データ保護指令(95/46/EC)
1 プライバシー指令の発効
 個人データの処理に係る個人の保護及びその自由な流通に関する欧州議会及びEU理事会指令(95/46/EC)は、1995年10月24日、EUで採択され、同指令は1998年10月25日発効した。
 EU構成国は、同指令の規定を、1998年10月24日、即ち発行前までに国内法に導入しなければならない(指令32条)。

2 EU構成国動向
 ギリシャとイタリアを除くEU構成国は、すでにプライバシー保護ないしデータ保護に関する国内法が存在していた。しかし、各国法の相違はEU域内においてデータの自由な流通の障害となると考えられた。EU指令は、その障害となっている各国法の相違を減じることを目的としている。
 元々プライバシー保護法ないしデータ保護法が無かったギリシャとイタリアでは、ダイレクトに同指令を国内法化し、すでに国内法を採択している。
 イギリスでは、EU指令を国内法化する法案が作成され、1998年7月16日成立した。
 フランスでは、EU指令の国内法化にむけ、ジョスパン首相の命により作成されたブレバンレポートを下に法案の検討段階にある。従って、データ保護指令32条は守られていないが、従来から存在するデータ保護法(CNIL)によりカバーしている。

3 第3国への個人データ移転
 データ保護指令の中で、日本を含む第三国において最大の問題とされているのが、第3国への個人データ移転に関する第4章、25条、26条である。
 以下、指令を引用する(出典:郵政省電気通信局電気通信事業部データ通信課仮訳)。

 25条 
 1 構成国は、処理過程にある個人データまたは移転後処理することを目的とする個人データの第三国への移転は、この指令の他の規定に従って採択された国内規定の遵守を損なうことなく、その国が十分なレベルの保護措置を確保している場合に限って行うことができるということを定めなければならない。(2条以下略)
 26条
 1 第25条の適用を制約する場合、特別な場合を規律する国内法に別段の規定がない限り、構成国は、第25条第2項の規定の意味における十分なレベルの保護を保障しない第3国に対する個人データの移転または一連の移転は、次の条件を満たした場合に行うことができることを定めなければならない。
 a データ主体が、予定されている移転に対して明確な同意を与えている場合。又は、
 b 移転が、データ主体及び管理者間の契約の履行のために、又はデータ主体の要請により契約締結前の措置の実施のために必要である場合。又は、
 c 移転が、データ主体の利益のために、管理者及び第三者間で結ばれる契約の締結又は履行のために必要である場合。又は、
 d 移転が、重要な公共の利益に基づいて、又は法的請求の提起、行使又は防御のために必要である場合、又は法的に要求される場合。又は、
 e 移転が、データ主体の重要な利益を保護するために必要である場合。
 f 法律又は規則に基づいて情報を一般に公開し、及び一般大衆又は適法な利益を主張する者に対する閲覧を意図した記録から、特定の場合閲覧に関する法律に規定された条件を満たす範囲内で、移転が行われる場合。
 2 第1項の規定を損なうことなく、構成国は、管理者がプライバシー、個人の基本的な権利及び自由の保護、及びこれに係る権利の行使に関して、十分な保護措置を提示する場合には、第25条第2項の規定の意味における十分なレベルの保護を保障しない第3国への個人データの移転を許可することができる。このような保護措置は、特に適当な契約条項によることができる。

 以上が25条、26条であるが、問題は、どのような場合にデータの移転が認められ、どのような場合に認められないか、である。
 まず、第3国が十分なレベルの保護措置を確保している場合にのみ、データの移転が許されるというのが基本原則である(25条1項)。しかし、十分なレベルの保護措置を確保していない第3国に対してもデータの移転が認められる特別な場合がある(26条)。 そこで、いかなる場合に「十分なレベルの保護」があるといえるのかが問題である。指令によれば、十分なレベルか否かはケースバイケースに検討されることになる。それは、必ずしも、データ保護指令と似通った立法を要求するものではないとされている。しかし、損害賠償請求権が保障されないような措置では不十分とされている。結局のところ、「十分なレベルの保護」として何を要求するのかは、EUの考えがはっきり見えてこない。EU自体も、政治的経済的摩擦を考慮し、弾力的な解釈ができるよう、あえて曖昧にしているのではないかとすら思われる。
 また、監督機関によって第三国が十分なレベルの保護に値しないと認定された場合、委員会は、他の構成国にその情報を公開することとされているし、データの流出をブロックすることもできる。
 ところで、我が国では、公共部門と民間部門を切り離し、別個の規制の下におくというセクトラル方式を採用し、民間部門では、事業者が、法的拘束力のないガイドラインにより自主規制を行うという方法がとられている。たとえば、先頃、郵政省が発表した個人情報保護ガイドラインは、電気通信事業者を規制の下におくガイドラインであるが、監督機関の定めや制裁の定めが一切ない。民間部門における電子商取引にかかる個人情報の保護に関するガイドラインの場合も同様である。違反があった場合、何ら法的措置を執ることができないこのような方式が、十分なレベルの保護にあたるかどうかは疑問であり、法的整備を進める必要がある。
 法的規制の必要性については、すでに十分認識されていると思われるが、そのための具体的取り組みはなされていないのが現段階の状況である。

4 最後に
 我が国では、従来からネット外においても、データの蓄積及びその流通に関して特段の法的規制はなかった。日常生活を振り返っても、全く買い物をしたことのない業者からダイレクトメールが届いたり、それが年齢や嗜好などを知られているのではないかと思われるような内容であったりすることに不安を覚えることが多い。しかし、それに対して情報の開示を求めるなど何らかの措置が執れるのかは十分に検討されてもいない。そこでは、プライバシーの権利は一人に放っておいてもらう権利というように消極的権利としてのみ捉えられ、個人が間違ったデータを修正するよう求めたり、自分のデータがどのような内容であるか確認を求めたりという請求権として保護されているのかどうか、はなはだ疑わしい限りである。
 むしろ、我が国では、従来から、データに関する自由放任こそ、商取引を活性化すると捉えられていた印象すらある。
 これに対し、データ保護指令では、データ主体に対し、アクセス権等を認め、個人データをデータ主体が自分の意思でコントロールできる。プライバシーの権利は、まさに自己の情報をコントロールする積極的権利と捉えられている。しかも、そのような権利を与えることにより、商取引がより活性化すると考えられているのである。即ち、EUは、個人データの取り扱いに関する個人の信頼感が、個人データの処理や個人データの移転を促進し、電子商取引の発展に寄与する、という考えを基本的発想としている。
 それは、データの保護と同時に、個人データの自由な流通を阻害しないことをも定めたデータ保護指令の目的(1条)にも現れているとおりであり、EUはデータの保護に偏るのではなく、同時に、データの自由な移転をもめざしているのである。
 データが全世界的に移転する時代を迎えた今、流通するデータが乱用されることがないという安心に支えられた確固たる基盤こそが、一般消費者に商取引に対する安心感をあたえ、ひいては、電子商取引など新しいスタイルの取引を促進することになる。いずれにしても、EUの発想は、我が国においても、取り入れるときがきている。

なお、米国とEUは、1999年1月末、本件に関する交渉を行っているが、解決 に至っていない。EUの側からは、米国の規制は不十分であると判断しているようで ある。米国とEUとは、対話を続け、本年6月21日以前には決着をつける方針とさ れている。

1999年3月25日    井奈波 朋子

戻る