第1回：EUで始まる新しい一般データ保護規則「GDPR」とは？

EUのデータ保護指令からGDPRへ

EUのデータ保護法は、GDPRの適用開始によって初めて誕生するものではありません。EUにおけるデータ保護法としては、1995年のデータ保護指令に基づいて、EUの加盟国各国が立法した、加盟国法としてのデータ保護法があります。GDPRの適用開始日までは、加盟国法としてのデータ保護法の執行が引き続きなされます。過去20年間に、急速な技術革新とグローバリゼーションが進展し、データの共有と収集の規模が飛躍的に増大してきました。それに伴って、「個人データ保護には新たな課題が提起されており、EUでは強固な執行に支えられた、強力でより明確なデータ保護の枠組みが必要とされている」と考えられたことが、2012年に欧州委員会でGDPRの立法提案が行われたきっかけでした。

2016年4月14日、GDPRは欧州議会において正式に採択されました。その後、GDPRの適用開始日が2018年5月25日となることが決まりました。GDPRは、「EUデータ保護法の範囲の拡大」、「統一性の増大」、「企業に対する説明責任義務の導入」、「個人の権利の強化」、「制裁と執行の強化」を目的とするものです。GDPRに違反した企業には、最大で、企業の全世界年間売上高の4%以下または2000万ユーロ以下のいずれか高い方を上限とする高額の制裁金が科せられる恐れがあります。

作業部会は以下の3つによって構成されます。

1. 各EU加盟国によって指名された監督機関の代表者
2. EU機関のための監督機関である欧州データ保護監視官局の代表者
3. 欧州委員会の代表

1997年以来、作業部会は数々の拘束力のない意見書およびレコメンデーションを発出しており、EUのデータ保護法の実務において大きな影響力を有してきました。GDPRでは、作業部会の機能を欧州データ保護会議が引き継ぐことになります。

EUのデータ保護法の目的

EUのデータ保護法は、個人データの保護に対する権利という基本的人権の保護を目的とするものです。EUのデータ保護指令第1条は、「当該指令の目的として、EUの加盟国が当該指令に従い、自然人の基本的人権、特に、個人データの処理に関するプライバシー権を保護しなければならない」と規定しています。また、EU基本権憲章第8条第1項およびEU機能条約第16条第1項は「全ての者が自己に関係する個人データの保護に対する権利を有する」と規定しています。GDPRは自然人の基本的人権と自由、特に個人データの保護に対する権利を保護することを目的とするものとされています。すなわちGDPRは、EUの憲法であるEU基本権憲章によって保護される価値である個人データの保護に対する権利を保護することを目的とするEU法なのです。これが、GDPRの解釈を考える上でまず忘れてはならないポイントの一つです。