2週間ほど前の2016年4月14日に、欧州議会で「EU一般データ保護規則」（以下、「保護規則」）が可決され、2年後の2018年から施行されることになった。国内では、個人情報保護法が改正され、個人データ利活用の進展が期待されているところであるが、保護規則の成立によって、欧州を含むグローバルでのビジネスを展開する企業に、高いハードルが課されることになった。

ハードルの所在：EU域外への個人データ移転の原則禁止

例えば、日本企業の製品販売拠点がEU域内にある場合に、製品販売先（拠点から見た顧客）のリストはもちろんのこと、たとえ拠点従業員の名簿であってもEU市民の個人データを自由にEU域外へ移転することはできない。移転するためには様々な条件（保護規則が求める規制）をクリアする必要がある。

EU域外への個人データの移転手続き

保護規則に違反せずにEU域外へ個人データを移転するために、日本として最も望ましい手続きは、改正個人情報保護法をもって、プライバシー保護に十分な法制度が整備されている国であるという認定（十分性認定）を得ることだ。しかし、今次の改正法の範囲ではなかなか難しく、また仮に得られるとしても交渉に長い時間が必要であろうと言われている。

ただし、十分性認定を得る以外の例外措置も用意されており、①第三国への移転について本人から明確な同意を得る方法、②拘束的企業準則（BCR）と呼ばれる、データを移転するグループ全体で統一された規則を定めて承認を得る方法、③標準契約条項と呼ばれる、データを移転する企業間で、予め定められた様式に従った契約を交わす方法、の3種類がある。日本においては、個人データを移転しようとする企業は、当面これら①～③のいずれかの方法を選択する事になる。

違反時の莫大な制裁金

もし保護規則に反して、勝手に個人データを持ち出すとどうなるのか。重大な違反の場合は、その企業の全世界の連結売上高の4%あるいは2,000万ユーロという莫大な制裁金を科されるおそれがある。これは、企業の業績に深刻な打撃を与えかねない数字である。

新たな規制

次に、従来からある「EU個人データ保護指令」にも存在した規制のほかに、今回の保護規則の施行によって新たに追加されることになる主な規制事項を紹介する。繰り返しになるが、EU市民の個人データを取り扱う場合には、これらの規制に従う必要がある。

忘れられる権利

例えば、利用目的を達成して用済みになった個人データや、本人が利用の許諾（同意）を撤回した個人データについて、その削除を管理者に求める権利、また児童がリスクを認識せずに提供した個人データについては、たとえ同意があったとしても、以後の拡散を管理者に停止させる権利をいう。例えば google では、こうした権利の行使に伴う削除結果を「欧州のプライバシーに基づく検索結果の削除リクエスト」として公表している。

データ・ポータビリティの権利

「情報主体者が情報管理者によって処理された個人情報を電磁的フォーマットで取得する権利」をいう。この権利によると、例えば、利用者がSNSサービスを他のサービスに切り替える際など、管理者に妨害されることなく、自分の個人データを一定のフォーマットで入手し、他のサービスに移転することができるようになる。 このデータ・ポータビリティは、モバイルとデジタルの時代に生活者に様々なメリットをもたらす究極のパラダイムシフトを生み出すとされ、産業界においても議論が進められている。

プロファイリングを含む自動処理の原則禁止

個人データの自動処理結果だけに基づいて、本人の個人的側面の評価や、本人の業務パフォーマンス、経済状況、位置、健康、個人的嗜好、信頼性、行動を分析・予測されない権利をいう。個人情報保護法の改正に先立って制定された「パーソナルデータの利活用に関する制度改正大綱」においても、個人に関する多種多様な情報を横断的に分析・活用することによって生まれる技術革新や、そうした技術革新に基づく新規ビジネスの創出等が期待されている一方で、横断的に分析・活用して良い情報の範囲を誰がどのように定めるのか、そうした分析・活用による個人の権利利益の侵害をどのように抑止するのか等については、実際に発生している被害や、分析・活用を実施する者による自主的な取組み内容、また諸外国における考え方を勘案して継続的に検討すべき課題とされ、日本においても慎重な対応が求められている。

欧米流プライバシーに明るい人が少な過ぎる

グローバルでのビジネスを展開する企業は、OECDプライバシー8原則や改正個人情報保護法だけに目を向けるのではなく、EUの保護規則を含む海外の法制度にも十分留意することが肝要である。

一方、保護規則において新たに追加された規制事項のうち、データ・ポータビリティ、プロファイリング等は、究極のパラダイムシフト、新たなビジネスを創出するためのイノベーションとしての期待が大きく、これらの領域において、日本が遅れをとらないよう活発な議論が展開されることを期待している。

そのためには、せっかくできた個人情報保護委員会を大幅に増員して欧米に伍するための十分な体制を整えること、データ・ポータビリティやプロファイリング等の適切な実現方法を議論できる、プライバシーに明るいIT 技術者（あるいはIT技術に明るい法律家）を大勢育成することが必要と考える。「日本でいう個人情報」にだけ詳しい人がいくら増えてもダメで、欧米流プライバシーに明るい若者を多数育成することが、個人データを活用する事業領域での日本の産業競争力の強化に大いに貢献するだろう。

本文中のリンク・関連リンク：

• i.Yahoo!JAPANニュース：EU一般データ保護規則可決、そして情報社会の民主主義について
• ii.総務省：「個人データ保護規則」案 仮訳
• iii.総務省：「EU、米国における個人情報・プライバシー保護等に関する制度の概要」, P.2
• iv.経済産業省：事務局説明資料, PP.13-14
• v.国立国会図書館：「忘れられる権利」をめぐる動向
• vi.欧州のプライバシーに基づく検索結果の削除リクエスト
• vii.JEITA：EUデータ保護指令改定に関する調査・分析報告書, P.14, 36
• viii.IoT 時代におけるプライバシーとイノベーションの両立, P.8
• ix.総務省：プロファイリングの効用と課題
• x.高度情報通信ネットワーク社会推進戦略本部：パーソナルデータの利活用に関する制度改正大綱

＜参考文献＞

• xi.ITPro：「EUデータ保護規則」の衝撃［第1回］日本企業が巨額罰金を科される日
• xii.ITPro：「EUデータ保護規則」の衝撃［第2回］「十分性認定」のない日本企業
• xiii.ITPro：「EUデータ保護規則」の衝撃［第3回］欧米セーフハーバー合意の舞台裏