EU加盟国は6日開いた司法・内務担当相理事会で、1995年に制定されたデータ保護指令に代わる「データ保護規則案」について協議し、EU内で活動するすべての域外企業に新ルールを適用することで合意した。検索エンジンやソーシャル・ネットワーキング・サービス(SNS)などのユーザーが自身に関するデータの削除を事業者に求めることができる「忘れられる権利」や、EU域外へのデータ移転に関するルールなどを盛り込んだ規制が米グーグルやフェイスブックなどに適用される。
データ保護規則は現行指令の制定から18年が経過し、クラウドコンピューティングをはじめとする技術的進歩やソーシャルネットワークの急速な普及などに伴って発生した新たな課題に対処するためのもので、欧州委員会が2012年1月に原案を提示した。その後、米国の情報機関によるEU内でのプライバシー情報の収集が発覚したのをきっかけに、一段の個人情報保護強化を求める声が高まり、EU域外にデータを移転する際の条件を厳格化するルールが新たに盛り込まれた。例えばグーグルなどが米当局からEU市民に関する情報提供を求められた場合、事業者は予め加盟国のデータ保護当局からデータ移転の許可を得なければならない。
国内法への転換が必要な指令と異なり、新規則が施行されるとEU域内でデータ保護ルールが一元化されるため、複数の国で事業展開する事業者は国によって異なる法律に対応する必要がなくなり、大幅なコスト削減につながる。一方、域外の企業はこれまで、より規制の緩い国に拠点を置くことで厳格なデータ保護ルールの順守義務を免れることが可能だったが、新規則の下では域内のどこに拠点を置いても同じ規制が適用されることになる。
欧州委のレディング副委員長(司法・基本的権利・市民権)は会議後、「EU域内で活動するすべての企業にデータ保護ルールが適用される。これは自明のことのようにみえるかもしれないが、規則案をまとめた当時はこの点が最大の争点の1つだった」とコメント。今後、個別ルールについて議論を進め、年内の最終合意を目指す考えを示した。
