序文

 ICC/ESOMAR国際綱領の第2条は、マーケティング・リサーチに影響するすべての国内および国際的諸法規の遵守を要求している。この付録は、個人データの収集と取り扱いに関する欧州連合(EU)内での要求事項をまとめたものである。

 この付録において基本となるものは、「個人データ処理に係る個人の保護および当該データの自由な移動に関する欧州議会および理事会の指令(95/46/EC)」(「EUデータ保護指令」あるいは「指令」)である。欧州議会および理事会によって承認されているように、EUデータ保護指令は、EU加盟国に指令に適合する法律、規則および行政規程を制定し、制定された措置を指令で記述している方法で施行することを要求している。

 EU内で活動するリサーチャーは、EUデータ保護指令の条項に自ら精通していなければならない。しかし、それだけでは十分ではない。彼らはさまざまなEU加盟諸国、少なくとも自分が活動している国のデータ保護要求事項を検討し、遵守しなければならない。その理由は、データ保護関連の要求事項は完全に統一されていないし、その解釈もまた場合によっては実際に条項が各加盟国でどのように適用されるかによることがあるからである。

 この付録は、リサーチャーがEUデータ保護指令によって確立されたデータ保護原則の核心を習熟できるよう設計されている。各国に特有のデータ保護要求事項については、ここでは言及していない。

 EU内で調査を実施するとき、リサーチャーは、以下にまとめた条項の要求事項に従った適切なオペレーション手順を制定し、それを遵守していることを確認する必要がある。

EUデータ保護指令の目的

 EUデータ保護指令の第1条は加盟国に「自然人の基本的人権および自由、特に個人データの処理に関してプライバシーの権利を保護する」ことを要求している。この目的を追求するために、指令は加盟国に不必要または不適切な方法で「加盟国間の個人データの自由な流通を規制または禁止してはならない」と指示している。

定義

 EUデータ保護指令の第2条は、以下の定義を定めており、この定義は大部分の加盟国のデータ保護法令でも同様に定められている:

同意−ある人(すなわち、「データ主体」)の個人データの処理に対し、当人により自由に表明された同意。情報主体はいかなる時にも同意を取り消すことができ、当人が適切と信じるいかなる条件や制限を付加することができる。
管理者−個人データ処理の目的および手段を(単独または他と共同で)決定する個人あるいは企業(例:リサーチャーあるいは調査会社)。
個人データ−身元が特定された、または身元の特定が可能な自然人(すなわち、企業やそれに準ずる団体と対比しての個人)に関するすべての情報。身元の特定が可能な人とは、特に身元確認番号(IDナンバー)の参照によって、またはその人の肉体的、生理的、精神的、経済的、文化的もしくは社会的な特徴によって、直接的または間接的に特定することができる者を意味する。
個人データ・ファイリングシステム−個人あるいは個人に関係する基準を参照することにより、ある特定の個人に関係する具体的な情報に容易にアクセスすることのできるように、構成された個人データのセット。これは自動化された記録と手作業による記録の両方を含むものであり、集約型であるか分散型であるか、それとも機能または地理的条件に基づいて分散されているかに関わらない。
個人データの処理−自動的な手段であるかどうかに関わらず、収集、記録、編成、保存、改変または変更、検索、参照、利用、移転による開示、公開または他の手段による入手可能化、整列または結合、ブロック化、消去または破壊が含まれるが、それに限定するものではない。

BACK - NEXT - 目次へ戻る