欧州の個人データ移転ルールをめぐる各国の施策
欧州の個人データ移転ルールをめぐる各国の施策
[画像のクリックで拡大表示]

 世界各地の個人情報データを、国境をまたいで自国のデータセンターに移転し、利活用する――いわゆる「越境データ」に関わる国際ルールの枠組みが今、欧州を震源に大きく揺れている。個人情報の保護を人権問題と捉える欧州が、米NSA(国家安全保障局)による無分別な諜報活動の発覚を機に、データ移転の規制を強化する方針を鮮明にしたためだ。

 EUが示す越境データのルールは、顧客、従業員、IoT(モノのインターネット)などデータの種類を問わず、企業や政府のIT戦略に大きな影響を与える。米国はEUとの衝突を避けて一定の譲歩を示す一方、韓国はEUのルールを積極的に受け入れる方針。日本は、自らの立ち位置を決められずにいる。

米国は新たな枠組みを導入へ

 米国と欧州委員会は2016年2月2日、欧州の個人データを米国に移転する際の政府・企業の義務規定を強化した新たな法的枠組み「EU-USプライバシーシールド」の導入で合意した。NSA問題で米国への不信感を募らせるEUの主張に、米国が譲歩した格好だ。新たな枠組みを欧州司法裁判所が受け入れるかは不透明だが、米欧が決裂する事態はひとまず回避された。

 プライバシーシールドは、従来のデータ移転の枠組み「セーフハーバー協定」が、2015年10月に欧州司法裁判所から無効と宣言されたのを機に、同裁判所が求めるルールに沿って枠組みを作り直したものだ。

 米政府が移転データにアクセスする際、透明性の確保など一定の要件を求める。米企業に対しても、欧州市民は新設する監視機関(オンブズパーソン)を通じて問い合わせや苦情を提起でき、企業は一定期限内に回答する義務を負う。