EU(欧州連合)では、2018年5月25日から新たな一般データ保護規則(GDPR)の適用が開始される。GDPRは、1995年の「データ保護指令」を全面的に置き換え、情報技術の発展に対応した規制枠組みのアップデートを行うとともに、現在は同指令に基づき加盟国ごとに定められているデータ保護法制を域内で統一化するものだ。

GDPRは、EU域内で活動する企業に加え、域外からインターネットなどを通じてEU在住者向けに商品やサービスを提供する企業にも適用される見込みだ。適用対象となる域外企業は、EU域内に規制当局との窓口となる代理人を配置することを求められる。保護対象となる個人データの範囲は日本の個人情報保護法よりも広く、個人データの処理を行うために必要な本人の同意も、高い明確性が求められる。

現行のデータ保護指令と同様、欧州委員会から個人データの十分な保護水準を有すると認定された国以外への個人データの域外移転は原則として禁止されている。現状では日本はその認定を受けていない。日本企業が個人データの域外移転を行うためには、本人の同意を得るか、所定の「標準契約条項」や「拘束的企業準則」などの枠組みを使う、あるいは新たに導入される認証システムを利用する必要がある。現在、日本政府と欧州委員会の間で円滑な個人データ流通枠組みの構築に向けた対話が進められており、その動向が注目される。

GDPRには、日本の個人情報保護法には含まれない、新たな個人の権利や企業の義務が数多く導入されている。まず個人の権利について、「削除権(忘れられる権利)」は、一定の要件を満たした場合に、企業が保有する個人データを本人の求めに応じて削除する。検索エンジンの検索結果に表示される個人データの削除を求める権利も明文で定めている。