欧州委員会は25日、インターネット上の個人情報保護を強化するための包括的な規制案をまとめた。EUが1995年に導入した「データ保護指令」の改正版となるもので、オンラインサービスの利用者がネット事業者に自分に関するデータの削除を要求できる「忘れられる権利」や、違反企業に対する罰則規定などを盛り込んだ内容。欧州議会と閣僚理事会の承認を得た後、2年間の移行期間を経て新ルールが導入される。
\欧州委が個人情報保護強化に乗り出す背景には、ソーシャル・ネットワーキング・サイト(SNS)などで公開された個人を特定するデータが本人の意思で削除できないケースや、ネット関連企業が利用者のオンライン行動に関する記録を利用して広告を配信する「行動ターゲティング広告」の広がりなどがある。欧州委のレディング副委員長(司法担当)は「(データ保護指令が導入された)17年前にはネット利用者はEU市民の1%に満たなかったが、現在は常に膨大な量のデータが世界中でやり取りされている。個人情報の保護は基本的な権利だが、欧州市民は自分に関する情報を十分に管理できていないと感じている」と指摘。個人情報保護を強化しながら単一市場における自由な情報の流れを確保するため、データ保護指令を抜本的に見直してオンラインサービスに対する信頼性を高める必要があると強調した。
\新規制はEU域内で活動するすべての事業者に適用される。規制柱となる「忘れられる権利」は、ネット上で公開された名前や写真、クレジットカードなどの情報について、本人がいつでも事業者に削除を要求できる権利。SNSなどの事業者は正当な理由がない限り、サーバーから利用者に関するあらゆる情報を削除しなければならない。
\このほか事業者は◇個人情報の取り扱いについて予め利用者から明確な同意を得る◇利用者がいつでも容易に自分の情報にアクセスできるようにする◇利用者がプロバイダーを変更する際、個人情報を簡単に移動できるようにする◇セキュリティ上の問題が生じた場合、速やかに(可能であれば24時間以内に)拠点を置く国のデータ保護当局に報告する――-などが義務づけられる。当局はこれらのルールに違反した企業に対し、最大で100万ユーロ、または総売上高の2%に相当する制裁金を科すことができる。
\欧州委は現行規制に代わる共通ルールを導入することで、ネット事業者と規制当局の双方で手続き上の無駄を省くことができ、年間23億ユーロのコスト削減につながると試算している。しかし、米マイクロソフトやインテルなどが加盟する業界団体「ビジネス・ソフトウェア・アライアンス(BSA)」は「企業は過度の負担を強いられることになり、イノベーションが阻害されて雇用の喪失を招く」などと主張し、欧州委に規制案の見直しを求めている。一方、専門家の間では「忘れられる権利」に関連して、事業者はユーザーの求めに応じて自社のサーバーやデータベースから個人情報を削除するだけでよいのか、それともネット上に拡散したデータも追跡して削除しなければならないのかが不明確で、実際にルールを運用するのは困難といった意見が出ている。
\
