EU新規則案:データローカライゼーション法の禁止と「非個人データのデータポータビリティ」

欧州委員会デジタル単一市場戦略HPより

 もの凄く久しぶりの投稿になるのですが、最近EU情報法政策で個人的に一番楽しみにしていた規則案が公表されていたので簡単にご紹介です。今年1月の欧州委員会"Building a European Data Economy” で予告されていた、「非個人データのEU域内自由流通のための枠組」規則案。

European Commission - PRESS RELEASES - Press release - State of the Union 2017: A framework for the free flow of non-personal data in the EU

 内容は日本でも最近話題になりつつあるデータローカライゼーション法の禁止と、そしてこれも最近だんだんと関心を集めつつある(?)データポータビリティに関して、なんと「非個人データのデータポータビリティ」を可能とすること、の二本立てです。

 いずれも非常に見所が多く、しかし実質内容は3~4条くらいの短い条文なので、主要部分を急ぎ簡単にレビューです。

※大変ざっくりと書いた速報的内容のため、後ほど修正や補足を入れたりするかもしれませんことご了承くださいませ。

●第3条:Definitions

・第1項、まず対象の「データ」について、「'data' means data other than personal data as referred to in Article 4(1) of Regulation (EU) 2016/679; 」ということで「個人データ以外のデータだ」と物凄くざっくり定義。こういうのアリなんですね。

・第4項、ポータビリティのところで重要になる「プロバイダ」を、「a natural or legal person who provides data storage or other processing services」と定義。広いです。

・第5項、データローカライゼーション法を「any obligation, prohibition, condition, limit or other requirement provided for in the laws, regulations or administrative provisions of the Member States, which imposes the location of data storage or other processing in the territory of a specific Member State or hinders storage or other processing of data in any other Member State」と定義。ようやくちゃんと参照できる定義が。第1項と相まって、おそらくこれで越境個人データ移転規制がデータローカライゼーションと呼ばれることは無くなるのでしょう。

●第4条:Free movement of data within the Union

 第一の主題、データローカライゼーション法の禁止。

・第1項で「Location of data for storage or other processing within the Union shall not be restricted to the territory of a specific Member State, and storage or other processing in any other Member State shall not be prohibited or restricted, unless it is justified on grounds of public security.」ということで、公共安全理由以外は禁止。「正当な公共政策目的」を許していたG7共同声明やTPP電子取引章より厳しい。そして何より見所が、やはりあくまで促進するのは「within the Union」の自由流通であり、EU域外流通を対象としたローカライゼーションは禁止しない(と読んで良いのですよね)こと。良くも悪くもご関係者大筋の見立て通り、ということで。

・第2項以降は既存の新規ローカライゼーション法制を作るときや既存法制の欧州委への通知、一般公表などです。

●第5条:Data availability for competent authorities

 これについては、データローカライゼーション法が禁止されて域内の他国に色々なデータが置かれても、法執行機関等がちゃんとそれにアクセスできることを保証する内容。

●第6条:Porting of data

 そして第二の主題、非個人データのポータビリティ。

・第1項、「The Commission shall encourage and facilitate the development of self-regulatory codes of conduct at Union level, in order to define guidelines on best practices in facilitating the switching of providers and to ensure that they provide professional users with sufficiently detailed, clear and transparent information before a contract for data storage and processing is concluded, as regards the following issues:」ということで、「プロバイダ間のスイッチングを促進するための」、「EUレベルの自主規制行動規範の策定を委員会が促さなければならない」というまさしく共同規制方式。そこに含まれるべき内容として、

・同項(a)では、ユーザー企業等が「別のプロバイダにスイッチしたり、自らのITシステムにデータを取り戻す」際に適用される技術要求(データフォーマットやサポート)、期間、料金などを記述。同項(b)では「the operational requirements to switch or port data in a structured, commonly used and machine-readable format allowing sufficient time for the user to switch or port the data.」として、GDPR20条と同じ表現が。

・そして第2項では、「The Commission shall encourage providers to effectively implement the codes of conduct referred to in paragraph 1 within one year after the start of application of this Regulation. 」ということで、自主規制行動規範の実施についても委員会が関与することを記述。コンセプションだけでなくインプリについてもこう記述する行動規範手法はあまり見たことがなかったので、運用が非常に楽しみです。なお第3項はレビュー規定。

●第7条:Single points of contact

 ここでは本規則がちゃんと実行されるための責任者(機関)を各国が設置することを規定。各国のプライバシーコミッショナーなどがやる場合も出てくるのでしょうか。

(170923追記)なお本規則の適用範囲に関しては、第2条「Scope」に「This Regulation shall apply to the storage or other processing of electronic data other than personal data in the Union, which is (a) provided as a service to users residing or having an establishment in the Union, regardless of whether the provider is established or not in the Union or (b) carried out by a natural or legal person residing or having an establishment in the Union for its own needs.」と記述されており、特に(a)にある通り、EU域内のユーザーにデータ保存・処理サービスを提供していれば、プロバイダ自身がEU域内にいるかどうかは問わないです。なのでまずデータローカライゼーションに関しては、海外プロバイダであっても、EUユーザーのデータはEU域内であればどこにでも置けることにはなりそうです。そして何よりこれが意味するのは、もう言わずもがなという流れですが、特にデータポータビリティについて、GDPR等と同様に、いわゆるGAFAのクラウドサービスにもがっちり適用するつもり満々のようです。

 実際の採択・施行にはある程度時間がかかるでしょうけれど、DSM当局は非常にやる気のようなので、経過に非常に注目です。この二つすごく大事です。