EU加盟国は15日に開いた司法・内務相理事会で、現行のデータ保護指令に代わるデータ保護規則案の内容で合意した。規則案には検索エンジンやソーシャル・ネットワーキング・サービス(SNS)などのユーザーが事業者に対し、個人情報の削除を要求できる権利の保障や、違反企業に対する罰則などが盛り込まれている。年内の最終合意に向け、今月24日に欧州議会、閣僚理事会、欧州委員会による3者協議を開いて詳細を詰める。
データ保護規則はソーシャルネットワークの急速な普及などに伴って発生した新たな課題に対処するため、欧州委が2012年に提案したもの。具体的にはネット上で公開された名前や写真などの個人情報について、本人がいつでもSNS、検索サービス、ウェブサイトなどの事業者にデータの削除や訂正を要求できる「忘れられる権利」の導入や、データの取り扱いに際して事業者が守るべき義務、違反した企業に対する罰則などを定めている。国内法への転換が必要な指令と異なり、規則が施行されるとEU域内でデータ保護ルールが一元化されるため、複数の国で事業展開する企業はこのうち1カ国で各種手続きを行えば済むようになり、大幅なコスト削減につながる。欧州委はこうした「ワンストップショップ」と呼ばれるメカニズムの導入により、EU全体で年間23億ユーロの経費節減が可能と試算している。
規則案によると、一連の規制はEU内で活動するすべての企業に適用されるため、米グーグルやフェイスブックなども忘れられる権利に基づく個人情報の削除要求に応じたり、EU域外へのデータ移転に関するルールなどに従わなければならない。一方、各国のデータ保護当局の権限が強化され、EUルールに違反した事業者に対して世界における年間総売上高の最大2%の罰金を科すことができるようになる。
欧州議会はすでに昨年3月に規則案を承認しているが、違反企業に対する罰則については罰金の上限を年間売上高の5%とする修正を加えており、今後の協議で争点になる公算が大きい。また、ワンストップショップに関しては、複数の国で事業展開する企業の各種手続きを処理する主管機関が特定の国に集中する可能性が指摘されている。これは米国の大手IT企業の多くが法人税率の低いアイルランドに欧州事業の拠点を置いていることが背景で、英国、ドイツ、フランスなどがワンストップショップ制度の導入に難色を示している。
