アンギラは、カリブ地域の中でも、いまだ包括的なデータ保護法が制定されていない数少ない法域の一つである。多くの国や地域では、個人情報保護を目的とした単独の法律が整備されているが、アンギラでは現時点でそのような統一的な立法は存在しない。そのため、プライバシーや個人データに関する法的な取り扱いは、一つの明確な法律に集約されているわけではなく、電子商取引を主な目的として制定された「電子取引法(Electronic Transactions Act)」の中に、限定的な形で規定されているのが現状である。
アンギラにおけるデータ保護に関する唯一の法的根拠は、この電子取引法の第8部に置かれている。同部には、「データ保護」を扱う第31条と、「仮名(ペンネーム)」の使用を定めた第32条の二つの条文が含まれており、これらが現在のアンギラにおけるデータ関連規制の全体像となっている。しかし、これらの条文は枠組みを示すにとどまり、実際に運用されるために不可欠な詳細規則が存在しないという大きな課題を抱えている。
第31条では、総督会(Governor in Council)に対し、個人データの取り扱いに関する基準を定める規則を制定する権限が付与されている。想定されている規則の内容には、個人のプライバシーの保護、データ管理者や処理者が任意で一定の基準に登録する制度、その登録者を公開するための登録簿の設置、さらにはデータの出所国によって異なる取り扱いを認める制度などが含まれている。また、法律上では「個人データ」「データ管理者」「データ処理者」「処理」といった基本的な用語も定義されており、これらは国際的に採用されている現代的なプライバシー法制と整合的な内容となっている。
しかし、最大の問題は、これらの規則が今日に至るまで一切制定されていない点にある。法律上はデータ保護制度を構築するための土台が用意されているものの、具体的な基準や義務が存在しないため、制度としては事実上機能していない。これまでに議論や検討が行われてきた経緯はあるものの、実際の運用に至っていないのが現実である。
さらに第31条では、将来制定される基準に登録したデータ管理者や処理者が、その基準に違反した場合の刑事罰も規定されている。違反があった場合には、最大で東カリブ・ドル5万ドルの罰金、最長6か月の禁錮刑、さらには違反が継続する場合の日額罰金が科される可能性があるとされている。ただし、前提となる規則自体が存在しないため、実務上これらの刑罰規定を適用することには大きな困難が伴うと考えられている。
第32条は、情報セキュリティサービス提供者による仮名の使用について定めており、実名の署名に代えて別の識別手段を用いることを認めている。この点についても、詳細を定める規則を制定できるとされているが、こちらも同様に、現在まで具体的な規則は導入されていない。
このような状況から、アンギラには現時点で有効に機能するローカルなデータ保護コンプライアンス制度は存在しないと言える。一方で、国際的に認められたデータ保護やプライバシーに関する原則は、アンギラで事業を行う企業や組織、政府機関、個人にとって、引き続き重要な指針として参照されている。多くの国では、現代的なプライバシー法制がデジタル経済の基盤インフラと見なされており、その重要性は年々高まっている。
他のカリブ諸国と比較すると、アンギラには現在のところデータ保護委員会やデータ保護コミッショナーといった独立した監督機関も設置されていない。ただし、電子取引法の中には、将来的なデータ保護制度を構築するための基礎的な要素がすでに盛り込まれていることも事実である。今後、必要な規則が制定されれば、実効性のあるデータ保護法制が稼働する可能性は十分にある。
世界的にプライバシー保護に対する期待が高まり続ける中で、アンギラも将来的には、独立した包括的なデータ保護法を制定するか、もしくは既存の電子取引法の下で詳細かつ包括的な規則を整備することが求められるだろう。現時点では、その可能性は存在するものの、制度を実際に機能させるための重要な要素はまだ整備途上にある。
そのため、当面の実務対応としては、国際的に受け入れられているプライバシーおよびデータ保護の基準に整合した運用を行うことが、アンギラにおいても現実的かつ望ましいアプローチといえる。
本記事は、INPLPメンバーであるキ―シャ・フレミング・レイク氏およびバージニア・チェルヴィエリ氏(Cervieri Monsuarez、アンギラ)による解説を基に構成している。
