欧州委員会は10日、電子通信における個人情報保護を強化すると同時に、通信データを活用したビジネスの可能性を広げることを目的とした新たな法案を発表した。これまで通信事業者に適用してきた規制の対象を、インターネット経由で通話やメッセージサービスなどを提供するOTT(オーバー・ザ・トップ)事業者に拡大し、2018年5月に施行される「一般データ保護規則」の下でデジタル単一市場の信頼性と安全性の向上を図る。一方、欧州委は同規則の導入に向け、日本および韓国との間で2017年中に個人データの域外移転に関する協議を開始する方針も打ち出した。欧州議会と閣僚理事会で欧州委の提案について検討を進める。
欧州委が提案した「プライバシーと電子通信に関する規則(案)」は、2002年に施行された現行の「電子通信プライバシー指令」に代わるもので、これまで通信事業者を対象としてきたネットワークセキュリティや通信の秘密保持などに関するルールをOTT事業者にも適用することが柱。米フェイスブック傘下のメッセージアプリ「WhatsApp(ワッツアップ)」、米マイクロソフトのインターネット電話「スカイプ」、米グーグルのメールサービス「Gメール」などが新たに規制の対象となる。事業者は事前に本人の明示的な同意がない限り、広告などの目的でユーザーの個人情報を収集することができなくなり、違反した場合は世界における年間総売上高の最大4%の制裁金を科される可能性がある。
一方、音声通話やメールなどのやりとりから得られるメタデータ(通話時間や位置情報など)の利用についてユーザーが事前に同意した場合、通信事業者はデータを適切に処理したうえで新たなサービスを提供することが可能になる。具体的には通信データを基に人の往来を表示したヒートマップを作成し、交通インフラの開発事業に役立てるケースなどが想定されている。
個人データの移転に関しては、EUは個人情報の保護レベルが「EU域内と同等」の水準で十分に確保されていると認定した国以外への持ち出しを原則として禁止しているが、一般データ保護規則が施行されるとEUルールの域外適用が拡大され、EU市民に商品やサービスを提供したり、EU市民の行動をモニターしている域外の企業にも新ルールが適用される。たとえば日本企業が本社でEU加盟国の顧客や従業員のデータを扱う場合、個人情報の「域外移転」とみなされるが、日本は「十分性」の認定を受けていないため、EUの監督機関からグループ企業内で情報を移転するための「拘束的企業準則」の承認を受けるか、EUの定める標準契約(モデル契約)を締結するなどの措置が必要になる。日本政府は2015年に個人情報保護法が改正されたのを機に、EU側に早期の認定を求めていた。
欧州委は「グローバル社会における個人データの移転と保護に関する通達」で、東アジアや東南アジアを中心に、主要な貿易相手との間でデータ移転に関する協議を急ぐ必要があると指摘。第1弾として、年内に日本および韓国との間でデータ保護水準の「十分性」要件について協議を開始することを提案した。
