2015年6月18日掲載 法制度 InfoCom Law Report

閣僚理事会によるEUデータ保護規則案の承認と今後の予定



1.はじめに

欧州閣僚理事会は、2015年6月15日に内相・法相会議を開催し、欧州データ保護規則案を承認したことを明らかにした(※1)。今後は、欧州委員会、欧州議会、閣僚理事会による3者対話が開始され、年内の欧州議会と閣僚理事会の共同採択を目指して最終的な調整が進められることとなる。本記事ではこの点について、これまでのタイムラインと今後の動き、現在の議論内容について簡単に紹介をする。

2.EUデータ保護規則案のタイムライン

EUデータ保護規則案のこれまで、及び今後のタイムラインは以下のとおり。

  • 欧州委員会は一般データ保護規則案を提案 【2012年1月25日】
  • 欧州議会の市民的自由・司法・内務委員会(LIBE委員会)が修正案を可決。【2013年10月21日】
  • 欧州議会が修正案を可決。【2014年3月12日】
  • 閣僚理事会において規則修正案を承認。【2015年6月15日】
  • 欧州委員会、欧州議会、閣僚理事会の3者対話を開始【2015日6月24日~】
  • 欧州議会において可決【2015年内?】
  • EUデータ保護規則施行【2017年?(公布から2年後に施行)】

上記のとおり、欧州議会が修正案を可決した2014年3月以降、閣僚理事会にて合意がなされるまで1年以上の時間がかかったが、ようやく閣僚理事会で合意することができたことは、EUデータ保護規則の成立に向けて大きく前進したことを意味する。欧州委員会は年内の可決を目指すとして、今後も議論を進めていくと見られる。

3.規則案の合意事項

欧州委員会によるプレスリリースによると、閣僚理事会は以下の点について合意した。

一大陸、一法

  • データ保護に関して、EU全土に適用される単一の法規制を設ける。企業は28カ国それぞれの国内法ではなく、一般データ保護法に対応する。これにより企業全体で年間23億ユーロ効率化できる。さらに、新たな法は特に中小企業(SMEs)に対して便益をもたらし、お役所仕事を低減できるだろう。例えば、企業の通知義務といった不必要な管理要件は削除され、これ単独のみで年間1.3億ユーロの効率化ができる。

権利の強化と追加

    li>「忘れられる権利」は強化される(※2)。市民が自身のデータが処理されるのを望まなくなり、当該データを保有する合理的根拠がない場合には、コントローラーはその必要性を提示できない限り、データを削除しなければならない。市民はまた自身のデータがハッキングされた場合には通知される。データポータビリティの権利はユーザーが簡単にパーソナルデータをサービスプロバイダー間で移転できるようにする。

ヨーロッパの土壌にはヨーロッパ法が適用

  • EU外の企業であっても、EU内でサービスを提供する場合には、同一の法が適用される。

独立した国内データ保護機関の権限強化

  • ルールを効果的に執行することができるよう、監督機関の権限を強化し、EUデータ保護規則を侵す企業に対して罰金を課す権限を強化する。これについては、最大100万ユーロあるいは当該企業の世界での年間粗利の2%のどちらかのペナルティを課すことができる。

ワンストップショップ

  • 企業や市民に対する「ワンストップショップ」を設ける。企業は28カ国ではなく、1カ国の監督機関との交渉のみでよく、EU内でビジネスを展開する企業にとってはより簡素で安価になる。個人の場合も、もし自身のパーソナルデータが自国外で処理されていた場合であっても、自国の監督官庁と対応するだけでよい。

ただし、上記の内容で基本的な枠組みについては合意したものの、具体的な論点については各国様々な利害対立の結果修正された条文になっており、「表面上の合意」と見る声も多い。例えば、テクノロジーメディアのTechcrunchは、「欧州閣僚はデータ保護改革に反対だという点で同意した」という見出しを掲げ、「閣僚間の合意を得るために、規制の一貫性やプライバシー保護が著しく破壊された」と指摘している(※3)。

特に批判が多い論点の一つに、ワンストップショップがある。(なお、これまでのワンストップショップに関する議論については、「EUデータ保護規則案に関する議論動向~ワンストップショップメカニズムを中心に~」)を参照。)ワンストップショップは基本的には前述のとおり、1カ国の監督機関との交渉のみでよいとされているが、実際には、管轄区域が複数カ国にまたがる侵害が起こった際には、関係する国の監督機関に相談することとし、場合によっては主管国の監督機関の判断に意見できることと修正されたことで、「ワンストップショップ」の理念が台無しになったとの指摘もある(※4)。

その他にも、デジタル権利組織のNGOであるAccessNowは、「適法な取扱い」を定める第6条4項について、「閣僚理事会のテキストは企業が市民のパーソナルデータを市民の認識なく継続的に収集、利用できることを可能とする」として、「閣僚理事会のテキストは数多くの抜け穴ができており、欧州基本権憲章(EU Charter of Fundamental Rights)との整合性もとれていない」と批判している(※5)。

ここで指摘されている第6条4項は、以下のとおり変更されている。

【当初規則案6.4条(※6)】個人データに追加的な処理を実施する目的が、個人データを収集した目的とは異なる場合には、その処理は、第1項(a)から(e)のうち少なくとも一つの法的根拠に基づいていなければならない。特にこのことは、一般契約の条件のあらゆる変更に適用されるものとする。
【閣僚理事会修正案6.4条(※7)】※下線が変更点。同一のコントローラーの個人データに追加的な処理を実施する目的が、個人データを収集した目的とは異なる場合には、その追加的処理は、第1項(a)から(e)のうち少なくとも一つの法的根拠に基づいていなければならない。当該コントローラーあるいはサードパーティによる正当な利益に基づいた収集時の目的と異なる同一のコントローラーによる追加的処理は、当該利益がデータ主体の利益を上回る場合には、適法である

4. まとめ

冒頭述べたとおり、欧州委員会や推進を目指す閣僚、議員は年内の成立を目指して3者対話を進めることを表明しているが、様々な論点についての批判も残っており、実際に年内に成立できるかは不透明な状況である。引き続き本法案の審議動向について注目し、その内容についても随時アップデートをしていきたい。

※1 European Commission, “Commission proposal on new data protection rules to boost EU Digital Single Market supported by Justice Ministers” (2015/6/15)
http://europa.eu/rapid/press-release_IP-15-5176_en.htm

※2 「忘れられる権利」は2012年の規則案では、「第17条 忘れられる権利および消去権」として提案されていたが、その後の欧州議会修正案において「忘れられる権利」の文言が削除され、「消去権」となった。しかし、今回の閣僚理事会の修正規則案において再び「忘れられる権利」の文言が追加され、「第17条 消去権と忘れられる権利」となっている。

※3 TechCrunch, “European Ministers Agree To Disagree On Data Protection Reform,” (2015/6/15)
http://techcrunch.com/2015/06/15/european-ministers-agree-to-disagree-on-data-protection-reform/

※4 The Register, “EU steps (marginally, tentatively) towards new data protection law,” (2015/6/15)
http://www.theregister.co.uk/2015/06/15/eu_set_to_agree_on_new_data_protection_law/?mt=1434430483917

※5 Access, “As Privacy Regulation moves to trialogue, Access warns of dangerous loopholes in Council text,” (2015/6/15)
https://accessnow.createsend.com/t/ViewEmail/d/7C297542B948EB95/C67FD2F38AC4859C/?previewAll=1

※6 総務省、「「個人データ保護規則」案 仮訳」
http://www.soumu.go.jp/main_content/000196316.pdf

※7 Council of the European Union, “General Data Protection Regulation”
http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf

関連キーワード

会員限定レポートの閲覧や、InfoComニューズレターの最新のレポート等を受け取れます。

ICR|株式会社情報通信総合研究所 情報通信総合研究所は情報通信のシンクタンクです。
ページの先頭へ戻る
FOLLOW US
FacebookTwitterRSS