約4年に亘る激しい議論の末、欧州議会、閣僚理事会及び欧州委員会は、一般データ保護規則(「本規則」)の最終案について合意に達しました。本規則は、EU史上最も包括的なデータ保護法の改革となります。本規則によって、欧州のデータ保護法の新しい時代が始まると言っても過言ではありません。本規則は、欧州のデータ保護法を大きく改訂・修正し、その適用をより広い範囲の欧州外の企業に広げ、EU加盟国の間でデータ保護法を統一し、データ主体に重要な新しい権利を与え、さらにその非遵守に対する罰則を大きく引き上げるものです。
この合意は、2012年1月に欧州委員会の本規則提案で開始され、その後長期化した立法過程を終わらせるものです。政治的な合意は成立しましたが、本規則の最終文案は、さらに法律的及び言語的な検討を経る必要があり、2016年の初めに正式に採択される見込みです。新規則は、本規則の最終版公表の2年後に施行されます。当面は、欧州委員会は、統一的な適用を確保するために、各国のデータ保護監督機関と共同して、ガイドラインの策定を行うことが見込まれます。
本規則の最終合意の主な点は以下の通りです。
単一の欧州データ保護法
本規則は規則として効力を生じ、原則として、国内法の制定を要さず直接全ての加盟国に適用されます。しかしながら、加盟国が特定の立法をする権限が認められる限定的な例外があります。雇用関係でのデータ処理、国民のID番号、及び専門家の守秘義務についてなどです。 それでもなお、規則の活用は、異なった国の間での一貫性のない又は矛盾する義務のリスクを削減し、規制へのコンプライアンスを簡素化し、国際的なビジネスのコストの削減に役立ちます。他方、このような共通のデータ保護ルールの欧州全体への直接適用は、現在のデータ保護義務について比較的緩やかな見解を採っている国の監督機関に現在規制されている事業の負担を増大させることになるでしょう。これらの会社にとっては、何が「同意」を構成し得るか、「適法な利益」として正当化され得る処理は何か、というような重要な点について重大な変化があるでしょう。
規制の集中化
本規則では、規制に「ワンストップショップ」アプローチを取り入れます。すなわち、EU全体に亘る事業の処理活動について、単一の監督機関が効率的に規制すべきであるというものです。担当する監督機関を決定するのは、典型的には、コントローラ及び/又はプロセサーの関係する「主要な事業所」によりますが、データ主体は、なお、その自国の監督機関に不服を申し立てることができます。新しい欧州データ保護会議 (European Data Protection Board)が複数の国の監督機関の間での相違を解決する責務を負います。EUを通しての標準化された法執行を確保するために、明確な「一貫性メカニズム」 が設けられます。
EUデータ保護規則の域外適用の拡大
本規則は、EU居住者に(有償・無償を問わず)商品若しくは役務を提供し、又はその行動をモニタリングするEU外の企業にも適用されます。現時点では、EU内において処理の手段を利用する場合に限ってEU外の企業も規制の対象となっていまが、最近のGoogle Spainに関する決定により、すでにEU規則の適用域を拡大する方向に向かっています。
「個人データ」の意味
本規則は、何が「個人データ」として取り扱われるかについて広範な定義をしており、識別に関する現在の考え方を、個人が直接又は間接に「選び出され」得る状況もカバーする形に拡張されています。この定義は、クッキーやIPアドレスも同様に保護するものとなるでしょう。遺伝データについては、個人データに含まれると明記されるともに、「機微個人データ」として追加的な保護が与えられています。個人を個別に識別する生体認証データや性的嗜好に係るデータも、同様に機微個人データに含む拡張もなされています。
処理の条件
本規則は、「明白な」同意とは「明確な積極的行動」を必要とする旨を明確にしています。これには、インターネットのウェブサイト上でチェックボックスにチェックを入れることや技術的な設定項目を選択することを含むとともに、データ処理に係るデータ主体の承諾を文脈上明示的に示すその他の宣言又は行動によるものも含みます。黙認、ボックスを従前チェックしたこと、又は不作為は同意を構成しません。SNSが保有するデータの取得に関しては、16歳又は各国レベルで定めるより低い年齢(ただし13歳を下回らない。)未満の子どものデータ処理には保護者の同意が必要となります。機微データについては、同意は「明確」でなければなりません。
「プライバシー・バイ・デザイン」
事業者は。すべての処理活動の計画及び実行において、データ保護及びプライバシーを考慮しなければなりません。個人の権利及び自由に対する高いリスクを引き起こす処理を実施する場合は、データ保護影響評価を実施しなければなりません。当該処理は、様々な規制当局によってリスト化されます。これには、個人に影響する体系的かつ大規模なプロファイリング、機微データの大規模処理及び公にアクセス可能な領域における体系的かつ大規模なモニタリングが含まれます。
新しいデータ主体の権利
本規則は、データ主体に対して「忘れられる」権利、データポータビリティの権利及びプロファイリングへの異議申し立ての権利を付与しています。
国際的なデータの移転
欧州委員会が適切な保護を有していると判断した「ホワイトリスト」の国家、及び承認された標準契約条項は、本規則の下でも有効に存続します。しかし、本規則は、欧州委員会は第三国の十分性の判断に影響を与えうる第三国における発展を継続的に監視する必要がある、と明確に述べています。これは、最近の欧州司法裁判所による、EU-米国間のデータ保護セーフハーバーが無効となったと判断されたことに対する反応と思われます。個人データの移転を要求する第三国の裁判所の判断又は行政機関の決定は、司法共助条約のような国際的な合意に基づいている場合にのみ執行可能です。これは、外国法、特に米国法の域外適用に対抗する明確なサインと解釈することが可能です。
データプロセサーの説明責任
本規則は、データプロセサーに対して初めて、記録を維持し、コントローラに違反を通知し、データ移転義務に従う義務を含む直接の規制上の義務を課しました。
データ保護オフィサー
コントローラ及びプロセサーは、公的機関又は公的団体(司法裁判所を除く。)により処理が行われる場合、又は、その「中心的な活動」(すなわち、「付随的な活動」に相対するその「主たる活動」)が(i)「大規模に」データ主体の「定期的かつ系統的なモニタリング」を必要とする処理、又は、(ii)機微データの大量な処理で構成されている場合は、データ保護オフィサーを指名しなければなりません。
データ違反通知
現在のEUデータ保護指令以外で、本規則は、関係当局に対して、データ違反を通知する一般的な義務を課しています。当該データ違反が個人の権利及び自由に対する高い危険を生じさせる恐れがある場合には、データ主体に対しても同様に通知されなければなりません。当局に対する通知は、当該違反の発見から72時間以内になされなければなりません。
執行
執行される際、本規則は、問題の違反に応じて、最大でコントローラの世界的な年間売上高の2パーセント又は4パーセントの行政罰金を定めています。各国のデータ保護機関は、直接罰金を課すことができます。
オリジナル(英語)版は、Jones Day Alert " Agreement Reached on the European Reform of Data Protection" をご参照ください。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
