|
個人情報の第三国への転送に関するEU指令(Data Protection Directive (95/46/EC). )に基づいて続けられてきたEUと米国の間の話し合いは、4月に基本合意に達し、今回のサミット前には最終合意に達すると見られていました。ところが、EUのニュースリリースによるとこの最終合意は見送りとなり、さらに今年の秋まで話し合いが継続することになりました。
4月の基本合意はそれまでのEUの個人情報・プライバシー保護の姿勢からすれば大幅にEU側が譲歩した内容と感じられていましたから、EU諸国の多数の賛同を得るには至らなかったのかもしれません。
これについてEUは2つのリリースを発表しています。ひとつは、EU諸国内部の会合の結果についてのEU/US- Data protection dialogue - 14 June meeting of EU Member Statesともうひとつはサミットに向けての米国との共同報告書であるJoint Report on Data Protection Dialogue to the EU/US Summit, 21 June 1999のふたつです。 まず、EU諸国の内部の会合では、4月の基本合意では米国のsafe harborをEU指令の25条6項の適切なレベルの保護と認めるかのごとくでしたが、さらに作業が必要であるとしています。そして"safe harbor" arrangements について "The arrangements have to meet both the goals of the dialogue - providing security for data flows, and safeguarding the right of individuals to high data protection standards." として情報の流通の安全性と個人の権利の保護を必要としています。 さらに "On the EU side, the principles would be met by a decision recognising that they represented an "adequate protection" standard, as required by the EU Data Protection Directive for transfers of personal data to third countries." 要するにEUサイドとしては、safe harborは個人情報を第三国へ転送するためのEU指令によって要求される適切な保護に適合させられるだろうという強い意志を示しています。また、それには "A formal decision under the Directive (Article 25.6) to approve the "safe harbor" principles as providing "adequate protection" would require the support of a qualified majority among the Member States." として公式の決定には、EU諸国の資格のある多数の指示を必要とするであろう。 とEU諸国内の合意を重視する姿勢を示しています。 そしてこのリリースでもう一つ注目すべきは "To complete the framework, it is necessary to have, in addition to the principles themselves, a clear understanding on how the "safe harbor" would work." ではないでしょうか。すなわちこの枠組みを完成させるには、その原則自体だけでなく、"safe harbor"がどのように機能するかについての明確な理解が必要だとしています。したがってsafe harborを作ることが目的ではなく、それが個人情報保護にとってどれほど役に立つかという視点で見ているわけです。 この視点はわが国の個人情報保護を考える上でも重要な点です。privacy policyをコンピュータで自動的に作成して、それをweb上に掲示すれば、個人情報の取り組みとして完結するというような安易な姿勢は、このような視点とは全く相容れないと云うことができます。わが国のJIS Q 15001が単にスタンダードを定めるだけに止まらず、さらに組織・教育についてまで及んでいるのは、この面から理解可能であり、また、意味深いものです。 次に共同の報告書では、まず、"safe harbor" arrangement について双方ともに秋までにまとめる計画であるとしています。 議論は"safe harbor"そのものよりもFAQの中でどのように具体化するかという点に移っているのですが、その中心は "On the procedural and enforcement aspects, work is also progressing but further work is needed on both sides. " つまり、手続きと法的強制について一層の作業が必要だと云うことです。手続き面では "Discussions so far show that the final arrangement on the EU side will guarantee due process for U.S. organizations participating in the safe harbor if they are the subject of non-compliance complaints. Those organizations will also be ensured non-discriminatory treatment." 要するにEU側はsafe harborに参加しながらそれを守らない企業や団体に対して差別的でない手続き的保障を決めることが課題になっています。 また、米国側としては "On the US side, clarification will be provided concerning the role of independent complaint resolution mechanisms, especially as regards complaint investigation and sanctions for non-compliance that will be sufficiently meaningful to ensure compliance." 要するに米国は個人の苦情解決のメカニズムを明確にすることが必要で、特に苦情の調査とsafe harborを守るようになるためにその違反に対して十分なサンクションを決めることが課題になっています。EUの個人情報に対する基本的考え方の2本柱は、個々の産業別あるいは企業別の個人情報の保護ではなく汎用的な一般的個人情報保護と法的強制ですから、ここでは後者について最低限譲れない線を言ってくるものと思われます。 すでに米国ではTRUSTeやBBBなどの第三者団体が企業や団体の個人情報保護のために "privacy policy"を作成するなどの動きを開始しています。これらはsafe harborに根拠を置くことになりますが、今回の合意の延期により、その内容にも影響が出るかもしれません。また、これはEUと米国の話し合いであってわが国とは直接関係しませんが、日本の企業・団体が現在の米国のTRUSTeなどの個人情報保護に頼ると秋にはさらに改訂が必要になるかもしれません。むしろ、わが国の企業等ではJIS Q 15001について早急に検討を進めたほうが、現実的であり、結果も良い方向に向くのではないかと思います。 |