EU・米国データプライバシーフレームワーク完全ガイド(2026年版)
EU・米国データプライバシーフレームワーク(DPF)は、GDPR第45条に基づき欧州委員会が2023年7月10日に採択した十分性認定であり、米国商務省を通じて自己認証を行った米国の組織へのEUから米国への個人データの適法な移転を認めるものである。
EU・米国データプライバシーフレームワーク(DPF)は、欧州連合と米国が大西洋を越えた個人データ移転のための安定的な法的枠組みを構築しようとする3度目の試みである。その前身であるセーフハーバーおよびプライバシーシールドは、いずれも欧州連合司法裁判所(CJEU)によって無効とされた。これらの枠組みがなぜ失効したのか、DPFはその失敗にどう対応する形で設計されたのか、そして現在どのような課題がDPFを脅かしているのかを理解することは、EUと米国の間で個人データを移転するすべての組織にとって不可欠である。
本ガイドでは、その全体的な沿革、DPFの仕組み、新たな救済制度、2024年の第一回定期レビュー、Latombe訴訟とCJEUへの控訴の現状、PCLOBの危機、そして企業が今取るべき実務上の対応まで取り上げる。
クイックアンサー
EU・米国データプライバシーフレームワークは、現在も有効な法である。欧州委員会が2023年7月に採択した十分性認定は現在も維持されている。EU一般裁判所は2025年9月にこれを支持しており、DPFは依然としてEUから米国への個人データ移転にとって最も利用しやすい法的根拠である。しかし、CJEUへの控訴(事件番号C-703/25 P)は係属中であり、DPFの情報活動に関するセーフガードを審査する監督機関(PCLOB)は法的な機能停止の状態にあり、FISA第702条は連邦議会が更新を協議する中で短期延長によって運用されている。DPFのみに依拠している組織は、標準契約条項をバックアップとして維持しておくべきである。
セーフハーバーからプライバシーシールド、そしてDPFへ
現在のフレームワークに至る道のりは、20年以上にわたり、CJEUによる2つの画期的な判決を経てきた。
セーフハーバー(2000年から2015年)
セーフハーバーの枠組みは、EUと米国のデータ保護に対するアプローチの根本的な違いを架橋するため、2000年に採用された。米国企業は、EUの基準に沿った一連のプライバシー原則を満たしていることを自ら認証することができた。約4,500社が参加していた。
2015年10月、CJEUはSchrems I判決(事件番号C-362/14)においてセーフハーバーを無効とした。オーストリアのプライバシー擁護活動家であるマックス・シュレムス氏は、フェイスブック・アイルランドのデータ移転に異議を唱え、エドワード・スノーデン氏によるNSAの大規模監視プログラムに関する暴露が、米国が十分な保護を提供していないことを示していると主張した。裁判所はこれを認め、セーフハーバーは米国政府によるEU個人データへのアクセスを十分に制限しておらず、EU居住者に対する実効的な司法救済も提供していないと判断した。
プライバシーシールド(2016年から2020年)
EU・米国プライバシーシールドは、2016年8月にセーフハーバーに代わって導入された。より強力なプライバシー原則、FTC(連邦取引委員会)による監督の強化、そして情報活動に関するEU側の苦情を処理する国務省オンブズパーソン制度が盛り込まれた。5,300社を超える米国企業が認証を受けた。
2020年7月、CJEUはSchrems II判決(事件番号C-311/18)においてプライバシーシールドを無効とした。特に外国情報監視法(FISA)第702条や大統領令12333号に基づく米国の監視プログラムは、EU法上「厳密に必要」とされる範囲を超える一括的なデータ収集を許容していた。オンブズパーソンは十分な独立性を有しておらず、情報機関に対する拘束力も持っていなかった。
DPFに至る交渉(2020年から2023年)
Schrems II判決後、組織は主に標準契約条項と移転影響評価(Transfer Impact Assessment)を組み合わせて利用するようになった。EUと米国の交渉はほぼ即座に開始された。
2022年3月、バイデン大統領とフォンデアライエン欧州委員会委員長は原則合意を発表した。2022年10月7日、バイデン大統領は大統領令14086号(「米国のシグナルズ・インテリジェンス活動に関するセーフガードの強化について」)に署名し、新たなフレームワークに必要な実体的な法的変更を実現した。
欧州委員会は2022年12月に十分性認定の草案を公表した。EDPBは2023年2月に意見を発出し、改善点を認めつつも懸念を示した。最終的な十分性認定は2023年7月10日に採択された。
DPFの仕組み
DPFは、米国企業による自己認証と、情報活動に関する米国政府の拘束力ある約束という、2つの補完的な要素から成り立っている。
認証手続
米国企業は、商務省の国際貿易庁(ITA)を通じて自己認証を行うことでDPFに参加する。認証は任意であるが、一度行うと法的な拘束力を持つ義務が発生する。
認証を受けるためには、組織は次のことを行わなければならない。
- FTCまたは運輸省(DOT)の執行管轄下にあることを確認する
- DPF原則に適合するプライバシーポリシーを策定する
- 個人からの苦情を処理する独立した救済機関を指定する
- 年間収益に応じた所定の年会費を支払う
- データプライバシーフレームワークのウェブサイトを通じて認証を提出する
2026年時点で2,800を超える組織が有効な認証を保持している。ITAは認証済み組織の一覧を公開しており、EUのデータ輸出者はデータを移転する前にこれを確認すべきである。
DPF原則
認証を受けた組織は、GDPRの中核的な考え方を反映したプライバシー原則を遵守しなければならない。
- **通知:**データの収集目的、取扱い方法、権利について本人に知らせること
- **選択:**実質的に異なる利用または第三者への開示についてオプトアウトできるようにすること
- **再移転に対する説明責任:**第三者と共有するデータについて、同等の保護を求める契約を通じて保護すること
- **セキュリティ:**滅失、不正利用、不正アクセスに対する合理的かつ適切な対策を実施すること
- **データの完全性と目的の限定:**個人データを明示された目的に関連する範囲に限定すること
- **アクセス:**個人が自己の個人データにアクセスし、訂正し、削除できるようにすること
- **救済、執行、責任:**堅固なコンプライアンス体制と救済手段を維持すること
執行
FTCが主たる執行機関である。DPFの約束を履行しない企業は、不公正または欺瞞的な取引慣行を禁止するFTC法第5条に基づく執行の対象となる。商務省はコンプライアンス状況を監視し、抜き打ち検査を実施し、不遵守の組織を認証リストから除外することができる。
大統領令14086号:法的基盤
大統領令14086号は、Schrems II判決でCJEUが指摘した2つの欠陥、すなわち米国の情報収集に比例性の制約がないことと、独立した救済制度が存在しないことに直接対応するものである。
情報収集に対する制限
同大統領令は、シグナルズ・インテリジェンスの収集をテロ対策、防諜、重要インフラの保護などを含む12の定義された国家安全保障上の目的に限定している。米国の大統領令として初めて、「比例性」が拘束力のある制約として明記された。活動は、確認された情報優先事項に対して比例的でなければならず、米国市民に限らずすべての人々のプライバシーへの影響と当該優先事項とを比較衡量しなければならない。
プライバシーおよび市民的自由に関する要件
各情報機関は、これらのセーフガードを反映するよう自らの方針を更新しなければならない。プライバシー・市民的自由監督委員会(PCLOB)には中心的な役割が与えられており、各機関の手続の遵守状況を審査し、DPRC判事の任命について助言し、救済機関が苦情をどのように処理しているかについて年次レビューを実施する。
脆弱性:大統領令であるという性質
大統領令14086号は制定法ではなく大統領令であるため、いかなる大統領も議会の承認なしにこれを変更または撤回することができる。この構造的な脆弱性は、プライバシー擁護団体やEDPBから一貫して指摘されてきた。2025年にトランプ政権がPCLOBに対して取った対応は、行政府に属するフレームワークの構成要素がいかに容易に政治的な混乱にさらされ得るかを示すものであった。
データ保護審査裁判所
DPFにおける最も重要な革新は、大統領令14086号により設立され、司法長官規則によって具体化されたデータ保護審査裁判所(DPRC)である。
DPRCの仕組み
自己のデータが米国の情報機関によって違法に収集されたと考えるEU域内の個人は、自国のデータ保護機関に苦情を申し立てる。当該機関は、その苦情を国家情報長官室の米国市民的自由保護官(CLPO)に転送し、CLPOが初期調査を行う。
申立人が結果に不満を持つ場合、DPRCに上訴することができる。同裁判所は、米国政府外から司法長官が任命し、適切なセキュリティクリアランスを保有する判事によって構成される。機密性のある手続のため申立人本人が直接参加することはできず、その利益を代弁する特別弁護人が選任される。DPRCは情報機関に対して拘束力のある権限を有しており、これがプライバシーシールドのオンブズパーソン制度からの主要な構造的改善点である。
Latombe事件においてEU一般裁判所が示した判断
事件番号T-553/23がEU一般裁判所に係属した際、Latombe氏の中心的な主張の一つは、DPRCが十分に独立した審判機関ではないというものであった。EU一般裁判所は2025年9月3日の判決においてこの主張を退け、DPRCの構成、監督の仕組み、拘束力のある権限がEU法の求める基準を満たしていると判断した。同裁判所はまた、米国法が一括的なデータ収集を十分に制限していること、およびデータセキュリティと自動化された意思決定に関する保護が実質的にEUの基準と同等であることも認定した。
続く批判
マックス・シュレムス氏が率いるNOYBをはじめとするプライバシー擁護団体は、DPRCがCJEUの求める実効的な司法保護の基準を満たしていないと主張し続けている。申立人は、審査が完了した旨の一般的な確認しか受け取れず、結果についての実質的な説明を受けられないためである。手続の機密性は、修正可能な運用上の欠陥ではなく、構造上の特徴である。
英国拡張とスイス・米国DPF
DPFは、英国やスイスとのデータ移転を自動的にはカバーしない。それぞれ別個の十分性認定プロセスが必要であった。
英国・米国データブリッジ(英国拡張)
英国は2023年10月、DPFの英国拡張、通称「英国・米国データブリッジ」を設けた。有効なDPF認証を保有する米国企業は、同じITAのポータルを通じて英国データの移転をカバーする対象にオプトインすることができる。英国拡張は、ブレグジット後の英国独自のデータ保護体制を反映し、EUのGDPRではなく英国版GDPRのもとで運用される。この拡張には、英国とEUのデータ保護法の違いに対応するための独自の補足規則が定められている。
スイス・米国データプライバシーフレームワーク
スイスは別の道を歩んだ。2024年8月14日、スイス連邦参事会は、DPF認証を受けた米国企業が提供するデータ保護の十分性を承認した。この決定は2024年9月15日に発効した。スイス連邦参事会の報道発表は、米国がスイスの十分性認定国リストに追加されたことを確認しており、その対象はDPF認証済みの組織に限定される。米国企業は、ITAのポータルを通じてDPF認証をスイスとの移転にも拡張することができる。
スイス・米国DPFも、EU・米国版と同様に大統領令14086号に由来する脆弱性を抱えている。スイスのプライバシー擁護団体は、2025年のPCLOBの機能停止が、スイスの十分性評価が前提としていた監督の仕組みに不確実性をもたらしていると指摘している。
第一回定期レビュー(2024年10月)
GDPR第45条第3項は、欧州委員会に対して十分性認定を定期的に見直すことを義務付けている。DPFの第一回レビューは2024年10月に実施された。
欧州委員会の所見
欧州委員会の第一回レビュー報告書は、DPFが引き続き十分な水準の保護を確保していると結論付けた。米国の各機関は大統領令14086号を実施しており、DPRCは稼働しており、商務省は認証済み組織を積極的に監視していた。
欧州委員会は一つの重大な懸念を指摘した。レビュー対象期間の多くにおいて、PCLOBが定足数を欠いていたことである。欧州委員会は、PCLOBを完全な稼働状態に回復させることが、本フレームワークの継続的な機能にとって重要であると述べた。
EDPBの所見
EDPBの第一回レビュー報告書は改善点を認めつつも、DPRCが苦情をどのように処理しているかについて一層の透明性を求め、米国の情報機関が比例性の基準を実務上どのように適用しているかについて、さらなる明確化を求めた。
法的異議申立てとリスク
Latombe事件:T-553/23と係属中のCJEU控訴C-703/25 P
フランス国民議会議員のフィリップ・ラトンブ氏は、欧州委員会の十分性認定の取消しを求めてEU一般裁判所に訴訟を提起した。これはDPFに対する初の直接的な司法上の異議申立てであった。
2025年9月3日、EU一般裁判所は当該訴えを棄却した。同裁判所は、DPRCが十分に独立し公平であること、米国法が一括的なデータ収集を適切に制限していること、そしてデータセキュリティおよび自動化された意思決定に関する米国の保護がEU法と実質的に同等であることを認定した。
ラトンブ氏は2025年10月31日に控訴した。この事件は欧州司法裁判所において事件番号C-703/25 Pとして登録された。CJEUへの控訴は法律問題に限定される。2026年5月時点で審理期日は公表されていない。仮にCJEUがDPFに不利な本案判決を下せば、大西洋間データ移転の枠組みが3回連続で無効とされることになる。
NOYBと「Schrems III」の脅威
NOYBはDPFに対する独自の異議申立てをまだ提起していないが、一貫して批判を続けている。主な主張は、本フレームワークが制定法ではなく大統領令に基づいていること、DPRCが申立人に対して透明性を提供していないこと、そしてFISA第702条が根本的には改正されていないことである。NOYBは、Latombe事件の控訴審とPCLOBの動向を注視し、別途の訴訟を提起する契機となり得る事象を見極めようとしている。
PCLOBの危機
PCLOBの機能停止は、DPFの基盤となるセーフガードにとって最も差し迫った運用上のリスクである。
2025年1月27日、トランプ大統領は、PCLOBの5名の委員のうち民主党系の3名を、理由を示さない一文のメールにより解任した。これにより同委員会の定足数が失われた。解任された委員のうち2名、エドワード・フェルテン氏とトラビス・ルブラン氏は連邦裁判所に提訴した。2025年5月21日、地方裁判所は解任を違法と判断し、復職を命じた。
トランプ政権はこれを不服として控訴した。2025年7月1日、DC巡回区控訴裁判所は控訴審の結論が出るまで復職命令の執行を停止し、その後、本件は連邦最高裁によるTrump v. Slaughter事件(事件番号25-332)の判決を待つ形で審理が保留された。同事件は、独立監督委員会の委員を解任する大統領権限の憲法上の限界を判断するものである。この論点が解決するまで、PCLOBは完全な機能を果たすことができない。
DPFに対する実務上の影響は次のとおりである。PCLOBは、大統領令14086号自体が求める年次の遵守状況レビューを実施できず、DPRC判事の任命に関する助言機能も停止しており、EDPBと欧州委員会の双方が、本フレームワークの継続的な十分性評価に対する懸念として、PCLOBの機能不全を指摘している。
FISA第702条
FISA第702条は、米国外にいる非米国人に対する対外情報の収集を認めるものである。2024年4月に成立した2年間の再授権(諜報改革・米国安全保障法、RISAA)は、2026年4月に失効した。連邦議会は45日間の短期延長を可決し、より長期的な再授権をめぐる議論が続く中、FISA第702条は2026年6月中旬まで運用が継続されている。
RISAAによる「電子通信サービス提供者」の定義の拡大は、監視義務の対象となる企業の範囲を広げるものであるとして、欧州のプライバシー擁護団体から批判を受けた。2026年の再授権をめぐる議論の結果は、DPFの十分性の条件が引き続き満たされているかどうかを評価する上で、欧州委員会とEDPBが注視することになる。
DPFが失効した場合:SCCという代替手段
セーフハーバーとプライバシーシールドの両方が無効とされてきた経緯を踏まえると、組織はコンティンジェンシープランを維持しておくべきである。
標準契約条項(SCC)が主たる代替手段である。SCCは、GDPR第46条に基づき欧州委員会が承認した標準的な契約条項である。これは米国のデータ輸入者にEU同等の保護を課す拘束力を持ち、データ主体にはデータ輸入者に対して直接執行可能な契約上の権利を付与する。
SCCを使用したからといって、EUから米国への移転が自動的に適法になるわけではない。輸出者は、米国の法令および運用実務のもとで輸入者が実際にSCCを遵守できるかどうかを評価する移転影響評価(TIA)も実施しなければならない。Schrems II判決後、多くの組織がTIAの手法を確立しており、その大半は現在も有効であり、DPFが失効した場合には更新することができる。
第46条に基づくその他の移転の仕組みには、グループ内移転のための拘束的企業準則(BCR)、承認された行動規範、そして限定的な第49条の例外(同意、契約履行、公共の利益にとって重要な理由)がある。例外規定は、日常的な移転根拠としては適さない。
SCCをDPFへの依拠と並行して維持していた組織は、仮にDPFが無効とされた場合でも、最小限の混乱で移転を継続することができる。DPFのみに依拠していた組織は、Schrems II判決後の数週間にSCC追補条項の締結に奔走した多くの組織が証言できるとおり、より大きな移行上の混乱に直面することになる。
DPFとプライバシーシールドの違い
**情報収集の制限:**プライバシーシールドは、大統領方針指令28号(PPD-28)に依拠しており、これは一括収集を「実行可能な限り絞り込む」ことを求めていた。CJEUはこれを過度に緩やかであると判断した。大統領令14086号はこれに代え、拘束力のある比例性の要件と12の限定列挙された許容目的を定めている。
**救済制度:**プライバシーシールドの国務省オンブズパーソンは、行政府からの独立性を欠いており、拘束力も有していなかった。DPRCは構造上より独立しており(政府外から任命される判事)、その決定は情報機関を拘束する。
**監督:**PCLOBの役割は、大統領令14086号のもとで具体的なレビューおよび報告義務とともに明示的に定められている。ただし、2025年の事態が示したとおり、行政府に属する監督の構成要素は、政治的な混乱にさらされやすい。
組織のための実務上の指針
EUデータを受け取る米国企業向け
自社がFTCまたはDOTの管轄下にあることを確認する。dataprivacyframework.govを通じて自己認証を完了または更新する。すべてのDPF原則を反映するよう公開プライバシーポリシーを更新する。独立した紛争解決機関を指定する。データアクセス請求や苦情に対応するための社内手続を整備する。認証は毎年更新する。認証が失効すると、その空白期間中に受け取ったデータの移転根拠が失われる。
英国データも受け取る場合は、ITAのポータルを通じて英国拡張にオプトインする。スイスデータを受け取る場合は、スイス・米国DPF拡張にオプトインする。
データを移転するEUの組織向け
いかなる移転を行う前にも、公式の参加者リストで受領者が有効なDPF認証を保有していることを確認する。認証状況は変わり得るため、重要な新規データフローを開始する前に随時確認する。GDPR第30条に基づく処理活動の記録において、十分性認定を法的根拠として文書化する。
受領者の年次更新日を監視する。認証が失効した場合、新たな移転についてはもはや十分性の根拠は適用されない。
コンティンジェンシープランニング
これまでに無効とされてきたフレームワークの経緯と、事件番号C-703/25 PでのCJEUへの控訴が係属中であることを踏まえ、慎重な組織は次のことを行うべきである。
- 大量または機微なデータフローについては、DPF認証と並行してSCCを締結しておく
- DPFが無効とされた場合に発動できる移転影響評価を維持しておく
- どのデータフローがDPFに依拠しているか、それぞれがSCCのもとでどのようにカバーされるかを示す移行計画を文書化しておく
- 事件番号C-703/25 PにおけるCJEUの動向、およびTrump v. Slaughter事件における連邦最高裁の判決を注視する
これは一般的な法的情報であり、法的助言ではない。国境を越えたデータ移転を扱う組織は、自らの状況に応じた助言について資格を有する弁護士に相談すべきである。
Frequently Asked Questions
EU・米国データプライバシーフレームワークとは何ですか。
EU・米国データプライバシーフレームワーク(DPF)は、欧州連合から認証を受けた米国の組織へ個人データを移転できるようにする法的な仕組みです。欧州委員会は2023年7月10日にこの十分性認定を採択しました。これは、CJEUが2020年に無効とした旧プライバシーシールドの枠組みに代わるものです。DPFは、米国企業による任意の自己認証と、EUの個人データへの情報機関のアクセスを制限し、データ保護審査裁判所を通じて独立した救済を提供するという米国政府の拘束力ある約束とを組み合わせています。
DPFは裁判で異議を申し立てられたことがありますか。
はい。フランスの国会議員であるフィリップ・ラトンブ氏が、欧州委員会の十分性認定に対しEU一般裁判所(事件番号T-553/23)で異議を申し立てました。EU一般裁判所は2025年9月3日にこの訴えを棄却し、DPFの有効性を支持しました。ラトンブ氏は2025年10月31日、欧州司法裁判所へ控訴しました(事件番号C-703/25 P)。この控訴は2026年5月時点で係属中です。仮にCJEUがDPFに不利な判決を下せば、これまでの前身の枠組みを無効としてきた同裁判所の経緯を踏まえると、本フレームワークにとって最も深刻な脅威となります。
データ保護審査裁判所とは何ですか。
データ保護審査裁判所(DPRC)は、大統領令14086号によって設立された独立機関であり、自己のデータが米国の情報機関によって違法に収集されたと考えるEU域内の個人からの苦情を審査します。その判事は米国政府外から任命され、その決定は情報機関を拘束します。DPRCは、CJEUが独立性が不十分であると判断したプライバシーシールドの国務省オンブズパーソン制度に代わるものです。EU一般裁判所は2025年9月、DPRCの独立性と公平性を支持しました。
PCLOBに何が起きたのですか。
2025年1月27日、トランプ大統領は、5名で構成されるプライバシー・市民的自由監督委員会のうち民主党系の3名の委員を、理由を示さない一文のメールにより解任し、これにより定足数が失われました。解任された2名の委員は提訴し、地方裁判所レベルで復職を勝ち取りました。トランプ政権はこれを控訴し、DC巡回区控訴裁判所は復職命令の執行を停止しました。本件は、連邦最高裁による*Trump v. Slaughter*事件(事件番号25-332)の判決を待つ形で審理が保留されています。定足数の問題が解決するまで、PCLOBは年次のDPF監督レビューを実施することも、DPRC判事の任命に関する助言的役割を果たすこともできません。
大統領令14086号とは何ですか。
2022年10月7日にバイデン大統領が署名した大統領令14086号は、DPFの法的基盤です。米国のシグナルズ・インテリジェンスの収集を12の定義された国家安全保障上の目的に限定し、監視活動に対する比例性の要件(米国の大統領令として初めて導入されたもの)を課し、データ保護審査裁判所を設置しています。これは制定法ではなく大統領令であるため、以後のいかなる大統領も議会の承認なしにこれを変更または撤回することができ、これがDPFに対する根強い構造的批判となっています。
DPFは英国やスイスとのデータ移転もカバーしますか。
自動的にはカバーしません。英国は2023年10月、DPFの拡張として別個の仕組み、通称「英国・米国データブリッジ」を設けました。スイスは2024年8月14日、DPF認証を受けた米国企業の十分性を承認し、当該十分性認定は2024年9月15日に発効しました。有効なDPF認証を保有する米国企業は、同じITAポータルを通じて英国およびスイスとの移転をカバーする対象にオプトインすることができます。
DPFが無効とされた場合のSCCという代替手段とは何ですか。
標準契約条項(SCC)は、GDPR第46条に基づく主たる代替移転の仕組みです。これは欧州委員会が承認した標準的な契約条項であり、米国のデータ輸入者にEU同等の保護を課す拘束力を持ちます。SCCを使用する組織は、移転影響評価も実施しなければなりません。既にSCCを整備している組織は、DPFが無効とされた直後もEUから米国へのデータの流れを継続することができますが、DPFのみに依拠していた組織は、より混乱の大きい移行に直面することになります。
FISA第702条の現在の状況はどうなっていますか。
外国情報監視法(FISA)第702条は、米国外にいる非米国人に対する対外情報の収集を認めるものです。2024年4月の2年間の再授権は2026年4月に失効しました。連邦議会は45日間の短期延長を可決し、より長期的な再授権の議論が続く中、FISA第702条は2026年6月中旬まで運用が継続されています。この結果はDPFにとって重要です。第702条はSchrems II判決で指摘された米国の監視権限の一つであり、欧州の規制当局はその範囲を注視しているためです。
米国企業はどのようにDPFの認証を受けますか。
企業は、dataprivacyframework.govの国際貿易庁を通じて申請を提出することで認証を受けます。企業はFTCまたはDOTの執行管轄下にあること、DPFに適合するプライバシーポリシーを策定すること、独立した紛争解決の仕組みを指定すること、そして年会費を支払うことが求められます。認証は毎年更新しなければなりません。2026年時点で2,800を超える組織が有効な認証を保持しています。
Sources and References
- 欧州委員会:EU・米国データ移転(commission.europa.eu).gov
- 欧州委員会:十分性認定に関する報道発表(ec.europa.eu).gov
- 大統領令14086号(whitehouse.gov).gov
- データプライバシーフレームワーク・プログラム(dataprivacyframework.gov).gov
- DPF原則(dataprivacyframework.gov).gov
- データ保護審査裁判所(justice.gov).gov
- DPRCに関する司法長官規則(justice.gov).gov
- DPFに関するEDPB意見5/2023(edpb.europa.eu).gov
- 欧州委員会:DPF第一回レビュー報告書(commission.europa.eu).gov
- EDPB:DPF第一回レビュー報告書(edpb.europa.eu).gov
- EU一般裁判所報道発表:事件T-553/23 Latombe(curia.europa.eu).gov
- EUR-Lex:事件C-703/25 P Latombe控訴(eur-lex.europa.eu).gov
- NOYBによるDPF分析(noyb.eu)
- スイス連邦参事会:スイス・米国DPF十分性認定(admin.ch).gov
- DPFスイス版概要(dataprivacyframework.gov).gov
- 英国・米国データブリッジ(gov.uk).gov
- セーフハーバー概要(trade.gov).gov
- FTCによるプライバシーシールド関連事件(ftc.gov).gov
- ブレナン・センター:PCLOB LeBlanc事件(brennancenter.org)
- FISA第702条2026年版資料ページ(brennancenter.org)
- EDPB:企業向けDPF FAQ v2.0(edpb.europa.eu).gov