欧州議会は14日の本会議で、1995年のデータ保護指令に代わる「一般データ保護規則」を賛成多数で可決した。デジタル時代に対応した個人情報保護の実現に向け、データの取り扱いに際して事業者が守るべき義務や消費者の権利、違反した企業に対する罰則などを定めている。新規則はEU官報で公示されてから20日後に発効し、その2年後から新ルールが適用される。
一般データ保護規則はソーシャルメディアの急速な普及などに伴って発生した新たな課題に対処するため、欧州委が2012年に提案したもの。国内法への転換が必要な指令と異なり、規則が施行されるとEU域内でデータ保護ルールが一元化されるため、複数の国で事業展開する企業はこのうち1カ国で各種手続きを行えば済むようになり、大幅なコスト削減につながる。一方、新規則ではEUルールの域外適用が拡大され、域内に拠点を置く企業だけでなく、EU市民に商品やサービスを提供したり、EU市民の行動をモニターしている域外の企業にも新ルールが適用される。このため、日本を含む第3国の企業は18年春までに新規則への対応を完了する必要がある。
新規則によると、顧客などの個人情報を大量に扱う事業者は情報管理を徹底するため、社内にデータ保護担当役員を置くことが義務付けられる。また、顧客情報がインターネット上で公開されるといったトラブルが発生した場合、事業者は72時間以内に各国のデータ保護当局に報告しなければならない。
域外へのデータ移転に関してはこれまでと同様、個人情報の保護措置が十分に確保されているとEUが認定した国以外への移転は原則として禁止される。たとえば日本企業が本社でEU加盟国の顧客や従業員のデータを扱う場合、個人情報の「域外への移転」とみなされるが、日本は「十分性」の認定を受けていないため、グループ企業内で情報を移転するための「拘束的企業準則」の承認を受けるか、EUの定める標準契約(モデル契約)を締結するなどの措置が必要になる。
規則案にはこのほか◇ネット上で公開された名前や写真などの個人情報について、本人がいつでもSNS、検索サービス、ウェブサイトなどの事業者にデータの削除や訂正を要求できる「忘れられる権利」を導入する◇16歳未満の子どもがSNSやゲームなどのオンラインサービスを利用する際、保護者の同意を得ることを事業者に義務付ける—-などが盛り込まれている。
新規則では違反した企業への罰則が強化され、各国当局は世界における年間総売上高の最大4%の制裁金を科すことが可能になる。