3月14日、EUと米国のプライバシーをめぐる話し合いが最終決着しました。正確にはサイバースペースなどの部分は、継続協議となっていますから部分的最終決着というべきでしょう。
簡単にこれまでの経緯を説明します。98年にEUが発行させた個人情報保護に関する指令(95/46/EC)の25条1項には
1.加盟国は、処理されている、又は後に処理される予定の個人データの第三国への移動は、当該第三国が適切なレベルの保護を提供している場合に限られることを規定するものとする。但し・・・。として適切な個人情報保護をしていない国にはEUから個人情報を移動することを禁止するように指示を出しています。電子商取引(EC)には個人情報の移動が必須ですから、そのままではECの発展を損なう可能性が生じました。しかし、同じ25条6項に 6.委員会は第31条2に規定されている手続きに従って、個人のプライバシー権、基本的自由及び権利の保護に対する第三国の国内法、又は委員会が特に第5項で触れた交渉の結果に基づいて実施した国際的介入によって、本条第2項の枠内で適切なレベルの保護を確保していることを認定することができる。つまり、適切な個人情報保護をしているというお墨付きの発行を規定しています。そこで米国は98年以来2年間あまり、政府のガイドラインての"safe harbor"を中心とした法的規制を伴わない自主規制方式を適切な保護と主張して話し合いを継続してきましたが、今回、その話し合いの一部について最終合意に達したというものです。 両者間での中心議題はEUの2月24日のリリースによれば次の通りです。 One major issue of concern was the way in which the principles of data protection will be enforced in the US, and in particular the accuracy and reliability of the list of companies adhering to the "Safe Harbour" and the possible sanctions for non-compliance. Another difficult issue was the way in which existing US laws could be integrated into the arrangement. すなわち、米国で個人情報を守る原則の実施方法、そして特にsafe harborを守る企業・団体のリストの正確性と確実性、さらにsafe harborに従わない者に対する制裁・処罰の可能性が中心的議題でした。その他に困難な問題だったのは、現在存在する米国法を今回の合意の中にどのようにまとめるかであったとしています。 このうちの前者について同じリリースで From the US side, Mr Aaron stressed that the US had statutory powers to ensure that self-regulation was enforced since any company in breach of obligations voluntarily entered could be sanctioned by US regulatory and/or law-enforcement agencies at both state and federal level. Any such cases would be treated as a matter or priority. 「アーロンは、会社・団体が自から課した義務に違反した場合、政府の監督機関や法律執行機関によって制裁を受けることになる自主規制を確実なものにする米国の制度的権力を強調した」としています。 米国商務省のプレスリリースではあまり明確ではありませんが、ルクセンブルグでの共同記者会見ではEU代表のDIRECTOR GENERAL MOGGはSanctionsについて "Sanctions are not so much there to be used but rather to anticipate problems by discouraging laxity or discouraging non-compliance." と云っています。 また米国のUNDER SECRETARY AARONはもっと詳しい説明を求めた質問に対して "One is to how to properly integrate U.S. national privacy laws into the safe harbor. We have an extensive legislative framework for privacy in the United States. We want that to be part of the safe harbor;" としています。米国にはいくつかのプライバシー法があり、それをsafe harborの中にいかに取り込むかであるとしていうことです。 そのほかにもこの記者会見で、Aaronは if you are a company and you say that you are going to follow certain privacy rules, join a privacy organization, adopt the Safe Harbor rules and practices, and you don't do that, that's a deceptive business practice. And that is not only wrong, it is a crime. And this can and will be followed up by the Federal Trade Commission. It can and will be followed up by the Attorney General and the Attorney Generals of the various states, which are also keenly interested in privacy. プライバシーのルールに従うと云い、またプライバシー保護団体に参加しながらそれを守らなかったならば、それは誤魔化しの業務行為であり、悪いことである云うだけではなく、犯罪であって、FTCだけでなくプライバシーに鋭敏な連邦・州の検事総長の追及を受けるとしています。 このように見てくると断定的ではないのですが、safe harborにしたがわない者に対してかなり厳格な姿勢を取ると読みとることができます。 但し、ニューヨークタイムスは"The thrust of the agreement deals mainly with transfers of data between offices of multinational companies. The more complicated issues of how that directive will apply to financial services and cyberspace remain in dispute. " と伝えています。 この話し合いの結果を受けて米国商務省はsafe harborとそのFAQの最新版を提示しています。 そこでこの合意のわが国への影響ですが、商務省の Daley 秘書官は "I believe it also has important implications for developing self-regulatory models that could be useful in other areas." と述べています。また、EUは2月24日のリリースで "On the EU side, the principles would be met by a decision recognising that they represented an "adequate protection" standard, as required by the EU Data Protection Directive for transfers of personal data to third countries. " と述べています。つまりこの合意が米国以外の国がEUと同じ問題で交渉する際のスタンダードになると見ています。わが国は米国と同様に自主規制方式を主張してきました。しかし、今回の話し合いでは、純然たる自主規制ではなく、かなり行政機関の監督が盛り込まれていると見られますから、わが国に対しても同様の程度の個人情報保護が要求されると予想されます。政府は個人情報法保護法制専門委員会で具体的な法制化を検討していますが、その前提となった後陣情報保護法検討委員会の中間報告は、電気通信など一部の分野をのぞいては緩やかな制度となっており、今回の合意との整合性が課題になると考えられます。 |