プライバシー保護の新ルールは世界を席巻するか? EUがパーソナルデータ流通のための“交通規制”を策定中

EnterpriseZine / 2013年11月15日 7時0分

図表2:EUデータ保護規則案の修正案で示された通知ポリシー用アイコン

 EUは、「忘れられる権利」に象徴されるビッグデータ社会におけるプライバシー保護のルール「一般データ保護規則」の案(EUデータ保護規則案)を2012年1月に発表、日本のメディアでも大きく取り上げられた。その修正案*1が先月下旬に欧州議会の司法委員会で可決され、成立に向けて前進することになった。その後、採択が2015年以降に先延ばしされるなど予断を許さないが、今回は我が国にも影響の大きいEUデータ保護規則案のポイントを紹介する。

■EUのルールは「個人の権利」を中心に構成される

 EUデータ保護規則案の具体的な中身に入る前に、まずその構成について日本の個人情報保護法と比較しながら紹介する。

 プライバシー権は、重要な人権の一つであるという思想が根底にあるEUでは、データ保護法(日本の個人情報保護法に相当)は、原則(2章)の後に、個人が自らの個人情報の取り扱いにどのような権利を有しているのか(3章)を規定し、その上で事業者の果たすべき義務(4章)が続く構成となっている(図表1)。

 これは、日本の個人情報保護法が、個人の権利利益の保護を目的とするものの、事業者の義務規定が中心で、個人の権利に関してほとんど言及されていないのと対照的である。米国が、2012年に「消費者プライバシー権利章典」を発表し、個人のプライバシー権を明確にしたことを想起すると、日本の保護法も今後、構造的な見直しが必要になるかもしれない。

 また、パーソナルデータの第三国又は国際機関への移転(6章)や独立監督機関(7章)なども詳しく規定されている。どちらも日本の個人情報保護法には含まれておらず、これまでEUから日本のプライバシー保護が不十分とみなされる要因となっている(第5回連載を参照)。

 なお先頃公表された経済協力開発機構(OECD)のプライバシー保護ガイドライン改訂版*2では、データの越境移転規制と独立監督機関の設置の両方が新たに推奨項目に位置づけられたことから、今後はEUだけでなく、国際的にもプライバシー保護に不可欠な要素としてみなされることになろう。

小林 慎太郎[著]

EnterpriseZine

トピックスRSS

ランキング