欧州連合（EU）で、２０１６年４月２７日に、欧州議会と理事会が個人データ保護規則を決定しました。
施行は、２年後の２０１８年５月２５日です。
理事会が規則案を提案してから正式に決定するまで約４年かかりましたが、現在の法枠組みであるEUデータ保護指令からの大きな変更もあり、ヨーロッパでビジネスを展開する日本企業にとっては、内容を確認しておきたいところです。
制定の経緯と手続を見ていきましょう。

現在の法枠組み：EU個人データ保護指令

EUの個人データ保護といえば、EU個人データ保護指令を思い浮かべる方が多いのではないでしょうか。２０１８年５月２４日までは、EU指令が効力を有しています。
１９９５年に立法されたEU指令の正式名称は、DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data（個人データの処理に係る個人の保護及び当該データの自由な移動に関する１９９５年１０月２４日付け欧州議会と理事会の欧州共同体１９９５年４６号指令）です。以下、EU指令と呼びます。

指令の中に欧州共同体（EC）という名称が出てきますが、ECについてはミニ知識を参照してください。

EU指令の英語の条文はこちら
堀部政男研究室の和訳が総務省のウェブサイトに掲載されています。

EUデータ保護改革：ネットワーク社会におけるプライバシー保護

EU指令は、広く統一的なデータ保護を目指した指令でしたが、指令は国内法化・国内実施が必要とされるため、一般原理としては統一されながらも、各構成国の法律には様々な違いがありました。EU内でビジネスを展開する企業にとっては、各国の法制を確認しなければならないことは大きな支障となります。
もっとも、EU指令はその統一的な個人データ保護法制という性質のため、各国の立法に大きな影響を与えてきました。日本も例外ではありません。

その後、インターネットの進化により、技術の発展や個人データを利用するビジネスが増加していきます。クラウド・コンピューティング、ソーシャル・ネットワーキングといったビッグデータ時代の到来は、EU指令に代わる新しい法制を促します。

新しい法令がEU個人データ保護規則です。正式名称は、Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) （個人データの処理に係る自然人の保護及び当該データの自由な移動並びに１９９５年４６番ＥＣ指令の廃止に関する２０１６年４月２７日付け欧州議会及び理事会の２０１６年６７９番ＥＵ規則（一般データ保護規則））です。長い名前なので、このブログでは、「EUデータ保護規則」または「EU一般データ保護規則」と呼ぶことにします。

EUデータ保護規則は、新しい技術の進展に対応しEU市民のプライバシーを保護しながら、EU構成国のデータ保護法の均一化を目指して制定されました。規則という法形式は、指令という法形式と異なり国内法の制定を必要としません。このため、EUデータ保護規則は、２０１８年５月２５日の施行とともに、すべての構成国で法的効力を有することになります。いくつかの例外がありますが、指令と比べて構成国ごとの法制の違いが減少し、ビジネスにとっての障害が取り払われました。
一方、罰則が強化されたことなどは、ビジネスにとっては大きな脅威でもあり、個人データ保護のコンプライアンスにより力を入れる必要が増したといえるでしょう。

なお、EUのデータ保護改革は、犯罪・刑罰執行に関する個人データの保護についても行われ指令として、個人データ保護規則と同じ日に指令が制定されています。正式名称は、Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHAで、日本語では、「犯罪又は刑事罰の執行における予防、捜査又は起訴を目的とする権限ある機関による個人データの処理に係る個人の保護及び当該データの移動に関する２０１６年４月２７日付け欧州議会及び理事会の２０１６年６８０号指令」と訳しておけばいいかと思います。

本サイトでは、EU個人データ保護規則を中心に書いていきます。以下、EU規則と略して呼びます。

EU個人データ保護規則の制定手続

EU規則の制定手続の詳細は、EUのウェブサイトに詳しく掲載されています。Procedure 2012/0011/COD　制定手続の経過は、下に表にしてまとめました。

そこでは、改正の法的根拠として、EU運営条約１６条２項、１１４条１項、２９４条６項があげられており、EU規則が「通常立法手続」によって改正されていることがわかります。
EU運営条約は、EU機能条約とも呼ばれていますが、ここでは『国際条約集』（有斐閣、２０１６年）の訳にしたがい「EU運営条約」とします。英語の正式名称は、the Treaty on European Union and the Treaty on the Functioning of the European Unionで、条文はEUのサイトに掲載されています。必要な部分を抜粋しておきましょう。

Article 16

1. Everyone has the right to the protection of personal data concerning them.
2. The European Parliament and the Council, acting in accordance with the ordinary legislative procedure, shall lay down the rules relating to the protection of individuals with regard to the processing of personal data by Union institutions, bodies, offices and agencies, and by the Member States when carrying out activities which fall within the scope of Union law, and the rules relating to the free movement of such data. Compliance with these rules shall be subject to the control of independent authorities.

Article 114

1. Save where otherwise provided in the Treaties, the following provisions shall apply for the achievement of the objectives set out in Article 26. The European Parliament and the Council shall, acting in accordance with the ordinary legislative procedure and after consulting the Economic and Social Committee, adopt the measures for the approximation of the provisions laid down by law, regulation or administrative action in Member States which have as their object the establishment and functioning of the internal market.

Article 294

1. Where reference is made in the Treaties to the ordinary legislative procedure for the adoption of an act, the following procedure shall apply.
2. The Commission shall submit a proposal to the European Parliament and the Council.

First reading

3. The European Parliament shall adopt its position at first reading and communicate it to the Council.
4. If the Council approves the European Parliament’s position, the act concerned shall be adopted in the wording which corresponds to the position of the European Parliament.
5. If the Council does not approve the European Parliament’s position, it shall adopt its position at first reading and communicate it to the European Parliament.
6. The Council shall inform the European Parliament fully of the reasons which led it to adopt its position at first reading. The Commission shall inform the European Parliament fully of its position.

Second reading

7. If, within three months of such communication, the European Parliament:

(a) approves the Council’s position at first reading or has not taken a decision, the act concerned shall be deemed       to have been adopted in the wording which corresponds to the position of the Council;

(b) rejects, by a majority of its component members, the Council’s position at first reading, the proposed act shall       be deemed not to have been adopted;

(c) proposes, by a majority of its component members, amendments to the Council’s position at first reading, the      text thus amended shall be forwarded to the Council and to the Commission, which shall deliver an opinion on          those amendments.

EU規則の制定手続は、上記の規定のうち、欧州議会が第二読会で理事会の第一読会における立場を承認し、制定されました。

図で示してみます。

表：EU個人データ保護規則の制定手続

２０１６年９月２９日更新：EUデータ保護規則の英語の正式名称を追加。EU規則の制定手続のリンクを設置。
２０１７年３月１４日更新：誤植を直しました。

この 作品 は クリエイティブ・コモンズ 表示 – 非営利 – 改変禁止 4.0 国際 ライセンスの下に提供されています。