EUのルールは「個人の権利」を中心に構成される
EUデータ保護規則案の具体的な中身に入る前に、まずその構成について日本の個人情報保護法と比較しながら紹介する。
プライバシー権は、重要な人権の一つであるという思想が根底にあるEUでは、データ保護法(日本の個人情報保護法に相当)は、原則(2章)の後に、個人が自らの個人情報の取り扱いにどのような権利を有しているのか(3章)を規定し、その上で事業者の果たすべき義務(4章)が続く構成となっている(図表1)。
これは、日本の個人情報保護法が、個人の権利利益の保護を目的とするものの、事業者の義務規定が中心で、個人の権利に関してほとんど言及されていないのと対照的である。米国が、2012年に「消費者プライバシー権利章典」を発表し、個人のプライバシー権を明確にしたことを想起すると、日本の保護法も今後、構造的な見直しが必要になるかもしれない。
また、パーソナルデータの第三国又は国際機関への移転(6章)や独立監督機関(7章)なども詳しく規定されている。どちらも日本の個人情報保護法には含まれておらず、これまでEUから日本のプライバシー保護が不十分とみなされる要因となっている(第5回連載を参照)。
なお先頃公表された経済協力開発機構(OECD)のプライバシー保護ガイドライン改訂版*2では、データの越境移転規制と独立監督機関の設置の両方が新たに推奨項目に位置づけられたことから、今後はEUだけでなく、国際的にもプライバシー保護に不可欠な要素としてみなされることになろう。
図表1:EU、日本それぞれの個人情報保護法の構成(日本には「個人の権利」の章がない)
出所:EUデータ保護規則案は欧州議会司法委員会修正案
(2013年10月22日、Jan Philipp Albrecht氏提供)をもとに作成。邦訳は筆者
