欧州にみる個人データ保護とビッグデータ利活用のバランス：ビッグデータ利活用と問題解決のいま（2/3 ページ）

[笹原英司，ITmedia]

「ワンストップショップ」での監督機関が課題に

　EUデータ保護指令の改正案は、2012年1月に欧州委員会が公表した。主要な追加・強化策として（1）個人データ保護の権利の強化策、（2）データセキュリティの強化策、（3）管理者および処理者の説明責任の強化策、（4）個人データの対象範囲拡大の可能性、（5）グローバル環境でのデータ保護ルールの詳細化――5項目が掲げられている（関連記事参照）。

　その後、欧州議会の「市民的自由・司法・内務（LIBE）委員会」における修正作業を経て、2015年6月に閣僚理事会が承認した。承認されたEUデータ保護指令の改正案をみると、合意項目として以下のような点が挙げられている。

• EU全域に適用される単一の法規制の設定による効率化
• 「忘れ去られる権利」をはじめとする個人データ保護の権利の強化、追加
• ヨーロッパの“土壌”にはヨーロッパ法を適用
• 独立したデータ保護機関による監督権限の強化
• 企業や個人が一国の監督機関に対応すれば済む「ワンストップショップ」の導入

　EU域外の企業と個々のEU加盟国との関係から影響の大きなものに、「ワンストップショップ」の取り扱いがある。例えば、本連載第11回で触れたように、北米の代表的なインターネットビジネス企業の欧州事業／海外事業統括拠点はアイルランドに集中しており、ワンストップショップの観点からはアイルランドの監督機関との交渉が極めて重要である。

　その一方でAppleはデンマーク、Salesforce.comは英国とフランス、ドイツ、IBMやAmazon.comはドイツなど、他のEU諸国でもデータセンターの新設、増強作業している。域内の複数国に管轄区域がまたがる形で個人データ侵害が起こった際、対応方法をあらかじめ検討しておかなければ、セキュリティインシデント対応策の具体的な計画が立てられない状況にある。