EUは1995年、『個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令』、いわゆる「EUデータ保護指令」を採択し、各国の個人情報保護(プライバシー保護)に関わる法制度の共通化を求めた。個人データの保護に関する措置が、EUデータ保護指令の水準を満たしていない国やその国の企業には個人データを移転してはならないというものである。そして、2016年4月、欧州本会議はこれを大幅に改訂するものとして、「EUデータ保護規則(Genera. Data Protection Regulation, GDPR)」を可決した。
GDPRではプロファイリングを「自然人に関する特定の個人的側面を評価するために、特に、当該自然人の職務遂行能力、経済状況、健康、個人的選好、関心、信頼性、行動、位置もしくは動向を分析または予測するために、個人データを用いて行うあらゆる形式の自動化された個人データ処理」と定義している。つまり、通常の生活空間に存在している人の経済状況や健康、興味関心や行動などを知るために、本人に直接確認することなくネット上に記されたデータを駆使して、個人そのものを推定し特定してしまうことを意味する。GDPRで保護される個人データの定義は、オンライン識別子や生体情報までを含むところまで拡張される。データ主体、つまりデータのもととなる本人の同意には、高い明確性や明瞭性、そして通知が求められ、子どもの場合には、親権者等の同意を必要とする。不適切な個人データに対する異議申し立てをする「忘れられる権利」も含まれ、適用範囲はEU市民をターゲットとするサービスを提供する全世界の企業に及ぶ。日本企業ももちろん例外ではなく、国内法の整備も急がれることになるだろう。いまだ、情報漏洩や第三者提供にも重点を置く個人情報・プライバシー保護法制においても対応を迫られる。
