EUでは基本的人権の一つとして規定
すでにドイツでは、1983年の段階で、憲法裁判所が「情報自己決定権」(日本で言う自己情報コントロール権と類似した考え方)を憲法上の基本権として承認しています。
そして、欧州の憲法とされる「EU基本権憲章(The Charter of Fundamental Rights of the European Union)」(2000年採択)には、情報自己決定権という文言自体は規定されていないものの、「個人データの保護」が基本的人権の一つとして規定され、厳格なデータ保護法として知られる「一般データ保護規則」(The General Data Protection Regulation:GDPR、16年採択)を強力に方向づけています。
プラットフォームを含む事業者間での個人データの移転(本人が自己の個人データをもち運べること)を認めるデータポータビリティ権や、先述した消去権などを明記したGDPRが、ドイツの情報自己決定権の考え方を色濃く反映したものであることは多言を要しません。また、GDPRは、レコメンデーションやターゲティングに必要な「プロファイリング」(個人データに基づき、その個人の趣味・嗜好や政治的信条、感情などを自動的に予測・分析すること)についても、一定程度個人のコントローラビリティを認めています。
Cookie情報の取り扱いにも同意を求める
さらに、GDPRやeプライバシー指令は、プロファイリングに用いられるCookie情報や端末情報の取り扱いについて個人の同意などを求めています(日本では、そもそもこれらのデータは、単体では「個人情報」として扱われません)。
前述のように、GDPRには、情報自己決定権という言葉がはっきりと書かれませんでした。けれども、22年1月に欧州委員会が発表した、先述の「デジタル権利および原則に関する宣言」では、「プライバシーと、データに対する個人のコントロール」と題する第5章において、「何人も、オンラインにおいて自らの個人データを保護される権利をもつ。この権利は、当該データがどのように利用され、誰と共有されるかに関するコントロールを含む」(太字筆者)と明確に規定されました。
このデジタル権利宣言が欧州議会および欧州理事会で採択されることにより、EUの各種の個人データ保護法制は、個人データに対する本人のコントローラビリティを目的とするものとして、明確に位置づけられることになるでしょう。