平成24年4月
(社)電子情報技術産業協会
情報政策委員会
(社)電子情報技術産業協会
情報政策委員会
1995年に採択された「EUデータ保護指令」(正式名称は、「個人データ取扱いに係る個人の保護及び当該データの自由な移動に関する1995年10 月24 日の欧州議会及び理事会の95/46/EC 指令」)は、EU加盟国及びEEA(欧州経済領域)加盟国合計30ヶ国に対して同指令に基づく国内法規を要求するものであり、また、EU域外の国に対してもデータ移転に当たって「十分なレベル」の個人データ保護を要請するものであるため、個人情報保護の分野では極めて影響力の強いフレームワークである。我が国の個人情報保護法及びプライバシーマーク制度も、EUデータ保護指令の影響を受けて制定されている。
今般、2年以上の検討及びコンサルテーション期間を経て、EUデータ保護指令が改定され、新たにEUデータ保護規則(Regulation)(「個人データ取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の規則」)として採択される見込みである。今回の改定は、従来の指令の採択から15年以上が経ち、インターネットを初めとする急速な技術的進歩やグローバル化の進展によって発生してきた新たな課題に対処するためのものである。具体的には、クラウドコンピューティング(EU域外へのアウトソーシング)やソーシャルネットワーキングサービスにおけるデータ保護のあり方、多国籍企業のビジネスに過度な負担をかけるような非効率・非整合的な規制の改善等が課題となっていた。欧州委員会は2012年1月25日に改定案を公表し、今後、欧州議会及び欧州連合理事会と緊密に協力して、2012年内の合意を目指している。
今回のEUデータ保護指令改定では、EU域内の事業者に対する義務の追加、EU域外の事業者(EU市民対象のサービスを提供する場合)に対する義務の新設、個人に対する「忘れられる権利」や「データ・ポータビリティ」の権利の新たな付与など、規制が強化された側面が大きい。他方で、EU域内から域外への国際データ移転のための手続きを簡素化するなど、規制が緩和された側面もある。これらの観点も含め、EUデータ保護指令の改定が日本企業の事業環境に与える影響は少なくないと考えられる。そこで、情報政策委員会では、国際社会経済研究所(IISE)に調査を委託し改定内容の分析を行い、今回の改定による日本企業にとっての問題点・課題を整理した。今後、この整理をもとに、日本企業としての対応を検討していきたいと考えている。
| 報告書サマリー | |||
| 1.EUデータ保護指令の概要 | |||
| (1) | 個人データ取扱いに係る個人の保護及び当該データの自由な移動に関する指令。1995年採択、1998年発効。 | ||
| (2) | EU加盟国及びEEA(欧州経済領域)加盟国合計30ヶ国に対して同指令に基づく個人情報保護に関する国内法規を要求するもの | ||
| (3) | この指令により、EU域内の企業から、十分なレベルの個人データ保護を講じていない第三国の企業への個人データの移転が禁じられることとなり、日本はその十分性を認められていない。 | ||
| 2.EUデータ保護指令の改定の背景と経緯 | |||
| (1) | 今回の改正は、EU指令採択から15年以上が経ち、インターネットを初めとする急速な技術的進歩やグローバル化の進展により発生してきた新たな課題に対処するためのもの。 | ||
| ○急速なICT技術の進歩やグローバル化の進展と、それによるリスクの拡大 | |||
| ○現行のデータ保護スキームに対する企業の不満の増大 | |||
| (2) | 今般、2年以上の検討及び関係者とのコンサルテーション期間を経て、2012年1月25日に欧州委員会が改定案を公表。 | ||
| ○「EUデータ保護規則」: EUにおける一般的なデータ保護のフレームワーク | |||
| ○ 犯罪の防止・捜査・発見・訴追、刑事罰の執行の目的で処理される個人データの保護に関する指(→本報告書では?@のEU規則案について記載。)令 | |||
| (3) | 欧州委員会は今後、欧州議会及び欧州連合理事会と緊密に協力し、2012年内の合意・採択を目指す。採択から2年後に発効の見込み。 | ||
| 3.EU規則案における主要な改定点 | |||
| (1) | 従来の「指令(Directive)」から「規則(Regulation) 」に格上げ | ||
| (2) | 個人データ保護の権利の強化(自己情報コントロール権の強化など) | ||
| (3) | EU域内でのデータ保護ルールの一元化(EU域内企業にとってメリット) | ||
| (4) | グローバル環境でのデータ保護ルールの詳細化(第三国移転ルールの詳細化など) | ||
| 4.EU規則案と日本の個人情報保護制度との比較 | |||
| (1) | 日本の個人情報保護法は、「対象事業者の範囲が狭い」「一定の場合を除いて本人同意が必要とされていない」「特定カテゴリ情報の取扱いに関する規定がない」「開示・訂正・消去請求権が明示的に認められていない」「独立的な監督機関に関する規定がない」など多くの点で、EU規則案よりも規定が緩やかである。 | ||
| (2) | プライバシーマーク制度(JISQ15001:2006に準拠)は、個人情報保護法よりもEU規則案寄りの規定とはなっているが、多くの点でやはりEU規則案よりも規定が緩やかである。 | ||
本件に関するお問い合わせは、インダストリ・システム部(TEL.03-5218-1057)までお願い致します。
