基本権としての個人データ保護 覚書

宮下紘『EU一般データ保護規則』(勁草書房、2018年)

総説

「基本権検証における個人データ保護の位置づけは、EUにおけるデータ保護法制を理解する上で象徴的である」(2頁)とある。象徴的である理由について、①個人データ保護の問題は、分野(警察司法なのか、ビジネスなのか)を問わず基本権であるという発想がある。個人データ保護の権利は「取引することができない(non-negotiable)」から、経済的利益によって個人データ保護の水準を下げることは許されない。②他の基本権分野と異なり、独立した監督機関が存在する。欧州ならではのアプローチであり、政府を含む公的部門を監視、適宜調査や是正をする権限も持ち合わせる。

個人データ保護法は1970年9月30日にドイツのヘッセン州で制定された。この法がこの分野で世界で初めてとなる先駆的な法である。国レベルの法律としては、スウェーデンがデータ保護法を制定した。歴史的経緯として欧州において情報に関する保護が基本権として高く保障されてきた理由は、ナチスドイツがユダヤ人迫害のために用いた身体的特徴・家系情報が記録されてきたパンチカードの反省がある。また、東ドイツのシュタージ(秘密警察)による監視活動の反省もある。

ゆえに、ドイツでは、個人データの関係およびその利用について原則として自ら決定する権利である「情報自己決定権」が重要な基本権と考えられており、いまでは欧州全域で浸透したものである。

1970年代・・・フランス「サファリ」政策

国家統計局が社会保障番号の個人識別のための排他的な道具として用い、教育、軍隊、医療、雇用等に関係する他の行政期間とのデータマッチングを可能とする仕組みを導入。これにたいして、批判があがった*1

1950年代・・・欧州評議会は欧州人権条約を公布し、その8条で「すべての者は、その私生活、家族生活、住居および通信の尊重を受ける権利を有する」と明文化した。

1980年代・・・各国でデータ保護法制が制定されるようになり、OECD経済協力開発機構)のプライバシーガイドランが採択された。「個人データの自動処理に係る個人の保護に関する条約第108号」(以下、「条約108号」)が採択された。

欧州共同体は、すべての加盟国が評議会の加盟国であり、各々国内法を制定することに尽力した。加盟国間の資本や労働力、財とサービスの流通促進に寄与することを狙いとしたが、条約108号をめぐっては各国の意思解釈の異なりが現れた。そこで、1995年にはEUデータ保護指令が採択され、この指令に基づき加盟国では個人データ保護に関する国内法の整備や改正作業が開始された。EU域内の統一的解釈を意図してデータ保護監督期間やデータ保護監査官から構成される部会が設けられた。

EUデータ保護指令をめぐっては、基本的に加盟国に対して個人データ処理に関する規定をもつ国内法の立法化を義務付けるというものにとどまるものであった。そのため、加盟国間で不統一的な制度と運用が生じ、英国やアイルランドは緩く、ドイツやフランスは厳しいという指摘もある*2

このような、EUデータ保護指令の欠点と、インターネット利用者の急増を背景に、「忘れられる権利」としてインターネットの個人情報の削除請求の問題が深刻化した。例として、オーストリアの学生がfacebook社(アイルランドに所在)に対して自己の情報の削除を請求したいと考えたとき、アイルランドの法でデータ保護期機関に苦情の申し出をしなければならない。これは、EUデータ保護指令が加盟国で不統一な制度を生み出したことによる問題であり、国内立法を必要とせず直接に適用される「規則(regulation)」が求められるようになった。

このような不都合を解消するために制定されたのが、GDPREU一般データ保護規則)である。これにより加盟国間の規則を不完全に適用することや、規則の規定を選別する権限は、加盟国に認められなくなった。ゆえに、欧州全域に等しく同規則が適用されることとなり、不統一的な制度や運用の欠点も補われたのである。

 

 

*1:清田雄治「フランスにおける個人情報保護法制と第三者機関」立命館法学2005年2・3号(2005年)145頁

*2:藤原静雄「EU個人情報保護法制の動向」園部・藤原編「個人情報保護法の解説(第二次改訂版)所収