日EU経済連携協定(EPA)のデータ自由流通条項議論
少しこちらでもメモ的なものを書いていこうかと思います。以下の記事で気づいた、8月9日に出されていた日EUの経済連携協定(EPA)の3年見直し条項に基づくデータ自由流通条項の議論に対する欧州データ保護監察官(EDPS)の意見書。3年見直しの動き既に始まっていたのですね。重要なのでこれまでの経緯と関連文書をメモしておきます。先日の記事の主題であるデータスペースにも少し関連します。
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/08/post-203aad.html
●遡ること4年前の2018年7月17日、日EUのEPAが署名。ただしここではTPP等他のEPAに入っているデータ自由流通条項は入らず、8条81項に「両当事者は、この協定の発効日から3年以内に、データの自由流通に関する規定をこの協定に含める必要性を再評価するものとする」という規定。その後2019年1月23日に日本へのGDPR十分性決定が採択。同年2月1日にEPA発効。
https://www.mofa.go.jp/mofaj/gaiko/page6_000042.html
●それに先立つ2018年1月31日、「貿易交渉における国境を越えたデータ流通と個人データ保護に関する水平条項(horizontal provisions)」を欧州委が採択、同年7月に公表。TPPなどのようにデータローカライゼーション要求を締約当事者に禁止しつつ、それが締約当事者による「個人データ及びプライバシーの保護を確保するために適切と考える保護措置を採用し、維持する」に影響を与えず、IDS条項の対象にもならないことを明確化するモデル条項で、各貿易協定に挿入するためのフォーマット的内容。
https://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157130.pdf
●そして2021年から日EU EPAの3年見直し条項に基づき日EUの議論が始まっており、今年5月の第28回日・EU定期首脳協議において、日EUの間でEPAにデータ自由流通条項を含めるために必要な「交渉の開始を検討すること」を約束。共同声明パラ12。
https://www.mofa.go.jp/mofaj/area/eu/shuno.html
●それに基づき、今年7月12日に欧州委員会が、日EUのEPAにデータ自由流通条項を含めるための「交渉を開始するための」EU理事会決定の勧告を採択。附属署に交渉指示書(negotiating directive)が付けられており、「交渉の結果、国境を越えたデータ流通を対象とする規則が、不当なデータローカライゼーション要件に対処するものとなるべきであるが、EUの個人データ保護規則については交渉が影響を与えず、特に個人・非個人データの保護とサイバーセキュリティに関するEUの法的枠組みに沿ったものとなるべきである」ことなどが示される。
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52022PC0336
●、、、そしてそれに対して今年8月9日に出されたEDPSの意見「日本国と欧州連合との間の経済連携協定に国境を越えたデータ流通に関する規定を盛り込むための交渉開始を認める理事会決定のための勧告に関する意見書」が冒頭のもの。
https://edps.europa.eu/system/files/2022-08/22-08-09_edps_opinion_eu_japan_en.pdf
交渉指示書は水平条項などとも添っており基本的にOKとしつつ、特に以下の点を指摘。
(1)日本はEUからGDPR十分性決定を受けているのに、データ流通に関する更なる交渉が必要な理由をもっと明確にすべし。→これは確かにそりゃそうであり、例えばEPAでは非個人データに限定した自由流通条項内容などにしたりするのですかね。個人的にはG7デジタル大臣宣言で出てきた国際データスペース(International Data Space)協力への言及が入っても面白いなと思います。
(2)EUまたは加盟国が、正当な理由がある場合には、管理者や処理者に対して、EU/EEA内の個人データを保管義務を課すことを妨げてはならないことを明確にすること、という念為的要求。特に背景として、5月に出された欧州ヘルスデータスペース(EHDS)法案に対して7月12日にEDPSとEDPBが出した意見の8.1において、以下のようにヘルスデータのEU域内保存義務を課すよう提案していることを強調し、そういうものも妨げないように交渉すべきとする。
https://edps.europa.eu/system/files/2022-07/22-07-12_edpb_edps_joint-opinion_europeanhealthdataspace_en_.pdf
「111. 上記の理由から、EDPBとEDPSは、本提案の対象となる個人データの機密性の高さを考慮し、本提案第63条は、本提案の範囲内で個人ヘルスデータを処理するEU域内の管理者及び処理者に当該データをEU域内に保存する義務を課すべきであると考える。前述のとおり、EU域内における個人電子ヘルスデータの保存義務は、GDPR第5章に従った個人電子ヘルスデータの移転の可能性を損なうものであってはならない。EDPBとEDPSは、個人ヘルスデータを処理する管理者と処理者が、EU法で認められていない移転または開示に関するGDPR第48条の適用を受け続け、第三国からのアクセス要求の場合にはこの規定を遵守すべきであることを前文で想起することも提言している。」
、、、、、ざっとメモのつもりが少し長くなりましたが、すごく面白いです。来年のG7日本開催に向けて結構急ピッチで交渉が進められるのだと思いますが、その中でEUテイストを乗せたDFFTがいかに具体化されるのか、注目したいと思います。