欧州委、GDPRで国境越えたデータ処理に関する調査手続き規則案を発表

欧州委員会は7月4日、EUの個人情報保護規制の一般データ保護規則（GDPR、注）の施行に関する追加の手続きを定める規則案を発表した（プレスリリース）。規則案は、複数の加盟国にまたがる個人情報データ処理（越境的処理行為）のGDPR適用で、データ保護監督当局間の協力の能率化を図るものだ。

GDPRでは、EUレベルの執行機関が設置されておらず、加盟国ごとに設置されたデータ保護監督当局と加盟国裁判所が実施を担っている。越境的処理行為ではGDPRの一貫した適用を担保するために、監督当局間の協力制度（ワンストップショップ）と紛争解決メカニズムが設定されている。協力制度では、データを取り扱う企業など（データ管理者とデータ処理者）の主な拠点が所在する加盟国の監督当局（主導監督当局）と、その他の影響を受ける個人が居住する加盟国（関係監督当局）は、GDPR違反の有無などの判断で合意形成を目指す必要がある。合意が形成されない場合には、紛争解決メカニズムとして、欧州データ保護会議（EDPB）が拘束力を持った判断をする。一方で、各監督当局がそれぞれ適用する手続きについては、必ずしも調和されておらず、GDPRの一貫した適用を阻害する要因となっている。

規則案は、越境的処理行為での各監督当局の手続きを調和させるのが目的だ。GDPRを補完するもので、GDPRが規定した手続きや監督当局間の協力制度を修正するものではない。規則案はEU理事会（閣僚理事会）と欧州議会で審議される。

規則案は、調査を実施する監督当局にかかわらず一貫した権利行使を可能にするために、データ管理者とデータ処理者の「意見を聴取される権利」を規定する。監督当局の調査対象になった場合に、監督当局による手続きや監督当局間の紛争解決メカニズムの主要な段階で、データ管理者とデータ処理者は意見を表明できる。また、調査対象となったデータ管理者とデータ処理者は、監督当局が調査の一環で入手、作成した全ての書類にアクセスできることも明確にした。

監督当局間の協力制度について、監督当局間の早期の合意形成に向け、主導監督当局は調査対象の主要論点とそれに対する主導監督当局の見解を明記した概要を調査の初期段階で関係監督当局に送付することが義務付けられる。また、関係監督当局が主導監督当局の見解に同意しない場合、関係監督当局はGDPR上の共助あるいは共同作業を要請できる。また、苦情に基づく案件の範囲に関して、監督当局間で合意されない場合、EDPBは拘束力のある決定を出すことができる。

このほか、監督当局に苦情を申し立てる個人情報の主体の権利についても、申し立てが棄却される前の「意見が聴取される権利」など、申立先となる監督当局にかかわらず適用される手続き上の権利を規定している。

（注）ジェトロの「特集 EU一般データ保護規則（GDPR）について」を参照。

（吉沼啓介）