今回は、EUデータ保護規則の執行と罰則の強化について考えてみます。
EUデータ保護規則の動向が日本で注目された理由の一つに、巨額の過料があります。「罰金」という用語を使用している文献もありますが、「罰金」は刑事罰で使用される用語であり、EUデータ保護規則で課せられのは行政罰であるため、「過料」という用語の方が日本法の用語の使用に合致していると思われます。 また、日本法の英語訳では、過料は”administrative fine”または”administrative fines”と訳されています。そこで、このサイトでは「過料」という用語を用いることにします。なお、文献によっては、課徴金、制裁金という用語を使用しているものもあります。
さて、2012年に欧州委員会によって規則案が提案された段階では、違反の内容によって、250,000ユーロまたは企業の場合は全世界の売上高の0.5%(いずれか高い方)を上限とする過料、500,000ユーロまたは全世界の売上高の1%(いずれか高い方)を上限とする過料が課される内容となっていました。指令と異なり、きわめて大きな制裁が提案され、データ保護の遵守が以前にもまして企業の経営に大きく影響を及ぼすこととなりました。日本でも数多くの報道がなされたとことです。
それでは、発効したEUデータ保護規則の最終的な内容はどうなっているでしょうか。結論を先取りすると、過料の金額の上限が、1000万ユーロ(企業の場合は全世界の前年の総売上高の2%)または2000万ユーロ(企業の場合は全世界の前年の総売上高の4%)まで引き上げられています。
過料を課す権限は、監督機関の権限の一つです。
EUデータ保護指令では、指令の執行を監督する機関(監督機関といいます。SA:Supervisory Authority)の権限として、調査権限、処理に介入する権限、違反について法的手続を開始する権限などを定めていました(第28条3項)。もっとも、その詳細は構成国の法律にゆだねられていました。その結果、監督機関である国内データ保護機関(DPA:Data Protection Authority)の権限や執行能力は、構成国によってまちまちになっていたのです。
EUデータ保護規則では、監督機関の権限を強化し執行能力を増強するなど、大きな変更がありました。これに伴い課すことのできる過料も巨額なものとなったのです。このことは、規則の前文149項に明示されています。
指令と異なり、規則は国内法の制定を必要としません。また、統一的な執行を目指して統一的な仕組みを講じているため、各構成国の監督機関の権限はこれまでと異なり均一化されることになりました。