1. じんぶん堂TOP
  2. 歴史・社会
  3. ブリュッセル効果とは? GDPRは日本にも影響[後篇] アニュ・ブラッドフォードさん(コロンビア大学教授)

ブリュッセル効果とは? GDPRは日本にも影響[後篇] アニュ・ブラッドフォードさん(コロンビア大学教授)

記事:白水社

ブレグジットやアメリカ覇権の後退で強化された、世界の新しいルール! アニュ・ブラッドフォード著『ブリュッセル効果 EUの覇権戦略──いかに世界を支配しているのか』(白水社刊)は、欧州の高まる支配力の源泉について解き明かす。米中に対抗する「規制帝国」の全貌を伝える大著、待望の刊行。
ブレグジットやアメリカ覇権の後退で強化された、世界の新しいルール! アニュ・ブラッドフォード著『ブリュッセル効果 EUの覇権戦略──いかに世界を支配しているのか』(白水社刊)は、欧州の高まる支配力の源泉について解き明かす。米中に対抗する「規制帝国」の全貌を伝える大著、待望の刊行。

[前篇はこちら]

Businesswoman touching global network and data exchanges 3D rendering[original photo: sdecoret – stock.adobe.com]
Businesswoman touching global network and data exchanges 3D rendering[original photo: sdecoret – stock.adobe.com]

 

 グローバルな市場に及ぼすEUの規制能力は、とくにデジタル経済の分野において過去20年以上にわたり非常に大きなものとなってきた。EUの2016年一般データ保護規則(GDPR)以上にグローバルなデジタル企業または利用者に影響を及ぼした規制はほぼ存在しない。GDPRの適用開始に促され、消費者は多くの企業から個人データの利用に関する同意を求めるための電子メールを大量に受け取った。世界中の企業が、EUの規制に対応するためデータ収集、保存および利用慣行について速やかに調整を迫られた。GDPRに加え、これらの企業および利用者にとって別の影響力ある規制が、オンライン上のヘイト・スピーチを規制するためのEUの継続的な取り組みから生じている。アメリカのIT4社——フェイスブック、ツイッター、ユーチューブおよびマイクロソフト──とコミッションとの間で違法なオンライン・ヘイト・スピーチに対抗するための自主的行動規範が締結された結果として、これら四社と他のデジタル企業はプラットフォームに見られる言論を管理するための広範な措置を講じてきた。これらの規制のいずれも諸外国の管轄にまたがって多大な影響を及ぼし、ブリュッセル効果のグローバルな射程の証左となっている。
[中略]

Ein Mann und Stempel GDPR[original photo: studio v-zwoelf – stock.adobe.com]
Ein Mann und Stempel GDPR[original photo: studio v-zwoelf – stock.adobe.com]

 EUにおける厳格なデータ保護の基礎は、第二次世界大戦およびナチス体制による残虐行為に遡ることができる。ナチスはユダヤ人やナチスに抵抗する他の少数派を見つけるため計画的に私人のデータを濫用した。国家監視と個人の権利の侵害は、シュタージとして知られていた国家安全省が市民を監視し続けた時代の戦後の東ドイツにおける社会主義独裁の下でも続いた。これらの経験がドイツ人、より広くは欧州の人々に個人の権利への侵害を可能とする国家監視および政府のデータ収集行為への懐疑をもたらすこととなった。これらの懐疑が、企業がこの点に関して公益のために振る舞わないのではないかという不信感と結び付いて、ドイツで、そして後にはより広く欧州で強固なプライバシー権の体制への道を開いた。
[中略]

GDPR Word Collage Background Data Security Protection 3d Illustration[original photo: iQoncep – stock.adobe.com]
GDPR Word Collage Background Data Security Protection 3d Illustration[original photo: iQoncep – stock.adobe.com]

 EUデータ保護の体制は顕著な規範上のブリュッセル効果ももたらしてきた。ポール・シュワルツとカール・ニコラウス・パイファーによれば、「EUデータ保護は驚くほどの影響力を有してきた。世界のほとんどの国がそれに従ってきた」。別のプライバシー専門家であるグラハム・グリーンリーフは、「データ・プライバシー法の「欧州基準」として合理的に説明されているものは、世界のほとんどのところでデータ・プライバシー法の規範になりつつある」と述べている。今日までに、およそ120カ国がプライバシー法を採択してきており、その多くがEUデータ保護の体制と類似している。これらの国々は、ブラジル、日本、南アフリカ、韓国などの経済規模の大きい国や地域の主導国から、コロンビアやタイといった中規模の経済国、そして経済規模の小さな国やバーミューダのような小さな島国にまで至る。

 これらの国々がEUデータ保護法を模倣することは驚くには当たらない。第一に、最高基準で最も広く受容されている基準を示しているため、多くの国がGDPRを「黄金の基準」と見なしている。第二に、EU市民のデータを扱うすべての大企業が実務においてEUプライバシーの基準に対応してきていることからすれば、政府はこれらの法を国内法制の中に確立する抵抗に直面することはほぼない。EU法による影響を受けている外国企業は、EU基準へのロビー活動を行うインセンティブを自国の市場においても持つことになるため、規範上のブリュッセル効果から追加のコンプライアンス・コストが発生することにはならない。そうすることで、これらの外国企業は、現在のところGDPRの遵守を必要としていない国内のみに専念する企業と対等な条件で競争することができるのである。

The words "GAFA" written on sticky note with clipboard in diagonal angle.[original photo: hogehoge511 – stock.adobe.com]
The words "GAFA" written on sticky note with clipboard in diagonal angle.[original photo: hogehoge511 – stock.adobe.com]

 アメリカの市場はこの原動力を例証している。2018年10月、アップル社CEOのティム・クックは、EUの主導に「それ以外の国が」続き、利用者の個人データを保護するための厳格な法制度を選択する時が来たと述べ、アメリカ政府がEU型の包括的な連邦プライバシー法を採択するよう求めた。クックは企業が収集するデータの量が個人を「不安にさせる」ものとなり、収集されたデータの濫用をもたらす「監視」に言及した。さらに驚くことに、フェイスブックのプライバシー担当であるエリン・イーガンは、クックに続いて、アメリカにおけるGDPRに相当する連邦プライバシー法をフェイスブックが支持することを表明した。六カ月後、企業の創始者であり代表であるマーク・ザッカーバーグはワシントン・ポスト紙の記事で、次のような言葉で世界中におけるGDPR型の法の採択を求めた。

効果的なプライバシーとデータ保護はグローバルに調和された枠組みを必要としている。世界中の人々が欧州連合の一般データ保護規則と整合するような包括的なプライバシー規制を求めてきた。私はこれに同意する。もしもより多くの国がGDPRのような規制を共通の枠組みとして選択すれば、それはインターネットにとって良いことであろうと私は信じている。アメリカと世界中の新たなプライバシー規制はGDPRが提供する保護を基礎にするべきである。

 フェイスブックのビジネス・モデルは、アップル以上にデータ収集に依拠しているため、フェイスブックとザッカーバーグの声明がこれらの企業が直面している新たな現実をよりいっそう明らかにしていることから、いちかばちかの決断をいっそう大きなものにさせており、GDPRの非難ではなく擁護を主導している。連邦法がないことから、潜在的に矛盾する州のプライバシー法の複雑な継ぎ合わせの発生を企業は恐れている。このことはこれらの企業がカリフォルニア州消費者プライバシー法に抵抗する主要な理由である。連邦法へのロビー活動を行う時、GDPRはアップルやフェイスブックといったアメリカに拠点を置くグローバル企業による企業行為の多くをすでに規律していることから、魅力的な雛形を提示している。

Protection of personal information under the new General Data Protection Regulation (GDPR) (EU) is a regulation in EU law on data protection and privacy for all.[original photo: nirutft – stock.adobe.com]
Protection of personal information under the new General Data Protection Regulation (GDPR) (EU) is a regulation in EU law on data protection and privacy for all.[original photo: nirutft – stock.adobe.com]

 EU型のプライバシー体制が世界中に拡散する別の強力な理由は、EUからの「十分性決定」を得たいという国の欲求である。十分性決定とは、EUから当該国へのデータ移転を安全に行うために、当該国のデータ保護の基準が十分な保護を満たしているという、EUによる公式の決定をいう。十分性認定はEUと、十分な法を有するとされた国との間のデータ移転に道を開くこととなる。欧州の企業も、当該国の法が十分な法を有すると見なされた国で、新たな子会社、支店、またはコール・センターもしくはデータ・センターをもっと展開しようとするだろう。今日までに、EUは次の非EU諸国を十分なデータ保護法を有する国として認定してきた。すなわち、アンドラ、アルゼンチン、カナダ(商業組織のみ)、ファラオ諸島、ガンジー島、イスラエル、マン島、日本、ジャージー諸島、ニュージーランド、スイス、そしてウルグアイである。

 EU司法裁判所は、第三国のデータ保護体制の「十分性」に関する司法審査の行使において厳格な基準を適用している。シュレムス判決において、EU司法裁判所は「十分性」を「本質的に同等」と定義し、第三国が司法審査に耐えうる十分性決定を求めるようEUのルールに相当近い複製が行われることを見込んでいる。これによって、EU司法裁判所は、データ移転を十分性決定に依拠している国にとっては少なくとも、「世界のデータ保護立法の停止を事実上指示してきたのである」。本質的同等性は、第三国とEUとの間のデータ移転においてのみ要求されるが、欧州のデータが関わるかどうかによって異なるデータ保護の基準を要求する国内プライバシー法を採用する国を想定することは困難である。この意味において、十分性の要件はデータ保護法を法的に不可分なものとしており、その結果EUデータ保護の基準がおそらくいかなる国内プライバシー規制にとってもその基礎となる可能性がある。

Judges wooden gavel with EU flag in the background with text GDPR- General Data Protection Regulation[original photo: weyo – stock.adobe.com]
Judges wooden gavel with EU flag in the background with text GDPR- General Data Protection Regulation[original photo: weyo – stock.adobe.com]

 もしも企業が業務を行う国がデータ保護の十分な基準を有していないとされると、その国へのデータ移転を行いたい企業は拘束的企業準則(BCR)を得るために監督機関から承認を受けなければならない。これらの準則は、企業グループにおけるすべての主体にデータ保護の義務を課している。もしもこれらのBCRが承認された場合、BCRは当該企業にとってEUから承認を受けたデータ保護法として機能する。もしそうでなければ、これらの企業はEUによって承認された「標準契約条項」を用いることができる。これらの条項により企業はEUの組織と契約を締結し、 EUのプライバシー・ルールを満たすことを確約することが可能となり、当該国が十分なデータ保護法を有していない場合に企業に「次善策」を提供している。しかし、プライバシー活動家であるマックス・シュレムスがアイルランドDPCにこれらの標準契約条項について申立をしてからは、データ移転の根拠としてのこれらの標準契約条項の未来は危うくなっている。DPCの予備決定は、標準契約条項は不十分なプライバシーの保障となっているという懸念を示している。本件は、アイルランド裁判所を経由してEU司法裁判所に係争されている。もしもEU司法裁判所がこれらの条項を無効とすれば、自国とEUとの間の開かれたデータ移転を維持するために、外国政府はEU型のプライバシー法を採択するため、いっそう大きな努力を払おうとする可能性がある〔2020年7月16日、EU司法裁判所は、標準契約条項が追加的措置を講じることで本質的に同等な保護水準を維持できるため有効であると判断した〕。

General Data Protection Regulation (GDPR)[original photo: Worawut – stock.adobe.com]
General Data Protection Regulation (GDPR)[original photo: Worawut – stock.adobe.com]

 十分性認定がない状態での越境データ移転に伴う困難により、いくつかの国は自国法をGDPRに一致させるための強いインセンティブが与えられている。たとえば、アルゼンチンとウルグアイは、EUの十分性決定を得た二つのラテンアメリカの国である。アルゼンチンは2000年にデータ保護法を採択したが、スペインの1992年データ・プライバシー法とEUデータ保護基準に非常に近いものとなっている。3年後に、アルゼンチンはEUの十分性認定を受けた。2016年、アルゼンチンはGDPR後の法的環境における十分性の地位の維持に必要となる可能性のある法改正の研究作業部会を設置し、この国がEUとの整合性を維持するために法改正を進んで行うことを示している。ウルグアイは、2008年と2009年にデータ保護法改正について同様にEUデータ保護の体制をモデルにした。ウルグアイはEUの十分性認定を2012年に取得したが、十分性認定の可能性が、法の背後にある重要な動機であった。ウルグアイはEUの十分性決定を技術分野における開発誘致にとって重要であると見なしていた。たとえば、ウルグアイ投資輸出促進機構は「EUの認定は欧州の主要な投資の可能性を開くことになり、とくにウルグアイのアウトソーシング産業を後押しするであろう。[……]そしてラテンアメリカにおける行政、金融また他のデータ処理サービスの提供者を求めるEU拠点の企業を引き付けることになるであろう」。

Are You Compliant Words Compliance Follow Laws Rules 3d Illustration[original photo: iQoncept – stock.adobe.com]
Are You Compliant Words Compliance Follow Laws Rules 3d Illustration[original photo: iQoncept – stock.adobe.com]

 日本は近年EUとの相互十分性の対話の決着に至り、両者が2018年にそれぞれのデータ保護制度を同等であると認定することに合意することになった〔2019年1月23日、コミッションは、日本の民間部門の個人情報保護法制について十分性決定を下した〕。日本はGDPRと整合性を保つことができるようにすることを目的の一つとして個人情報の保護に関する法律(APPI)を2015年に改正した。日本の産業界は、欧州企業との国際取引業務によりすでに際立ったデータ保護の規制に服していたことから、同様の国内ルールを遵守することでコストを非常に小さなものにするために、新たな法を支持する上で大きな影響力を及ぼした。EUの十分性決定を得ることは、その決定がEUからの個人データの移転を認めることになるため、トヨタ自動車や三井住友銀行を含む日本企業にとっての恵みであるとも見なされた。

【『ブリュッセル効果 EUの覇権戦略──いかに世界を支配しているのか』第5章「デジタル経済」より】

 

『ブリュッセル効果  EUの覇権戦略──いかに世界を支配しているのか』目次
『ブリュッセル効果 EUの覇権戦略──いかに世界を支配しているのか』目次

 

ページトップに戻る

じんぶん堂は、「人文書」の魅力を伝える
出版社と朝日新聞社の共同プロジェクトです。
「じんぶん堂」とは 加盟社一覧へ