改正個人情報保護法と並んで、欧州に拠点を持つ日本企業が対応を迫られているのが2018年5月25日から施行される予定の「EU一般データ保護規則(GDPR)」である。データ保護機関が企業に対して頻繁に制裁金を科している点が、日本との大きな違いだ。

 「データを欧州域外に持ち出す移転データで制裁金が科せられた最初の事例ではないか」。海外のプライバシー保護法制に詳しい、三菱総合研究所 社会ICT事業本部 ICT・メディア戦略グループの福島直央主任研究員がこう指摘するのは、ドイツ・ハンブルクのデータ保護機関が米アドビシステムズなど3社に制裁金を課した件だ。

 ハンブルクのデータ保護機関は2016年6月、3社が従業員と顧客のデータを欧州域外に違法に持ち出していたとして、8000ユーロから1万1000ユーロの制裁金を科すと発表した。制裁金は当時の為替レートで1社当たり100万円前後に過ぎないが、関係者に衝撃を与えた。

協定の空白期間に調査

 EUは個人データの処理や域外への移転に強い制約を設けている。例外は米国企業で、「セーフハーバー協定」という枠組みの下で、欧州から米国に個人データを持ち出すことができた。

 ところがEUの最高司法機関である欧州司法裁判所は2015年10月、セーフハーバー協定の枠組みが無効であるとの判決を下した。判決を受けて欧州委員会と米国は2016年2月、セーフハーバー協定に代わる新たな枠組みとして、米国企業に対する執行や米国政府への規制、EU市民の権利保護を強化した「プライバシーシールド」を導入することで合意。プライバシーシールドは2016年8月1日に発効した。

 セーフハーバー協定が無効となった2015年10月から、プライバシーシールドが発効した2016年7月まで、約10カ月間の空白期間が生じた。ハンブルクのデータ保護機関はこの期間に米国企業3社に制裁金を科したわけだ。