欧州議会の市民の自由・司法・内政委員会(LIBE)は21日、1995年のデータ保護指令に代わる「データ保護規則(案)」の修正案を承認した。今年2月の欧州議会産業・研究・エネルギー委員会(ITRE)では、欧州委員会が昨年1月にまとめた原案に比べ、事業者に対する義務や罰則を一部緩和する内容の修正案が承認されたが、今回は違反企業に対する罰則を厳格化するほか、本人がソーシャルネットワーキングサービス(SNS)などの事業者に対し、インターネット上で公開された個人情報の削除を要求できる権利の呼称を「忘れられる権利(right to be forgotten)」から「消去する権利(right of erasure」に変更するなどの修正が加えられた。
\データ保護規則は現行指令の制定から18年が経過し、クラウドコンピューティングをはじめとする技術的進歩やソーシャルネットワークの急速な普及などに伴って発生した新たな課題に対処するためのもの。具体的にはネット上で公開された名前や写真、クレジットカードなどの情報について、本人がいつでもSNS、検索サービス、ウェブサイトなどの事業者にデータの削除を要求できる権利の導入や、データの取り扱いに際して事業者が守るべき義務、違反した企業に対する罰則などを定めている。国内法への転換が必要な指令と異なり、規則が施行されるとEU域内でデータ保護ルールが一元化されるため、複数の国で事業展開する事業者は国によって異なる法律に対応する必要がなくなり、大幅なコスト削減につながる。欧州委員会は業界全体で23億ユーロの経費節減が可能と試算している。
\EUルールに違反した事業者に対する罰則に関して、欧州委の原案では世界における年間売上高の最大2%の制裁金を科すとしているのに対し、ITREは各国の規制当局に罰則を決める権限を与えることを提案していた。これに対し、LIBEの修正案には年間売上高の最大5%か1億ユーロのうち、金額が多い方を制裁金とする規定が盛り込まれている。一方、欧州委が導入を提案している「忘れられる権利」について、LIBEは個人ユーザーに関するあらゆる情報をネット上から完全に削除ことは技術的に不可能との判断から、「消去する権利」と呼び方を変えることを提案している。修正案にはさらに、EU域内から域外にデータを移転する際の条件を厳格化するルールも盛り込まれている。例えば米当局がグーグルやヤフーなどが保有するEU市民に関する個人情報にアクセスする場合、事業者は予めEUのデータ保護当局から情報提供の許可を得なければならない。
\新ルールによると、事業者はこのほか◇個人情報の取り扱いについて予め利用者から明確な同意を得る◇利用者がいつでも容易に自分の情報にアクセスできるようにする◇利用者がプロバイダーを変更する際、個人情報を簡単に移動できるようにする◇セキュリティ上の問題が生じた場合、速やかに(可能であれば24時間以内に)拠点を置く国のデータ保護当局に報告する――などが義務づけられる。
\
