欧州委、個人データ保護に関わる日本の十分性認定の意義に言及

欧州委員会のベラ・ヨウロバー委員（法務・消費者・男女平等担当）は1月30日、ブリュッセルで開催された「第12回コンピュータ・プライバシー・データ保護（CPDP）国際会議」で講演し、EUの「一般データ保護規則（GDPR）」の適用開始（2018年5月25日）以降の個人データ保護の徹底に向けたEUの取り組みを評価した。

同委員は講演で、1月23日に発表された「日本との個人データ保護水準に関する相互十分性認定」（2019年1月24日記事参照）について、GDPRの国際展開の成功事例として紹介、その意義を語った。

G20大阪サミットの主要議題としても注目

ヨウロバー委員によれば、EUの「GDPR」の理念に着想を得て、個人データ保護法制の整備を進める国が着実に増えているという。個人データ保護の水準がEUと同等のレベルにあると考えられる国・地域の拡大は、自由で安全なデータフローを実現するための重要な基盤、と同委員は捉えている。

同委員は、EUから見た「個人データ保護水準が十分」と評価できる国の代表例として日本を紹介。世界でも最大規模の「自由で安全なデータ圏」を日・EU間で構築したとした。

また、2月1日に発効する「日EU経済連携協定（EPA）」（2018年12月25日記事参照）の効果を有効なものにするために、日本に対する十分性認定の必要性への認識を示し、「自由な貿易・投資」とそれを支える「自由で安全なデータフロー」を同期させることの重要性を指摘した。

同委員は2019年の世界経済フォーラム年次総会（ダボス会議）でも、セキュリティーと相互信頼に基づくデータ経済・データフローに対する各国首脳の関心が高かったことに触れたほか、2019年6月に大阪で開催予定のG20首脳会議でも、この点が重要なテーマとなることに期待感をにじませた。

なお、GDPRをめぐっては2018年10月22日、ポルトガルの個人データ監督機関である国家個人データ保護委員会（CNPD）が、患者の個人データに不適切にアクセスしたとされる同国内の医療機関に対して、40万ユーロの制裁金を科す決定を下したと発表している。欧州民間病院連合会（UEHP）は「（EU域内での）初めての大規模な制裁事例」として、同連合会に所属する医療機関に注意を呼び掛けている。

EUは高い個人データ保護水準が保障される場合、十分性を認めるが、EU域内にあってもGDPRに抵触する状況には厳しい姿勢で臨んでいる。

（前田篤穂）