EFTA3カ国含むEEA全域でGDPRの適用開始へ

欧州自由貿易連合（EFTA）は7月6日、欧州経済領域（EEA）合同委員会で、EUの一般データ保護規則（GDPR、注）をEEA協定に統合する決定を採択したと発表した。今後、ノルウェーとアイスランド、リヒテンシュタインの3カ国の国内手続きを経て、順調に行けば7月20日から、これら3カ国でもGDPRが同時に適用される見通しだ。

適用開始には3カ国の国内手続きが必要

EEAはEU加盟28カ国と、スイス以外のEFTA加盟国（ノルウェー、アイスランド、リヒテンシュタイン）で構成される。「人、モノ、資本、サービスの移動の自由」、競争法、国家援助分野および消費者保護、環境などの横断的政策に関わる分野のEU法が適用され、単一市場を構成する。具体的には、EU法をEEA協定に統合することで、ノルウェーとアイスランド、リヒテンシュタインに適用される仕組みだ。EU法の統合に関する決定は、EU側からは欧州対外行動庁（EEAS）の代表者が、EFTA側からはEEA協定を締結する3カ国の駐EU大使が参加する「EEA合同委員会（Joint Committee）」が全会一致で採択する。

GDPRのEEA協定への統合の決定も、EEA合同委員会で採択された。EFTAのうち、スイスを除くEEA加盟3カ国は「ワンストップ・ショップ・メカニズム」（企業の主たる拠点の監督当局が主導監督当局となり、複数の加盟国に関連する越境的処理行為に関して主として対応する仕組み）と、GDPRの統一的な施行を目的とする「一貫性メカニズム」（規則適用の統一性を担保する仕組み）に完全に参加するととともに、加盟国のデータ保護監督機関の代表者らによって構成される「欧州データ保護会議（EDPB）」においても、議決権および議長・副議長選出の被選挙権を除き、EU加盟国と同等の権利と義務を有することとなる。

なお、EFTA加盟3カ国は、EEA合同委員会に立法権限を委譲していないため、合同委員会の決定の内容によっては、適用に国会の承認が必要となる。EFTAの発表文によると、EFTA加盟3カ国にはGDPRに準拠した国内法整備が必要で、GDPRの適用開始は、3カ国全ての国会の承認手続き終了がEFTA事務局に通知されてからとなる。手続きが順調に進めば、7月20日からこれらの3カ国でもGDPRが同時に適用される見通しだ。

（注）GDPRについては、ジェトロのウェブページを参照。

（村岡有）