EU個人データ保護規則(GDPR)―制定の経緯と手続

欧州連合(EU)で、2016年4月27日に、欧州議会と理事会が個人データ保護規則を決定しました。
施行は、2年後の2018年5月25日です。
理事会が規則案を提案してから正式に決定するまで約4年かかりましたが、現在の法枠組みであるEUデータ保護指令からの大きな変更もあり、ヨーロッパでビジネスを展開する日本企業にとっては、内容を確認しておきたいところです。
制定の経緯と手続を見ていきましょう。

現在の法枠組み:EU個人データ保護指令

EUの個人データ保護といえば、EU個人データ保護指令を思い浮かべる方が多いのではないでしょうか。2018年5月24日までは、EU指令が効力を有しています。
1995年に立法されたEU指令の正式名称は、DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(個人データの処理に係る個人の保護及び当該データの自由な移動に関する1995年10月24日付け欧州議会と理事会の欧州共同体1995年46号指令)です。以下、EU指令と呼びます。

指令の中に欧州共同体(EC)という名称が出てきますが、ECについてはミニ知識を参照してください。

EU指令の英語の条文はこちら
堀部政男研究室の和訳が総務省のウェブサイトに掲載されています。

EUデータ保護改革:ネットワーク社会におけるプライバシー保護

EU指令は、広く統一的なデータ保護を目指した指令でしたが、指令は国内法化・国内実施が必要とされるため、一般原理としては統一されながらも、各構成国の法律には様々な違いがありました。EU内でビジネスを展開する企業にとっては、各国の法制を確認しなければならないことは大きな支障となります。
もっとも、EU指令はその統一的な個人データ保護法制という性質のため、各国の立法に大きな影響を与えてきました。日本も例外ではありません。

その後、インターネットの進化により、技術の発展や個人データを利用するビジネスが増加していきます。クラウド・コンピューティング、ソーシャル・ネットワーキングといったビッグデータ時代の到来は、EU指令に代わる新しい法制を促します。

新しい法令がEU個人データ保護規則です。正式名称は、Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (個人データの処理に係る自然人の保護及び当該データの自由な移動並びに1995年46番EC指令の廃止に関する2016年4月27日付け欧州議会及び理事会の2016年679番EU規則(一般データ保護規則))です。長い名前なので、このブログでは、「EUデータ保護規則」または「EU一般データ保護規則」と呼ぶことにします。

EUデータ保護規則は、新しい技術の進展に対応しEU市民のプライバシーを保護しながら、EU構成国のデータ保護法の均一化を目指して制定されました。規則という法形式は、指令という法形式と異なり国内法の制定を必要としません。このため、EUデータ保護規則は、2018年5月25日の施行とともに、すべての構成国で法的効力を有することになります。いくつかの例外がありますが、指令と比べて構成国ごとの法制の違いが減少し、ビジネスにとっての障害が取り払われました。
一方、罰則が強化されたことなどは、ビジネスにとっては大きな脅威でもあり、個人データ保護のコンプライアンスにより力を入れる必要が増したといえるでしょう。

なお、EUのデータ保護改革は、犯罪・刑罰執行に関する個人データの保護についても行われ指令として、個人データ保護規則と同じ日に指令が制定されています。正式名称は、Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHAで、日本語では、「犯罪又は刑事罰の執行における予防、捜査又は起訴を目的とする権限ある機関による個人データの処理に係る個人の保護及び当該データの移動に関する2016年4月27日付け欧州議会及び理事会の2016年680号指令」と訳しておけばいいかと思います。

本サイトでは、EU個人データ保護規則を中心に書いていきます。以下、EU規則と略して呼びます。

EU個人データ保護規則の制定手続

EU規則の制定手続の詳細は、EUのウェブサイトに詳しく掲載されています。Procedure 2012/0011/COD 制定手続の経過は、下に表にしてまとめました。

そこでは、改正の法的根拠として、EU運営条約16条2項、114条1項、294条6項があげられており、EU規則が「通常立法手続」によって改正されていることがわかります。
EU運営条約は、EU機能条約とも呼ばれていますが、ここでは『国際条約集』(有斐閣、2016年)の訳にしたがい「EU運営条約」とします。英語の正式名称は、the Treaty on European Union and the Treaty on the Functioning of the European Unionで、条文はEUのサイトに掲載されています。必要な部分を抜粋しておきましょう。

Article 16

  1. Everyone has the right to the protection of personal data concerning them.
  2. The European Parliament and the Council, acting in accordance with the ordinary legislative procedure, shall lay down the rules relating to the protection of individuals with regard to the processing of personal data by Union institutions, bodies, offices and agencies, and by the Member States when carrying out activities which fall within the scope of Union law, and the rules relating to the free movement of such data. Compliance with these rules shall be subject to the control of independent authorities.

Article 114

  1. Save where otherwise provided in the Treaties, the following provisions shall apply for the achievement of the objectives set out in Article 26. The European Parliament and the Council shall, acting in accordance with the ordinary legislative procedure and after consulting the Economic and Social Committee, adopt the measures for the approximation of the provisions laid down by law, regulation or administrative action in Member States which have as their object the establishment and functioning of the internal market.

Article 294

  1. Where reference is made in the Treaties to the ordinary legislative procedure for the adoption of an act, the following procedure shall apply.
  2. The Commission shall submit a proposal to the European Parliament and the Council.

First reading

  1. The European Parliament shall adopt its position at first reading and communicate it to the Council.
  2. If the Council approves the European Parliament’s position, the act concerned shall be adopted in the wording which corresponds to the position of the European Parliament.
  3. If the Council does not approve the European Parliament’s position, it shall adopt its position at first reading and communicate it to the European Parliament.
  4. The Council shall inform the European Parliament fully of the reasons which led it to adopt its position at first reading. The Commission shall inform the European Parliament fully of its position.

Second reading

  1. If, within three months of such communication, the European Parliament:

(a) approves the Council’s position at first reading or has not taken a decision, the act concerned shall be deemed       to have been adopted in the wording which corresponds to the position of the Council;

(b) rejects, by a majority of its component members, the Council’s position at first reading, the proposed act shall       be deemed not to have been adopted;

(c) proposes, by a majority of its component members, amendments to the Council’s position at first reading, the      text thus amended shall be forwarded to the Council and to the Commission, which shall deliver an opinion on          those amendments.

 

EU規則の制定手続は、上記の規定のうち、欧州議会が第二読会で理事会の第一読会における立場を承認し、制定されました。

図で示してみます。

 

表:EU個人データ保護規則の制定手続

 

月日

経過

2012 1.25 欧州委員会が規則案を採択・提案

欧州委員会副委員長Viviane RedingがEUのデータ保護改革を公表。“The EU Data Protection Reform 2012: Safeguarding Privacy in a Connected World”(EUデータ保護改革2012:つながった世界におけるプライバシーの保護)をスピーチ。

1.27 欧州委員会が欧州議会と理事会に規則案を送付
3.7 欧州データ保護監督機関の意見
5.23 欧州経済社会評議会の意見
10.10 地方委員会の意見
12.7 理事会・準備機関内の議論
2013 3.8 理事会・準備機関内の議論
6.6 理事会・準備機関内の議論
10.7 理事会・準備機関内の議論
12.6 理事会・準備機関内の議論
2014 3.4 理事会・準備機関内の議論
3.12 欧州議会の第一読会、修正決議
6.6 理事会・準備機関内の議論
6.10 欧州議会の第一読会における修正決議に関する委員会の立場
10.10 理事会・準備機関内の議論
12.4 理事会の同意
12.4 理事会・準備機関内の議論
2015 3.13 理事会・準備機関内の議論
6.15 理事会・準備機関内の議論
11.19 欧州データ保護監督機関の意見
2016 1.28 理事会・準備機関内の議論
2.8 理事会・準備機関内の議論
2.10 理事会・準備機関内の議論
3.17 理事会・準備機関内の議論
3.31 理事会・準備機関内の議論
4.4 理事会・準備機関内の議論
4.5 理事会・準備機関内の議論
4.6 理事会・準備機関内の議論
4.8 理事会の第一読会における立場の採択と理由書
4.11 欧州委員会が理事会の第一読会における立場を承認
4.11 欧州議会が理事会の第一読会における立場と理由書を受領
4.12 理事会・準備機関内の議論
4.14 欧州議会の第二読会における意見(修正なし)
4.14 欧州議会議長および理事会議長の署名
4.15 理事会・準備機関内の議論
4.27 欧州議会議長および理事会議長の署名
5.2 EU官報で規則の公表
5.24 規則の発効
2018 5.25 規則の施行

 

2016年9月29日更新:EUデータ保護規則の英語の正式名称を追加。EU規則の制定手続のリンクを設置。
2017年3月14日更新:誤植を直しました。

 

 

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。