「忘れられる権利」データ保護指令、１８年発効に

１６歳以下利用者に保護者同意　罰金を最大４％に引き上げ

　【ブリュッセル斎藤義彦】欧州連合（ＥＵ）は１８日、ソーシャルメディアや検索エンジンなどの個人データを消去する「忘れられる権利」を認める新たな「データ保護指令」について加盟国と欧州議会の交渉を完了し、新指令が２０１８年に発効することが決まった。

　今年６月に加盟国が合意して以降、欧州議会との交渉が続いていた。来春に欧州議会が本会議で可決、２年の公布期間を経て１８年に発効する。

　新指令は１９９５年の指令をインターネットの普及に応じて全面改正するもので、加盟国の施行法によりばらつきがあったのを修正し、ＥＵの統一ルールを定める。個人のデータ保護を基本的権利として認め、業者が個人データを利用する際は、対象者の明確な同意を求めることを定めた。同意事項をクリックしていない場合は同意したと認めない。個人の消費動向などを分析する「プロファイリング」も拒否できる。１６歳以下の利用者について保護者の同意を求めたが、加盟国の判断で１３歳以下にもできる。

　欧州域内でデータが加工された場合に規制し、米国などに本拠を持つ検索大手やソーシャルメディアも対象となる。業者がＥＵのどこに拠点を置いていても、利用者は自分の国のデータ保護庁に救済を要求できる。

　利用者が子供時代に提供したデータを含め、即座に消去を要求できる「忘れられる権利」を明確化。またデータを他サイトに移動できる権利も認めた。

　新指令に違反した場合の罰金を世界の総売り上げの最大４％、最高２０００万ユーロ（約２６億円）と大幅に引き上げて業者に順守を促す。

　１３年に米国家安全保障局（ＮＳＡ）がメルケル独首相ら欧州の主要政治家、ＥＵ、議会などを盗聴していたことが発覚した事件を受け、個人のデータを他の地域や国際組織に渡す場合は欧州委員会が相手に十分なデータ保護があるかを確認。４年ごとに引き渡しの条件を見直す。業者にデータ保護担当者を任命するよう定め、データの漏えいやハッキングがあった場合の当局への報告を義務付けた。欧州委は「新指令で利用者が個人データの“主人”であることが明確になる」としている。