欧州議会とEU加盟国は12月15日、1995年のデータ保護指令に代わる「データ保護規則(案)」の内容で合意した。デジタル時代に対応した個人情報保護の実現に向け、データの取り扱いに際して事業者が守るべき義務や消費者の権利、違反した企業に対する罰則などを定めている。規則案は近く欧州議会と閣僚理事会で正式に承認される見通しで、2年後の2018年から新ルールが導入される。
データ保護規則はソーシャルメディアの急速な普及などに伴って発生した新たな課題に対処するため、欧州委が2012年に提案したもの。国内法への転換が必要な指令と異なり、規則が施行されるとEU域内でデータ保護ルールが一元化されるため、複数の国で事業展開する企業はこのうち1カ国で各種手続きを行えば済むようになり、大幅なコスト削減につながる。欧州委はこうした「ワンストップショップ」と呼ばれるメカニズムの導入により、EU全体で年間23億ユーロの経費節減が可能になるとみている。
規則案によると、顧客などの個人情報を大量に扱う事業者は情報管理を徹底するため、社内にデータ保護担当役員を置くことが義務づけられる。また、顧客情報がインターネット上で公開されるといったトラブルが発生した場合、事業者は72時間以内に各国のデータ保護当局に報告しなければならない。こうしたルールに違反した事業者に対し、各国当局は世界における年間総売上高の最大4%の罰金を科すことができる。
欧州委は当初、違反企業に対する罰則を年間売上高の最大2%とする案を提示し、加盟国もこれを承認した。しかし、欧州議会は罰則が軽く十分な抑止効果が期待できないとして、罰金の上限を年間売上高の5%とするよう要求。最終的に4%を上限とする妥協案で双方が合意した。
規則案にはこのほか◇ネット上で公開された名前や写真などの個人情報について、本人がいつでもSNS、検索サービス、ウェブサイトなどの事業者にデータの削除や訂正を要求できる「忘れられる権利」を導入する◇16歳未満の子どもがSNSやゲームなどのオンラインサービスを利用する際、保護者の同意を得ることを事業者に義務づける――などが盛り込まれている。