おはようございます!マネジメントオフィスいまむらの今村敦剛です。
日本から見ると、欧州で個人データ保護の規制が強化されたことは突然のことのように見えますが、欧州には長い歴史があり、議論の積み重ねによってこのような規制ができたという経緯があります。この経緯を簡単にまとめてみました。
スポンサーリンク
第二次大戦後、欧州統合と人権保護への動き
1948年12月10日、第3回国連総会で世界人権宣言が採択。第二次世界大戦中の著しい人権侵害に対する反省をこめて、人権および自由を尊重し確保するために、「すべての人民とすべての国とが達成すべき共通の基準」を宣言した。
1950年、世界人権宣言中のいわゆる自由権の集団的保障を確保する最初の手段として欧州評議会が欧州人権条約(ECHR)を作成。11月4日にローマで調印され、1953年に発効。加盟国(現在では欧州会議の加盟国47ヵ国)にのみ適用される。条約の履行を果たしていない国に不利に判断するための管轄権を備える国際的な司法機関(欧州人権裁判所)がストラスブールに設置された。
1951年、欧州石炭鉄鋼共同体設立の条約が締結。条約の締約国は、フランス、西独、イタリア、ベルギー、ルクセンブルグ、オランダ。その後1957年に欧州経済共同体設立の条約が締結。1965年には、欧州石炭鉄鋼共同体、欧州原子力エネルギー委員会、欧州経済共同対が統合される条約が締結。共通市場を確立し、欧州委員会、閣僚会議、欧州連合裁判所(CJEU)、欧州議会などを設置。
1970年代以降、初期のプライバシー法の動き
1970年、ドイツのヘッセン州でプライバシー法が導入。
1973年、スウェーデンで、データ法が制定。(初めての国家レベルでの法制度化)
1973~74年、Resolutions 73/22および74/29が合意され、民間および公的機関の自動化されたデータ処理に対する個人データ保護の原則が確立される。これらの決議に基づいて、各国の国内法制化へ働きかけが始まった。
1979年、7つの加盟国(オーストリア、デンマーク、フランス、ドイツ連邦共和国、ルクセンブルグ、ノルウェー、スウェーデン)で一般データ保護法が制定。いくつかの法律が策定されました。また、スペイン、ポルトガル、オーストリアの3ヵ国では、データ保護は基本的権利として憲法に組み込まれた。
1980年、プライバシー保護と個人データの国際流通についてのOECDガイドラインが採択。
1981年、個人データの自動処理に関する個人の保護に関する条約(欧州評議会条約第108条)が欧州評議会により採択。1973年と1974年のResolutions 73/22および74/29をふまえて、個人データ保護の分野で初めて法的拘束力のある国際的な手段となる。 OECDガイドラインと異なり、条約第108条に署名することにより、国内法に必要な措置を講じ、原則を適用することが要求される。
1986年、単一欧州議定書が調印。単一市場成立の目標期限を1992年とさだめ、モノ、ヒト、サービス、資本の自由な移動が保障された国境のない領域を目指すことに。1992年にはマーストリヒト条約が締結され、欧州連合(EU)を設立。
1995年、EUデータ保護指令(95/46/EC)が成立。加盟国では個人データの処理に対する自然人の基本的人権及び自由、特にプライバシー権を保護されるものとした。また、加盟国問の個人データの自由な流通を規制又は禁止してはならないものとされた。
2000年代以降、現代のプライバシー法の動き
2000年、欧州内部市場における情報社会サービス(特に電子商取引)の特定の法的側面に関する指令(2000/31/ EC)が成立。eコマース指令ともいう。また同年、欧州連合基本権憲章が交付。個人データの保護に対する権利という基本的人権の保護が保証されることに。(ただし法的拘束力はない)
2001年、監督当局および国境を越えたデータの流れに関する個人データの自動処理に関する個人の保護のための条約の追加議定書が成立。欧州評議会条約第108条では定められていなかった、非EU諸国に越境移転移される個人情報に対する適切なレベルの保護の考え方を明らかにした。
2002年、プライバシーおよび電子通信に関する指令 (EU 2002/58/EC) が成立。eプライバシー指令ともいう。情報の守秘や、トラフィックデータ、迷惑メール、クッキーの取り扱いなどについて定める。
2006年、EUデータ保存指令(2006/24/EC)が成立。指令に規定するデータ(通信履歴等)が保存されることなどを加盟国に義務付ける。2014年にEU司法裁判所判決により無効となる。判決の理由は「個人データ保存を義務化した上、保存されたデータへの加盟国当局のアクセスを許すことにより、欧州指令は、私生活の尊重と個人データ保護という基本的権利を非常に重大なやり方で侵害している」ため。
2007年、リスボン条約が締結。既存の欧州連合の基本条約を修正し、より効率的に機能させることを狙いとした。人間の尊厳、自由、民主主義、平等、法および人権の尊重を含む核となる価値観を普及することが主たる目的。条約では、欧州のデータ保護当局を設置。
2008年、Council Framework Decision 2008/977/JHAが成立。刑事事件における警察と司法協力の枠組みの中で処理される個人データの保護に関するもの。
2009年、市民の権利指令(2009/136/EC)が成立。ユニバーサル・サービス指令(2002/22/EC)、プライバシー保護指令(2002/58/EC)、消費者の権利保護に関する法の執行機関間における協力に関する規則(No2006/2004)を改正する形となる。
2016年、一般データ保護規則(規則2016/679)が成立。個人データの処理と自由な移動に関する自然人の保護に関する規則であり、EUデータ保護指令(95/46/EC)が廃止されることに。
GDPRの成立にあわせて、警察指令(2016/680)と搭乗者指令が採択。警察指令では、犯罪行為の防止、捜査、検知もしくは訴追または刑罰の執行のための職務権限を有する機関による個人データの処理と関連する自然人の保護及び個人データの自由な移転等について定めている。搭乗者指令では、テロ対策を主たる目的として、警察、通関当局、諜報機関または軍当局等による個人データの収集と関連する監督官の職務に関する条項が定められている。