おはようございます!マネジメントオフィスいまむらの今村敦剛です。
GDPR(一般データ保護規則)などの"法律"は、EUの各機関で発議・検討されて執行されているのですが、EUの機関は日本の行政・立法・司法機関と構造が異なるので、結構わかりにくいんですよね。どのような機関があり、どのような役割を担っているのか、自分の認識整理の意味も込めてまとめてみました。
欧州連合の各機関の概観図
全体像を把握するには、下記の図がわかりやすいと思いました。大和総研のレポートが出所)の図です。これらの機構は、リスボン条約によって枠組みが定められています。
GDPRなどのデータ保護に関するEUの代表的な機関としては、上記の他に、欧州連合司法裁判所(the Court of Justice of the European Union)と、欧州人権裁判所(European Court of Human Rights)があります。
欧州理事会 The European Council
加盟国の各国首脳による機関です。EUのサミットですね。
欧州連合理事会 The Council
加盟国の閣僚により構成される機関であり、立法機関のひとつです。同じ立法機関である欧州議会に優越することから、あえて強引に日本の立法機関に例えると衆議院みたいなものでしょうか。(選挙でえらばれるわけではないですが)
欧州議会 The European Parliament
立法機関であり、政策運営監視機関でもあります。加盟国から選挙で選ばれた議員により構成されます。現時点での議員数は751人。任期は5年。日本の立法機関と異なり、法案提出権はない(法案提出権は委員会にある)。欧州議会は、委員会に対する人事権があります(委員を任命・罷免できる)。強引に日本の立法機関に例えると、参議院のようなものでしょうか。
欧州委員会 The European Committee
政策立案、予算執行機関。加盟国から一人ずつ選出される委員(合計28名)で構成され、28名の合議体である。議会の監視をうけ、議会に対して説明責任がある。日本の機関で例えると政府(行政府)に該当するんでしょうかね。28人ではとても政府の役割をすべて担うことはできないので、その配下に官僚がいます。25,000人くらいいるそうです。
代表者による合議体であり、その配下に官僚がいるというと、豊臣政権における五大老五奉行制みたいなものを想像しますね……(違うか……)。
データ保護に対する関わりとしては、この欧州委員会がGDPRなどの法案を立案し、理事会や議会に提出をしています。また政策実行にあたって必要なもの(例えば十分性認定など)は、委員会が行っていますね。
欧州連合司法裁判所 the Court of Justice of the European Union
争議時にEU法の解釈を行い、域内において平等に適用するための司法機関です。日本においては最高裁のような役割でしょうか。
データ保護について、欧州連合司法裁判所は大きな影響力を持っています。有名な例では、Googleスペインに対する「忘れられる権利」訴訟があります。2014年5月、欧州連合司法裁判所は、データ主体(個人情報の主)は、一定の条件を満たす場合、検索事業者(Googleなど)に対して検索されないよう情報を削除することができるという判決を出しました。たとえサーバーが欧州域外にあっても、欧州に拠点があり、広告スペースの販売促進などを行っているのであれば、欧州の規制(当時は指令)が適用されるとしました。
他にもデータ保護についての先決裁定はいくつか行われています。先決裁定とは、加盟国の国内裁判所の判断に先立って、欧州連合司法裁判所に判断を求める手続きのことです。
欧州人権裁判所 European Court of Human Rights
欧州人権裁判所は厳密にはEUの機関ではありません。EUの条約や法に従う司法機関ではなく、欧州人権条約に対する裁定を行う機関です。対象は欧州人権条約の加盟国です。
欧州人権条約では、基本的な権利として個人情報保護が明記されているのですが、これが保護されないとする場合に、提訴を受け付け判決を下します。ここでもデータ保護に関する訴訟が過去に行われています。