EU個人データ保護規則案が可決された
EU個人データ保護規則案が、可決された。
さっそく欧州議会サイトに、次のニュースリリースが掲載されている。
“Civil Liberties MEPs pave the way for stronger data protection in the EU”
このニュースリリースには、次のような概要が冒頭に記されている(筆者が取り敢えず短時間で仮訳したものであり、不十分な箇所があればご指摘願いたい)。
「現行のEUデータ保護ルールを大幅に見直すことは、人々が自己の個人データをコントロールの下に置くとともに、企業が欧州全域でデータを移動させることを容易にするものであり、月曜日に人権委員会によって選ばれた。マス・サーベイランスのケースに対処するために、欧州議会議員は、EU域外諸国へのデータ移転について、より強化された安全措置を新設した。彼らはまた、明示的な同意の要件、消去する権利、およびルールに違反した企業に対する罰金額の増額を新たに設けた。」
このうち前半の点について、このニュースリリースで、データ保護規則法制化に関する報告者のジャン・フィリップ・アルブレヒト氏は、投票後に、次のようにコメントしている。
「今夜の投票は、デジタル時代における課題への対応を確実化するという点で、欧州のデータ保護規則にとって画期的なものである。この制定法は、データ保護に関するEU規則に架橋しようとするものであり、現行における(EU域内の)各国内法のパッチワークに置き換わるものである」。
ところで、1995年のEUデータ保護指令が現行では有効であるが、これは国内法としての効力を有しておらず、EU加盟国は、それぞれデータ保護指令に基づいて国内法を整備してきた。
しかし、EU加盟各国の国内法の間には「ばらつき」があるのも事実である。これが上記にいう「各国内法のパッチワーク」という言葉の意味である。こうした「ばらつき」が、企業が欧州全域でデータを移動させることを困難にしてきたという指摘は多く、解決策が検討されてきた。ちなみに、こうした「ばらつき」問題はEU域内諸国間だけで生じている問題ではない。国際的に生じていることはもとより、合衆国では各州法の内容に「ばらつき」が、我が国では各地方公共団体の個人情報保護条例の間における「ばらつき」が問題とされてきた。法律レベルではないが、省庁ガイドラインの「ばらつき」も問題なしとしない。
いずれにしても、こうした「ばらつき」が、EU加盟各国の間におけるデータ移転を困難にしていることは否定できない事実である。EU個人データ保護規則案は、データ保護指令に置き換わるべき性格のものであるが、データ保護指令と異なり、EU個人データ保護規則案は、国内法化することなく、そのまま直接適用される。これによって「ばらつき」が解消される。これが、「上記の企業が欧州全域でデータを移動させることを容易にするもの」という意味である。
アルブレヒト氏は、次のように付け加えている。欧州議会には、欧州の各政府と協議を開始するために、現在、明確な権限がある。これを受け容れ、協議を開始するというボールは、現在、各EU加盟国政府の手の内にあり、そのため、我々は市民の関心に応えて、EUのデータ保護ルールの緊急に要するアップデートを届けることが可能であると。
ここで注意すべきなのは、指令の規則化は、ルールの統一化という点によって、域内データ移転の容易化をもたらすという意味で、域内の企業にとってもプラスになるということ、その一方で、各個人にとっても、状況の変化に迅速に対応できるという利点を有しているということである。これらの点は、我が国における各地方公共団体の条例間やガイドライン間における「ばらつき」への今後の対応に示唆を与えるものである。
EU域外諸国へのデータ移転については、第三国(EU域外諸国)が企業(例えば検索エンジン、ソーシャルネットワークまたはクラウドプロバイダ)に対して、EUで処理される個人情報の公表を求める場合には、当該企業は、どんなデータであっても、移転する前に、当該国のデータ保護期間に対して承認を求めなければならないものとしている。当該企業はまた、そうした求めがあったことを、当該データのコピーを有する者に対し知らせなければならない。この提案は、「2013年6月にメディアが明らかにした大規模な監視活動への反応」とされている。これはエドワードスノーデンのリーク事件のことを指しているものと思われる。
EU域外諸国へのデータ移転については、第三国(EU域外諸国)が企業(例えば検索エンジン、ソーシャルネットワークまたはクラウドプロバイダ)に対して、EUで処理される個人情報の公表を求める場合には、当該企業は、どんなデータであっても、移転する前に、当該国のデータ保護期間に対して承認を求めなければならないものとしている。当該企業はまた、そうした求めがあったことを、当該データのコピーを有する者に対し知らせなければならない。この提案は、「2013年6月にメディアが明らかにした大規模な監視活動への反応」とされている。これはエドワードスノーデンのリーク事件のことを指しているものと思われる。
後半のうち、最も興味深いのが、「消去する権利」(right to erasure)である。
これは、インターネット企業のようにデータを扱う者に対し、本人が求めたときは、自己の個人データを消去する権利を有するというものである。これを強化するため、本人からデータ消去の求めを受けた企業は、当該データを複製した他の者に対して、当該求めがあったことを通知しなければならないとされている。
これは、インターネット企業のようにデータを扱う者に対し、本人が求めたときは、自己の個人データを消去する権利を有するというものである。これを強化するため、本人からデータ消去の求めを受けた企業は、当該データを複製した他の者に対して、当該求めがあったことを通知しなければならないとされている。
保護規則案の検討過程では、「忘れてもらう権利」(right to be forgotten)が提案されていたが、この「消去する権利」は、「忘れてもらう権利」をカバーするものとされている。「忘れてもらう権利」に対して、これまで非現実的である等の批判が強かった。今回、「消去する権利」が認められたことは、やはりリーク事件の影響と見るのが自然であろうか。
違反に対する制裁の強化については、規則を破った企業は1億ユーロと、世界的な年間売上高の最大5%のうち、いずれか大きい方を上限とする罰金に直面することになる。罰金といっても日本法でいう課徴金のようなものである。「明示的な同意の要件」については、機会があれば別途解説したい。
付け加えておくと、今回の「可決」で完全に成立したというわけではない。前述のとおり、これからEU加盟諸国の各政府との協議が待ち受けている。したがって、我々としては、今後の行方を、まだこれからも注視していなければならない。
《参考》
“Civil Liberties MEPs pave the way for stronger data protection in the EU”
| 固定リンク
「情報ネットワーク法」カテゴリの記事
- 番号法の成立と今後の課題(2013.12.20)
- EU個人データ保護規則案が可決された(2013.10.23)
- 新刊予告「インターネットの法律問題-理論と実務-」(2013.08.20)
- 合衆国の連邦政府における個人情報保護法制に関するメモ(2013.08.13)
- 東京地判平成25年7月19日(エンジン写真事件)の解説2 (完)(2013.08.09)
「個人情報保護・セキュリティ」カテゴリの記事
- 個人情報保護法改正と情報公開法制(2014.04.23)
- 個人情報保護法23条の識別性判断基準と省庁指針(2014.03.24)
- 個人情報保護条例と個人識別性概念(2014.03.18)
- 『パーソナルデータの利活用に関する制度見直し方針』への期待(2013.12.24)
- 番号法の成立と今後の課題(2013.12.20)
コメント