なぜEUは、厳しい個人情報保護法を採用したのか？

　2018年5月25日、EU（欧州連合）は「EU一般データ保護規則（GDPR）」という個人情報保護法を施行する。EU居住者の個人データを処理・保持する組織すべてが対象になるため、日本の企業も無関係ではない。違反した場合、莫大な制裁金を支払わなければいけないケースもある。

　先日公開した前編では、GDPRの基本的なルールや、“こんなことまでルール違反になる”といったケースについて紹介した。しかし、そもそもなぜEUは、ここまで厳しい個人情報保護法を導入するに至ったのだろうか。

　後編では、GDPRをはじめとする個人情報保護法がなぜ存在するのか。そして、なぜ厳しい罰則が用意されているのか。日本における個人保護の実状を踏まえながら、GDPRが成立する背景を考えてみる。

※編集部追記：本記事はGDPRの施行前に執筆・公開したものです。GDPRは5月25日に予定どおり施行されました。

個人情報の利用は日々拡大している

　日本で個人情報を取り扱う事業者の遵守すべき義務等を定めた法律が、略称「個人情報保護法」、正式名称は「個人情報の保護に関する法律」である。

　同法が成立した背景には、条文に倣った表現を用いると、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大している点がある。

　この個人情報保護法が施行された前年の2004年に、大手通信事業者において450万人にものぼる個人情報の漏洩事件が発生した。その後、お詫びとして500円相当の金券が送付され、お詫びの相場を作ることとなった事件と言われれば、思い出す人も多いのではないだろうか。

　時期的にも重なるため、この事件の影響で成立した法律だと考える人も多いようだが、実際には更に１年遡った2003年に、既にこの法律は成立している。

　同法が成立に至った経緯を、衆議院憲法調査会事務局が2003年に発行した「知る権利・アクセス権とプライバシー権に関する基礎的資料」より紐解いてみる。同資料の78ページに、個人情報保護法制化の背景として、いくつかの事例が述べられている。その中の一つに、1995年に欧州連合で採択された「EUデータ保護指令（Directive 95/46/EC）」に対して、日本としても何らかの対応が必要であると認識させるに到った、とされている。

　そして、この「EUデータ保護指令」から置き換えられる形で、この5月25日より適用が開始されるのがGDPRである。

サイバー攻撃を受けた場合、企業は個人に報告しなければいけない

　GDPRは一種の個人情報保護法であるものの、本質的には、EU法体系の根幹をなす「EU基本権憲章」において保障されている、基本的人権の保護を目的とした規則である。

　そのため、「すべての人のデータに等しく価値がある」との考えから、大企業だけではなく、零細・中小企業など組織の規模を問わず対象とされていることが一つのポイントと言える。

　GDPRの成立に際し、その動向に注目が集まったのが、… 続きを読む