欧州では、EU指令というかたちで、EUが個人情報保護法の中身を決めている。

けれど、この指令はそのまま各国に適用されるわけはではなく、各国が自国で法律化して初めて実効的なものになる。

また、各国は、立法の際にEU指令より厳しい法律にすることもできるので、実際のEU域内の個人情報保護法は国によりまちまちになる。

EU指令では、EU域内の国から個人情報を国外に持ち出そうとすると、それぞれの国の法律に基づくルールに従う必要がある。指定の書式の契約を結ぶとかなんとか。

日本では単に個人情報を取得した人が法律通りに個人情報を管理すれば良くて「持ち出し」という考え方がないから、大きな違いだ。

それに、EUにおいては、個人情報の定義も日本のそれより広く、名前や生年月日なんて含まなくたって個人情報に該当してしまう。情報を照合して、間接的に個人が特定される場合も個人情報に含むとされるから、A部門のＴさん、とか言われても当たりがついてしまえば、個人情報とみなされる可能性があるのだ。

ちなみに、当該国内にサーバーがあって、日本からそこにアクセスする行為も「持ち出し」に該当しかねないとのことで（この点はまだまだ議論の余地もありそうですが）、日本法人としては、現地子会社の情報取得に幾つかハードルがあることがよく分かる。

EUにおいて、内部通報制度を導入しようと思ったら、幾つかハードルがあるなぁということがよくわかる。

アレコレやることはあるので、後回しにしつつ、この辺りの対応も後々していかなくてはなりません。

けれど、こうして国が全力で国民の個人情報を守ろうとしてくれるというのは、やっぱり人権意識の高さなのかなぁと思うのです。