欧州議会、個人情報保護策を可決　多額の制裁金導入

【ブリュッセル=森本学】欧州議会は14日、仏ストラスブールで開いた本会議で、欧州連合（EU）域内の個人データ保護を大幅に強化する「一般データ保護規則」を可決した。個人データを扱う企業が情報をEU域外に持ち出すことを厳しく規制し、違反した場合には多額の制裁金を科す。新ルールは2年後に適用開始となる。

新規則はEUに拠点やデータ処理施設がある企業だけでなく、EU市民を相手に消費やサービスを販売する域外の企業も対象となる。EU市民の氏名や情報、クレジットカード情報、写真など「個人データ」を域外へ持ち出すことを原則として禁じる。

影響を受ける日本企業も多そうだ。例えば日本の本社で欧州の顧客や従業員のデータを扱えば「持ち出し」とみなされる。データを合法的に持ち出すには、EUが認めた手法で契約を結ぶなど、特別な手続きが必要となる。

データ持ち出しについて欧州の監督機関から承認を得るには一定の準備期間が必要となる。新規則はEUが今後、官報へ公示してから20日目に発効。その発効日から2年後に実際のルール適用が始まる。このため18年6月までには対応を終える必要がある。まだ十分に対応していない日本企業は法的リスクを避けるためにも早めの対応が課題となりそうだ。

新規則の最大の特徴が違反した場合の罰則の強化だ。独占禁止法違反に準じるような多額の制裁金を導入する。制裁金の額は「全世界連結売上高の4%」か「2000万ユーロ（約25億円）」のいずれか高い方を上限として監督機関が決める。

ネット上の検索エンジンやソーシャルメディアから個人データを消去できるよう要求できる「忘れられる権利」など、新たな個人情報の保護に関する権利も認める。