IP/IT Law 日誌

IP/IT(知的財産及び情報通信)に関する法律について情報発信をしていきます。

EU個人データ保護規則案

個人情報

個人データ保護規則へ

EUでは、個人情報の取り扱いに関する規制につき、データ保護指令から個人データ保護規則への変更が進められており(Proposal for a General Data Regulation (1/25/12))、2014年5月までには当該規則について加盟国間で合意することを目指しているとされています。(Civil Liberties MEPs pave the way for stronger data protection in the EU)。

ここでは、この個人データ保護規則案(以下、単に「規則」)のうち、適用範囲について定める第3条を、現行のデータ保護指令(以下、単に「指令」)第4条と比較してみたいと思います。

適用範囲の比較

規則の第3条は次のように定めています。

Territorial scope

  1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union. 
  2. This Regulation applies to the processing of personal data of data subjects residing in the Union by a controller not established in the Union, where the processing activities are related to:
    (a) the offering of goods or services to such data subjects in the Union; or
    (b) the monitoring of their behaviour. 
  3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where the national law of a Member State applies by virtue of public international law.

第1項はデータの処理主体(コントローラー)又はその者に代わってデータの処理を行う者(プロセッサー)がEU域内に施設等を有する場合には同規則が適用されることを明示しています。指令第4条1項(c)は、コントローラーはEU域内にないがプロセッサーがEU域内にあるという場合で、当該プロセッサーがデータの転送処理のみをEU域内で行う場合を、データ保護指令指令に基づく規制の対象から除外していたのに対し、規則第3条ではそのような除外はないという違いがあります。

第2項は、コントローラー(及びプロセッサー)の所在地に関係なく規則の適用がある場合を定めており、留意が必要でしょう。すなわち、扱う個人情報がEU域内に居住する個人に関する情報であって、EU域内に居住する個人への物/役務の提供に関する場合及び行動の観察(monitoring of the behavior)に関する場合は、規則が適用されるとしています。

第3項は、指令第4条1項(b)に相当する規定ですね。

補足

ところで、一般論として、指令は加盟国に立法を義務付けるものであるのに対し、規則は加盟国による立法を待たず直接拘束力を有するもの、という違いがあります。今回の指令から規則への変更に際しても、この性質の違いに基づいて文言の調整が図られていますので、そのあたりに、惑われないように。

【参考】指令第4条

National law applicable

  1. Each Member State shall apply the national provisions it adopts pursuant to this Directive to the processing of personal data where:
    (a) the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; when the same controller is established on the territory of several Member States, he must take the necessary measures to ensure that each of these establishments complies with the obligations laid down by the national law applicable;
    (b) the controller is not established on the Member State's territory, but in a place where its national law applies by virtue of international public law;
    (c) the controller is not established on Community territory and, for purposes of processing personal data makes use of equipment, automated or otherwise, situated on the territory of the said Member State, unless such equipment is used only for purposes of transit through the territory of the Community.
  2. In the circumstances referred to in paragraph 1(c), the controller must designate a representative established in the territory of that Member State, without prejudice to legal actions which could be initiated against the controller himself.