というわけで最初のポストは、『情報社会と共同規制』第５章「行動ターゲティング広告のプライバシー保護」で主に取り扱ったプライバシー政策の中でも、特にEUの個人情報保護指令であるデータ保護指令（data protection directive、95/46/EC）についての動きです。データ保護指令については1995年に制定されて以来デジタル時代の変化に対応するための改正の必要性がここ数年議論されてきており、来年2012年1月にはその全面改正草案が公開される予定だったのですが、なんと先日その草案が誰かによってリークされてしまいました。
　
http://www.statewatch.org/news/2011/dec/eu-com-draft-dp-reg-inter-service-consultation.pdf
　
　まず何より大きいのは加盟国が国内法で対応を行うこととなる指令（directive）から、発行と同時に域内における強制力を持つ規則（regulation）への変更が前提になっているところです。その他主な改正内容だけ挙げても話題の「忘却される権利（right to be forgotten）」の導入や医療・遺伝・生体認証等センシティブな情報の定義と取扱区別の明確化、29条作業部会の強化改組、越境的個人データ流通を円滑化するための拘束的企業ルール（BCR）の見直し、データ管理者と対象の力関係が甚大な場合への対応などを含めた「同意」の実質性の強化、年間利益の5%を上限とした罰則金などなどなど本当に多岐に及びますが、その辺は英語の解析記事も多いのでそちらに譲るとして、本書の関係から特に重要なのものとしては以下の2点が挙げられると思います。
　
・第一に、ドラフト89条で確認されているように、今回は電子プライバシー指令（e-privacy directive、2002/58/EC、2009年に2009/136/ECで大幅改正）との統合が視野に入っていないことです。本書５章で取り扱ったような行動ターゲティングに主に用いられるブラウザのクッキーや、DPI（deep packet inspection）に関わる通信の秘密等は基本的に引き続きE-Privacyの方の指令で担保されることになります。ここしばらくネット関係のプライバシーの話題としては行動ターゲティング広告関係がホットだったのでその方向の改正もあるのかなと予想していたんですが、行動ターゲティングやライフログの問題はいまだレギュレーションで取り扱えるほどのコンセンサスが存在しておらず、引き続き各国の取組と産業界の自主規制の進展を注視していく段階という現状認識なのかな、と思います。もちろんまた電子プライバシー指令の方の改正が入ることもあるのかもしれません。
　
・第二に、ドラフト35条で現行27条にあった産業界の行動規定（Code of Conduct）の取扱についての記述を大幅に拡充しコミッションの承認等の手続きを詳細化していること、そしてドラフト36条でcertificationの規定を新設しEUレベルでのプライバシー・マーク的なものを促進するとしているなど、自主規制・共同規制の方法論を積極的に活用していく姿勢が示されていることです。これは単一のレギュレーションで全産業分野を包括的に取り扱うことにはやはり限界があることに一定の配慮を示したものだと考えられます。レギュレーション化によって確かに「各国毎の」規律の差異はなくなりますが、（ある意味では日本の個人情報保護法について各省庁が数十のガイドラインを作成していることと同じように）今後EUレベルでの「産業セクター毎の」自主規制・共同規制が形成され、実質的なセクトラル型の（いわば「タテ」から「ヨコ」への）ルール形成が少なからず進展していくことになるのではないかと思ったりしています。特に忘却される権利はドラフト15条で表現の自由等の例外を含めてそれなりの分量を使って記述していますが、やはりそれだけからウェブサイト等はじめとする色々な企業の具体的な振る舞いを指定できているわけはなく、この権利の実現にこそ共同規制手法が駆使されることになるのではないかと予想（期待）しています。
　
　この件は１月に正式なドラフトが出てきた後にもまた詳しく検討して参ります。色々と批判は多くてどの程度の大改正になるかはまだまだわかりませんが、もし大筋でもリーク文書の通りになるとすればそもそも現行指令を大きく参考にしている日本法も改正の機運が大きく出てこざるを得ないところだろうと思いますし。