日本の個人情報保護改正の動機の一つが「海外からまともな個人情報保護が出来ていない国」とのレッテルをはがすことだったことは、以前にも紹介した。個人情報保護委員会という「第三者機関」を作ったのもそのためである。まあ今回の改正ではがせるかどうかは不透明だが。
さて来年5月施行となる「欧州データ保護規則」であるが、大きな区分で狙いは3つある。まず第一は、EU域内での規制の統一である。各国別の法制を一本化するので、国内法制は不要になる。これを簡素化と言っているが、現実には細かな点は国内法制で補足するだろうから簡素になるかどうかは不透明。もちろん、一本化するので統一は達成できるだろう。
いろいろなケースで域内の複数国にまたがる情報流通・活用などは当然ありうる。これの監督はひとつの監督機関が行うことになるので、国の監督機関同士の折衝等はなくなるだろう。しかしこれも、複数のテント(国)の間でやっていた交渉を、全部のテントの上に大テントをかぶせた中でやるようなものだから、抜本的な簡素化まではいくまい。
第二が、より強固な保護ルールの整備である。近年話題になっている「忘れられる権利」が導入され、サービス等を設計するには「プライバシー・バイ・デザイン」の原則を採用することが事業者に求められる。さらにデータ漏えい時に事業者は、監督機関への通知を72時間以内にすること定められた。宜しくないことが発覚すると、膨大な(法外なという人もいる)制裁金が降ってくる。最大2,000万ユーロか全世界年間売り上げの4%というから、半端ではない。
第三に、EU域外との関連でも強化をはかること。域外事業者(日米企業など)は、EU域内に代理人を置かなくてはいけない。またEUからの情報持ち出しを許す国・機関等の認定メカニズムに、最低4年ごとの見直し条項ができた。上記のように「まともな個人情報保護ができていない国、日本とその企業」というレッテルがあるせいもあって、日本や日本企業はこの認定を取得していない。したがってEUからの「越境データ移転」にあたっては、日本企業は個々のケースについて現地弁護士を雇ったり、各国機関との折衝にコストをかけているのが現状である。これも新しい規則のもとでは、一層難しくなるのではという観測はある。
<続く>
