大規模な情報機関を有する国にとって、国家安全保障の適用除外の範囲は、歴史的に満たすことが最も困難な要素であった。
十分性が企業にとって意味すること
メリット
十分性を有する国へ個人データを移転する組織にとって、実務上のメリットは大幅な簡素化である。SCCも、移転影響評価も、拘束的企業準則も不要である。輸出者は、移転時点で移転先が十分性の一覧に掲載されていることを確認すればよい。
これにより、法務コストが削減され、ベンダーのオンボーディングが迅速化し、十分性を有する法域でベンダーを追加する際にデータ処理契約を再交渉する必要がなくなり、SCCライブラリを維持するコンプライアンス負担が解消される。
限界
十分性は他のGDPR要件を無効にするものではない。輸出組織は、依然として処理の適法根拠を有し、データ最小化および目的制限の原則を遵守し、データ主体の権利を尊重しなければならない。十分性は、第46条の下での追加的な移転保護措置の要件を除去するのみである。
十分性を有する国の受領組織もまた、その国自身のデータ保護法を遵守しなければならない。十分性認定は、EUのGDPR上の義務を移転先国の法律に変換するものではない。
依拠リスクの管理
2つの米国の十分性枠組みが無効とされ、英国の決定が監視条件付きで更新を要したことを踏まえると、十分性認定は有用ではあるが無条件のものではないものとして扱われるべきである。組織は次のことを行うべきである。
- 十分性の安定性が不確実な国、特にDPFの下での米国へのデータフローについて、並行してSCCの取り決めを維持する。
- 十分性が圧力にさらされている兆候について、委員会の定期的な見直しおよびEDPBの意見を追跡する。
- 十分性を有する国における立法上の進展が、その枠組みを実質的同等性の閾値以下に押し下げる可能性を監視する。
本記事は一般的な法律情報であり、法的助言ではない。国際データ移転のために十分性認定に依拠する組織は、自らの状況に特有の助言について弁護士に相談すべきである。
Frequently Asked Questions
EU十分性認定とは何ですか?
EU十分性認定とは、GDPR第45条の下で、EU域外の国がEU基準と実質的に同等のデータ保護を提供しているという欧州委員会による正式な決定である。ある国が十分性の地位を有する場合、標準契約条項や拘束的企業準則のような追加的な保護措置を組織が必要とすることなく、EUから当該国へ個人データを自由に移転することができる。基準は実質的同等性であり、同一の保護ではない。
2026年時点でどの国がEU十分性認定を有していますか?
2026年時点で、17の国、地域、機関が十分性を有している。アンドラ、アルゼンチン、ブラジル(2026年1月)、カナダ(商業部門のみ)、フェロー諸島、ガーンジー、マン島、イスラエル、日本、ジャージー、ニュージーランド、大韓民国、スイス、英国(2025年12月に2031年12月まで更新)、米国(DPF認証事業者のみ)、ウルグアイ、欧州特許機構(2025年7月)である。これらのいくつかは1995年指令の下で採択され、GDPR第45条(9)の下で引き続き効力を有している。
英国の十分性認定は更新されましたか?
はい。当初の英国の十分性認定は、2025年6月27日に失効する4年間のサンセット条項を有していた。2025年6月24日、委員会は更新評価が完了するまでの間データフローを維持するための技術的延長を採択した。2025年12月19日、委員会は英国のデータ(利用およびアクセス)法2025の評価を経て、GDPRおよびLEDに基づく英国の十分性認定の両方を、2031年12月27日までさらに6年間正式に更新した。
2024年1月の十分性認定の見直しとは何でしたか?
2024年1月15日、委員会は1995年データ保護指令の下で採択された11の十分性認定(アンドラ、アルゼンチン、カナダ、フェロー諸島、ガーンジー、マン島、イスラエル、ジャージー、ニュージーランド、スイス、ウルグアイを対象)の第1回定期見直しに関する報告書を公表した。委員会は、11件すべてが引き続き十分な保護を提供していると結論付けた。この報告書には国別の勧告が含まれ、特にアルゼンチンに対しては立法改革の完了を、カナダに対してはPIPEDA改革の進展を求めた。
ブラジルのEU十分性認定とは何ですか?
2026年1月26日、欧州委員会は実施決定(EU)2026/179を採択し、ブラジルのLGPD枠組みが十分なデータ保護を提供していると認定した。ブラジルは同時にANPD決議32を採択し、LGPDの下でEUの十分性を相互に認定した。この決定は、その広範な範囲(公共部門と民間部門の双方をカバー)と相互性において注目される。移転は、LGPDと整合する国防および国家安全保障の適用除外の対象となる。
EU-米国データプライバシーフレームワークとは何ですか、また依然として有効ですか?
2023年7月に採択されたEU-米国データプライバシーフレームワーク(DPF)は、国際貿易局を通じて自己認証を行う米国事業者のみを対象とする十分性認定である。2025年9月、欧州一般裁判所が事件T-553/23号を棄却したことで、最初の司法上の異議申立てを乗り越えた。しかし、トランプ政権によるPCLOB委員の解任やFTCの独立性に関する疑問が、DPFの長期的な安定性について不確実性を生じさせている。複数の欧州DPAは、SCCによるバックアップの取り決めを維持することを推奨している。
十分性認定が撤回された場合何が起こりますか?
十分性認定が無効化または撤回されると、データ移転の法的根拠は直ちに消滅する。保証された移行期間は存在しない。組織は、主に標準契約条項である代替の移転メカニズムを導入するか、移転を停止しなければならない。2020年のプライバシーシールドのSchrems II無効化は、これを唯一の移転メカニズムとして依拠していた5,300社を超える認証済み米国企業に影響を与えた。
十分性と標準契約条項の違いは何ですか?
十分性認定は、委員会が移転先国の法的枠組みを既に評価しているため、追加の手続なしにデータ移転を認める。標準契約条項(SCC)は、十分性を有しない国へデータを移転する際に、組織自身が移転影響評価とともに導入しなければならない契約上の保護措置である。十分性は実務上より簡素であるが安定性に欠け、SCCはより多くの管理権限を提供する一方でより多くのコンプライアンス基盤を要する。詳細は標準契約条項に関するガイドを参照されたい。
次にEU十分性認定を受ける可能性がある国はどこですか?
台湾、インド、ケニアが将来の候補として議論されている。インドの2023年デジタル個人データ保護法は候補としての新たな法的基盤を確立したが、政府アクセスに関する規定が依然として障壁となっている。台湾の強力な立法上の整合性とEUとの経済的関係は、台湾をより長期的な有力候補たらしめている。条約108+を批准し、独立監督機関を設立し、GDPRに整合した包括的な立法を制定した国が最も有利な立場にある。
Sources and References
- GDPR第45条(規則全文)(eur-lex.europa.eu).gov
- 欧州委員会:十分性認定の概要(commission.europa.eu).gov
- 欧州委員会プレスリリース:既存11十分性認定の見直し、2024年1月(ec.europa.eu).gov
- SWD(2024) 3 final:旧11十分性認定の第1回見直し報告書(commission.europa.eu).gov
- 欧州委員会プレスリリース:英国十分性認定の更新、2025年12月(ec.europa.eu).gov
- EDPB意見26/2025:英国の十分性認定について(edpb.europa.eu).gov
- 実施決定(EU)2026/179:ブラジルの十分性(eur-lex.europa.eu).gov
- 欧州委員会プレスリリース:EU・ブラジル相互十分性決定、2026年1月(ec.europa.eu).gov
- 実施決定(EU)2025/1382:欧州特許機構の十分性(eur-lex.europa.eu).gov
- COM(2024) 451 final:EU-米国DPFの第1回定期見直し(commission.europa.eu).gov
- EDPB十分性参照基準(edpb.europa.eu).gov
- 欧州評議会条約108号およびプロトコル(coe.int).gov
- EU-米国データプライバシーフレームワーク認証事業者検索(dataprivacyframework.gov).gov
- 日本十分性認定2019/419(eur-lex.europa.eu).gov
- 韓国十分性認定2022/254(eur-lex.europa.eu).gov
- 英国十分性認定2021/1772(eur-lex.europa.eu).gov
- 米国DPF十分性認定2023/1795(eur-lex.europa.eu).gov
- 委員会による日本十分性認定の第1回見直し、2023年4月(commission.europa.eu).gov