１．はじめに

EUデータ保護規則案については、2014年3月に欧州議会において修正案が可決されて以降、閣僚理事会の司法内務理事会において2015年内の制定に向けて、現在検討が進められているところである。最新の検討状況としては、昨年末の12月4日～5日に司法内務理事会が開催されたが、その後のニュース記事等において、特にワンストップショップメカニズムに関して議論が紛糾したことが注目された。本稿では、このワンストップショップメカニズムを中心に、EUデータ保護規則案の最新の議論動向について紹介する。

２．12月の閣僚理事会司法内務理事会での検討結果

EUデータ保護規則案についての検討については、12月4日～5日に閣僚理事会の司法内部理事会が開催され、その中で要検討となっていた論点について検討された。本理事会では、行政組織に対する適用規定等を含め何点か合意できた論点もあり、その点については司法内務理事会議長のアンドレア・オランドイタリア司法大臣も、「本日の検討において、重要で政治的にセンシティブな2つの論点について合意することができ、データ保護改革に関するグローバルな合意に向け、大きく前進をすることができた」と公表しているところである（※1）。

しかしながら、欧州メディアの多くは本理事会での検討結果について、「ワンストップショップメカニズムは未だ合意できず」といった内容の見出し記事を公表する等、議論が紛糾したことに注目していた（※2）。この点については、オランドイタリア司法大臣も上述のリリースにおいて、ワンストップショップメカニズムについては本理事会でも合意に至らず、「更なる技術的な検討を翌月以降に実施する必要がある」とコメントしており、合意までにはまだ様々な調整が残っていることが伺える。

本記事では、そもそもワンストップショップメカニズムとは何なのか。そしてなぜワンストップショップメカニズムについてEU各国は合意できていないのかについて、以下欧州での議論状況と合わせて紹介する。

３．ワンストップショップメカニズムの概要と論点（※3）

ワンストップショップメカニズムとは、１国のデータ保護機関から承認を得れば他国の当局からの承認は不要となる制度のことである。現在の制度上では明確な規定がないため、多国籍企業がEU域内でビジネスを展開するにあたっては、サービスを提供するEU各国から承認等を得て、ビジネスを行っている。しかし、複数の国においてこれら各種手続き、対応を行うことに対し多くのコストや時間がかかっていたことから、これら手続きの効率化を求める声が多国籍企業を中心にでていた。

このような要望を踏まえ、EUデータ保護規則案ではこの手続きを効率化することを目的に、企業が拠点を置く国のデータ保護機関から承認を得れば、他のEU加盟国からの承認取得は不要とする制度としてワンストップショップメカニズムの導入が提案された。

具体的には、ワンストップショップメカニズムについては、EUデータ保護規則案の第54a条において以下のとおり規定されている。

１　個人データの取扱いが、欧州連合内の管理者又は取扱者の事業所が活動する状況下で行われた場合であって、管理者又は取扱者が複数の加盟国で設立された場合、あるいは、いくつかの加盟国の住民の個人データが取り扱われる場合、管理者又は取扱者の主たる事業所の監督機関は、主管機関として活動し、本規則第７章の規定に基づき、すべての加盟国における管理者又は取扱者の取扱活動を監督する責任を負う。

このワンストップショップメカニズムが現在EU各国間の争点となっている背景には、１国の承認を得れば他のEU域内での承認は不要となる場合、その主管機関となる国は一体どこになるのかという問題がある。特にこの制度の恩恵を受けると思われる米国大手IT企業の多くは、欧州での拠点場所として、アイルランドを拠点にしている。アイルランドは、他のEU加盟国の多くが20％～40％の法人税を課しているのに対し、2003年に法人税を大きく引き下げ、12.5％と相対的に低く、税制上の利点があること、さらにアイルランドは英語を話す国でもあることから、FacebookやApple、LinkedIn、Twitter、eBay、PayPal等の米国大手IT企業がアイルランドに拠点をおいている。

それゆえ、ワンストップショップメカニズムに従うと、これら全ての米国IT企業の主管機関はアイルランドのデータ保護コミッショナーとなり、アイルランドのデータ保護コミッショナーから承認を得れば、基本的には他の欧州各国から承認を得ることなく、欧州域内でビジネスすることができるようになる可能性がある。これに対し、例えばドイツは1国にその権限を与えるのではなく、欧州データ保護会議(European Data Protection Board: EDPB)にその権限を与える仕組みにすべきだと主張し、フランスは、関係する国の全てのデータ保護機関による「共同決定」にすべきだと主張し、イギリスはそもそもこの制度は非現実的だといった声があがっていた（※4）。

この点については、EUデータ保護規則案の第58a条「個別事例における一貫性」の第1項や第2項において、以下の様な条文を設けることで、1国のデータ保護機関のみで管理するのではなく、連携して対応できるようにし、最終的には第29条作業部会を改組した欧州データ保護会議(European Data Protection Board: EDPB)が最終決定を行う仕組みが条文に盛り込まれている。第58a条は下記のとおり規定する。

１　第54a条の意味するところの法的効果をもたらすことを意図した措置を講じる前に、主管機関は、他のすべての管轄機関とすべての関連情報を共有し、これらの機関に措置案を提出しなければならない。管轄の機関が3週間の期間内に、その措置への重大な意義を表明した場合、主管機関は、措置を採択してはならない。

２　管轄の機関が、主管機関の措置案への重大な意義を表明した場合、又は、主管機関が１項に定める措置案を提出しない場合、又は、第55条に基づく相互援助若しくは第56条に基づく共同実施のための義務を順守しない場合、その問題は欧州データ保護会議(EDPB)で検討されなければならない。

上記条文案をベースに現在閣僚理事会においても合意に向けた調整がなされているが、ドイツやフランスは1国だけでなく、複数国やEDPBを関与させることを主張する一方で、アイルランドやイギリス等は、最終的にはEDPBが多くに関与することになり、ワンストップショップメカニズムがほとんど機能せず、各国のデータ保護機関の判断よりも、EDPBや欧州司法裁判所の判断が最終的に重視されてしまう点を問題視し、なかなか合意点が見つからないという状況になっていた。

このような状況で議長国であるイタリアが、ワンストップショップメカニズムは最も重要な越境事例だけに適用し、その場合複数国のデータ保護機関が協力して意思決定すべきであるという代案を提案し、昨年12月に開催された司法内務理事会において審議されることとなった（※5）。しかしながら、この代替案についても、大多数の閣僚はむしろ当初のメカニズムを支持し、否決されたという結果に終わっている。

なお、ワンストップショップメカニズムの議論を中心に、存在感が高まっているアイルランドは、増大するデータ保護関連業務の対応にあたり、2015年のデータ保護コミッショナーの予算を2014年から倍増すると公表している（※6）。具体的には、組織強化費用として、アイルランドデータ保護コミッショナーの2014年度は189万ユーロだったのが、2015年度は365万ユーロの予算が計上され、専門スタッフの増員や既存のポートレーイシュにあるオフィスに加え、新たにダブリンにもオフィスを設立する予定とのことである。このような対応を見据えた中で、欧州大陸国から距離を置くアイルランドや英国等は、EUデータ保護規則によって、自国の権限が弱まることを懸念しているのである（※7）。

４．今後の予定

欧州閣僚議会が半年毎に議長国が交代されることとなっており、これまで議長国となっているイタリアの任期が2014年12月で満了となった。そして、2015年1月から2015年6月末まではラトビアが新たな議長国として、閣僚理事会における本データ保護規則案の検討を主導していくこととなる。

閣僚理事会から提示されているデータ保護規則案の今後の検討スケジュールとしては、3月12日～13日、及び6月15日～16日に開催される司法内務理事会において検討課題として設定されているところである（※8）。今後はこれら閣僚理事会での検討、承認後、欧州議会、閣僚理事会、欧州委員会の３者協議の結果、最終的な投票となる。

現在のところは、2015年内の成立を目指して調整が進められているところであるが、本規則提案の推進者で欧州議会市民的自由・司法・内務委員会(LIBE委員会)の副議長でもあるジャン・フィリップ・アルブレヒト議員は2015年内の合意は難しいかもしれないとコメントしており（※9）、現実的には2016年にずれ込む可能性がでてきている。