一般データ保護規則（GDPR）の適用に向け国内法を整備

「個人情報保護に関する法律」が5月14日、フランス国民議会（下院）で可決、成立した。同法は、EU域内で5月25日から施行されるEU「一般データ保護規則（GDPR）」の適用に向け既存の国内法を改正したもの。GDPRは、企業などに直接適用されるEU規則でありながら、EU加盟各国に規定を義務付けたと項目と、独自に規定できる項目がある。このため、個人情報保護に関する国内法「1978年の情報処理、ファイルおよび自由に関する法律」の改正が急務となっていた。

新法では、個人情報の処理に関する子供の同意に関し、保護者の同意または許可が必要な年齢をGDPRで定める16歳未満から15歳未満に引き下げた。このほかのフランス独自の措置として、違反により損害が生じた場合、一部の被害者が原告となり被害者全員を代表して訴訟を起こすクラスアクションにより、損害賠償を請求できる条項が盛り込まれた。5月25日以降の損害を対象とする。

個人情報保護の監督機関である、情報処理および自由に関する全国委員会（CNIL）に対しては、その執行権限を強化した。CNILの命令に従わない場合、1日最高10万ユーロの課徴金を課すことを可能にした。なお、GDPRでは、最高2,000万ユーロ、または、全世界年間売上高の4％のいずれか高い方の制裁金が定められている一方、その他の違反行為については各加盟国に罰則規定を設けるよう義務付けている。

なお、個人情報保護に関する法案は2017年12月13日、国会に提出された。政府は、迅速手続きによる早急な法律の成立を目指したが、親の同意を必要とする子供の年齢を16歳未満とし、地方行政機関に対して暫定的な例外措置を要求する元老院（上院）と、下院との調整がつかず審議が難航した。

下院の最終審議によりようやく可決した同法だが、上院議員は5月16日、上院の意向を反映していないとして同法の合憲性の審査を求めて憲法評議会に付託した。一方、CNILのイザベル・ファルク＝ピエロタン会長は「5月25日までに国内法が発効しなければ、外国からの告訴に対し不利になる」との懸念を複数メディアに対して表明している。

（奥山直子）