ものづくり経営革新等支援機関

欧州のプライバシー関連指令・規則の概観

https://imamura-net.com

おはようございます!マネジメントオフィスいまむらの今村敦剛です。

GDPR(一般データ保護規則)に注目が集まりがちですが、欧州にはプライバシー保護に関する指令や規則が複数あります。それらをまとめて全体像がわかるようにしてみました。ご参照ください。

欧州評議会条約第108条(Convention 108)

1981年、個人データの自動処理に関する個人の保護に関する条約(欧州評議会条約第108条)が欧州評議会により採択されました。これは、個人データ保護の分野で初めて法的拘束力のある国際的な手段となりました。

欧州評議会条約第108条の目的は、加盟国間をより一層統一し、個人の権利と基本的な自由のための保護措置を拡大することにあります。特にプライバシーを尊重する権利については、増え続けるデータの自動的な処理と国境を越えたデータ移転等を考慮に入れたものになっています。

27の項目から構成されており、主に3つのパートに分かれます。

データ保護指令(The Data Protection Directive)

1995年に採用された指令(Directive 95/46/EC)で、個人データの処理やデータの自由な移動についてのルールにを定めたもの。欧州評議会条約第条108条は、限られた加盟国に対して法的拘束力をもつものであり、それ以外の国には適用されません。また、加盟国内でも国内法制化に対するアプローチはバラバラでした。そこで欧州委員会がデータ保護指令を提案。欧州全域でより統一的にデータ保護の体制を整えようと意図しました。

データ保護規則は72の前文と34の条項から構成されます。データ保護指令では、第三国移転の場合の条件の明確化や、加盟国における監督当局の設置、第29条作業部会という各EU加盟国のデータ保護当局からの代表者で構成される諮問機関の設置などを要求しており、現在有効であるGDPRの原型となっています。

しかし、指令という性質上、法制化も各国で行うことになっている上、規制対象なども各国法で定義されることになるなど、足並みがそろわずに問題が生じてきました。そこで2012年、欧州委員会は、一般データ保護規則(GDPR)の法案を提出し、EU全体でデータ保護法を統一する方向に進むことになります。

一般データ保護規則(General Data Protection Regulation)

データ保護指令を置き換える形で、2016年4月にGDPRが採択。2018年5月25日より、罰則の運用も含めて適用が開始されました。GDPRの詳細な説明は、この投稿の目的ではないので割愛しますが、データ保護指令と一般データ保護規則の違いをまとめた表を引用したいと思います。

引用元:IT Leaders 2018年7月16日(月)記事 https://it.impressbm.co.jp/articles/-/16400

法執行指令(The Law Enforcement Data Protection Directive)

この指令は、警察および司法当局における個人データ保護のためのルールを定めたもの。犯罪の防止、捜査、検出または訴追、または公共の安全に対する脅威に対する保護および防止を含む刑事罰の執行における個人データの処理に関するものです。

警察や司法機関などが個人情報を濫用しないようにするための指令、という認識でしょうかね。

eプライバシー指令(The Privacy and Electronic Communications Directive)

電話やFAXのようなサービスだけではなく、電子メール、SMS/MMS等にまで対象を広げたデータ保護とプライバシーに関する指令であり、2002年に施行されました。主に対象としているのは電気通信事業者です。トラヒックデータやスパムメール、cookieなどの扱いについてのルールを定めています。

この指令もデータ保護指令と同様、EU域内での統一的な運用をする目的、および新たな技術へ対応するという目的などにより、2019年にeプライバシー規則として適用される予定です。

eプライバシー規則(ePrivacy Regulation)

近年は、従来の電気通信事業者だけではなく、新興企業も通信サービスを提供しています(例えばWhatsAppやFacebook Messenger, Skypeなど。日本では楽天のViberが名指しされているようです)。こういう新興企業や、Cookieをもとに行動追跡型マーケティングを行う企業も、新しいeプライバシー規則の対象になります。

eプライバシー規則は、指令よりも厳格な運用を求めています。GDPRと同様、個人データの侵害時には、監督機関やデータ主体への通知義務がありますし、違反した場合には最大2,000万ユーロ(または年間売上高の4%の高いほう)という罰金が科せられます。

当初はGDPRと同様、2018年5月25日からの適用開始を目指していましたが、2019年に延期になったようです。

データ保存指令(The Data Retention Directive)

2006年に施行された指令のことであり、重大な犯罪やテロ行為などに対して、警察などが通信データや位置情報データなどにアクセスできるよう、データを保存することを義務付けたものです。

しかし人間の基本的な権利を侵しているのではないかという懸念があり、2014年には欧州司法裁判所が無効の判断を出しました。

  • B!

最近の人気記事

1

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 国際標準化機構(ISO)は、現行のISO9001:2015(品質マネジメントシステム規格I)を改訂する準備を進めているようです。現在の ...

2

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 2024年2月、ISO(国際標準化機構)は、マネジメントシステム規格に「気候変動への配慮」を盛り込む形で規格の一部を改定しました。今回 ...

3

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 5Sの考え方がISO9001や14001の運用に役立つことがあります。その逆もあって、ISOの仕組みが5S活動に役立つこともあるんです ...