欧州議会の産業委員会は20日、EUの「データ保護指令」の改訂版となる「データ保護規則(案)」の修正案を賛成多数で承認した。欧州委員会が昨年1月にまとめた原案に比べ、事業者に対する義務や罰則を実質的に一部緩和する内容になっており、消費者団体などからはインターネット上の個人情報保護強化という目的の達成を危ぶむ声が出ている。
\欧州委が策定した規則案は、データ保護指令の採択から17年が経過し、クラウドコンピューティングをはじめとする技術的進歩やソーシャルネットワークの急速な普及などに伴って発生した新たな課題に対処するためのもの。指令に基づく国内法への転換を要求する現行規制と異なり、EU域内でデータ保護ルールが一元化される。具体的にはネット上で公開された名前や写真、クレジットカードなどの情報について、本人がいつでも事業者にデータの削除を要求できる「忘れられる権利」などを新たに導入する一方、EU域内から域外への国際データ移転のための手続きを簡素化することなどを柱とする内容。事業者はこのほか◇個人情報の取り扱いについて予め利用者から明確な同意を得る◇利用者がいつでも容易に自分の情報にアクセスできるようにする◇利用者がプロバイダーを変更する際、個人情報を簡単に移動できるようにする◇セキュリティ上の問題が生じた場合、速やかに(可能であれば24時間以内に)拠点を置く国のデータ保護当局に報告する――などが義務づけられる。
\ロイター通信によると、欧州委は違反した事業者に対し、世界における年間売上高の最大2%の制裁金を科すことを提案していたが、ITREの修正案では各国の規制当局に罰則を決める権限が付与されている。また、ブラウザの閲覧履歴を基にユーザーの関心や嗜好に合わせて広告を配信する「行動ターゲティング広告」の実施にあたり、ユーザーの同意取得を事業者に義務づけるルールも削除されている。
\欧州各国の消費者団体が加盟する欧州消費者機構(BEUC)首脳はロイター通信に対し、ITREの提案は違反事業者に対する罰則を軽減する内容で、本人が知らない間に商業目的による個人情報へのアクセスを許すことになるなどと批判している。これに対し、ITREのメンバーでアイルランド選出の欧州議員は、中小企業の負担を軽減するため罰則規定を緩和する必要があると考えたと説明。「違反の重大性を考慮したうえで、直ちに制裁を加えるのではなく、まず警告を発してルールを遵守させる方が効果的だ」と強調している。
\規則案は4月末に欧州議会市民の自由・司法・内務委員会(LIBE)で採決が行われる予定。一方、EU加盟国は3月8日の司法相理事会で規則案について協議する見通しとなっている。
\
