欧州委員会は一定の条件のもとで「EU-U.S. Privacy Shield」のデータ保護の 十分性を認めた。
①情報主体の明確な同意
②標準契約条項(SCC) ⇒ データ保護当局の承認
③拘束的企業準則(BCR)⇒ 域内3当局の承認
EUデータ保護指令26条1項、2項及び4項の例外的措置
煩雑な手続きと多大な費用
が必要で、実質的な経済障壁とし て機能
クラウドコンピューティング(EU 域外へのアウトソーシング)、SNSにおけるデータ保護 のあり方、多国籍企業への過度な負担の軽減などを目的とした改訂
参考 EU一般データ保護規則提案
2012 .1.252013.10.21 LIBE委員会で修正案可決改定案を公表、2016.4.14 欧州議会本会議で可決→2018年春施行
(Committee on Civil Liberties, Justice and Home Affairs)
「規則(regulation)」は自動的に加盟国の国内法の一部となり、「指令(directive)」は 加盟国が指令に基づき国内法として立法義務を有する。 規則への格上げにより、
加盟国へ直接適用し、EU域内でのデータ保護ルールの一元化を図る。
「指令(Directive)」から「規則(Regulation) 」へ
現データ保護指令26条1、2及び4項の例外規定 ⇒ 新規則案では・・
①標準契約条項(SCC) ⇒ データ保護当局の承認不要
②拘束的企業準則(BCR)⇒ 域内一当局の承認でOK、など
多国籍企業 の負担軽減
EUデータ保護規則提案は、 EU域外企業であっても、① EU居住者への商品・サー
ビスの提供、② EU居住者の行動の監視、を行っている管理者に対して適用される。
※EU域内に設立していない管理者は、域内に「代理人」を設立する義務(25条)
「地域的な範囲」におけるEU域外適用(3条2項)
データ保護・バイ・デザイン、バイ・デフォルト
①新サービスの導入時にデータ保護への考慮の義務(第23条)
②個人データの取扱いを行うに当たって、データ保護影響評価
を実施する必要がある旨の規定(第33条)、など 35
「同意の条件
(Conditions for Consent)」(第7条)
忘れられる権利及び消去権
(Right to be forgotten and to erasure)(第17条)
忘れられる権利及び削除権への対応体制の確立
目的に照らして個人データが必要でなくなった場合、データ主体が同意を取り下 げた場合など、自らの個人データを管理者に削除させる権利(17条1項)と規定し ている。管理者は、当該データが公表されていた場合、そのデータを取扱う第三 者に対して、そのリンクや複製などを削除するための合理的な措置を講ずること を義務づけている(17条2項)。
明確な同意取得のスキームの確立
データ主体の同意に関して、規約やポリシーなどの文書の中で示される場合は、
その他の内容と区別して明示される必要がある(7条2項)。またデータ主体による 同意の撤回の権利(7条3項)、データ主体と管理者の重要な立場のアンバランス がある場合に同意は法的な根拠を有しない事(7条4項)が規定されている。
参考 EU一般データ保護規則提案で企業活動に影響が大きいと思われる項目
※現在、わが国の企業は契約や約款の一部として同意を取得する場合 があるが、EU一般データ保護規則提案においては明確な同意を求めて おり、このような取得方法では要件を充足しないと思われる。
※企業は個人データの削除依頼の受付、削除対応及び第三者への削除 要請の通知などの一連のプロセスを構築する必要がある。
36
監督機関への報告(31条)
クライシス対応の組織及びルールの確立
個人データ違反(personal data breach)を発見した場合、不当に遅れることなく可能 な範囲で2472時間以内に監督機関に報告する義務があり、2472時間を超えて報告 を行う場合は正当な理由が求められる(31条1項)。また個人データ違反が、データ 主体のプライバシー保護等への有害な影響が予測される場合に、不当に遅れるこ となくデータ主体に個人データ侵害の通知を行う(32条)ことを規定している。
行政制裁(第79条)
罰則と域外適用
本規則に違反した管理者や処理者に対して、最大1億 2000万 ユーロまたは年間 世界売上高の 5% 4% のいずれか大きい額の課徴金が科される(79条) 。また EU域内に設立されていなくとも域内のデータ主体の個人データを取扱う管理者が、
EU域内のデータ主体に商品やサービスを提供する場合、または彼らの行動をモニ タリングする場合に適用される(3条2項)。
(当初案では最大100万ユーロ、又は年間世界売上の2%の課徴金が規定されていたがLIBE委員会で修正)
※企業は漏えいや不正使用などのネガティブ情報の収集と管理、経営者へ の報告、監督機関への報告、及び本人への連絡などの一連の対応を行う組 織を確立し、手続きに関するルールを定立する必要がある。
※EU域内に所在し事業を行う企業、EU域外からインターネットを介して商品・
サービスを提供する事業やクラウドなどの事業を行う企業も対象になる。
参考 EU一般データ保護規則提案で企業活動に影響が大きいと思われる項目
37