2016年4月14日に欧州議会本会議は「一般データ保護規則(正式には「Regulation(EU)2016/679」、以下「GDPR」という)」 (筆者注1)および「新保護指令(正式には「Directive(EU)2016/680」を採択した。さらに4月27日付けで「Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)」および法執行・司法部門の情報保護指令(以下「新指令」という)「DIRECTIVE (EU) 2016/680 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA」
が正式に公布された。
翻ってみると、GDPRは2012年1月に欧州委員会が規則案等を提案、幾多の修正、関係機関での審議を踏まえ、今般の欧州議会の可決まで約4年以上かかったことになる。この規則案の制定の背景、意義、経緯、主要な事項等についてはすでにわが国でも解説が加えられている。
特に注目すべき点は、GDPR制定の意義は、従来EU加盟国だけでなくEUとビジネスを行って来た多くの関係国の個人情報保護の基礎とされてきた「EU指令(Directive 95/46/EC)」の法的効果、21年間の運用面・裁判上の反省に基づくものであり、今後の世界の主要ビジネスのメルクマールとなると考えるべきことである。
その意味で、筆者自身、海外の主要ローファーム(筆者注2)の解析内容も含め前述したとおり改めて整理する重要性、意義を優先すべきと考えた次第である。
今回のブログは、わが国におけるGDPRの主な解説レポートを概観するとともに、2018年5月25日施行(運用開始)までの間に予定されるより詳細なDPR内容の具体化、各国政府や企業等の対応がいかなる課題を抱えるのか等を整理するものである。特に、わが国におけるマイナンバー制度等にあわせ改正された個人情報保護法の改正ポイントと比較すると、人権保護面から見て多くの課題(とりわけ「匿名化情報」を個人情報からはずした点や現行の業法たる「個人情報保護法」から「プライバシー保護法]への基本的転換問題等(筆者注3)を残している。
最後に、国際的なローファーム 「Bird & Bird」のGDPRがまとめたEU域内で活動する企業等の法遵守に向けた取り組み課題について、主要な点を中心にとりまとめたガイド等に基づく解説内容を概観する。
なお、欧州委員会の「GDPR」や「新指令」の専門解説サイトでも引用されているとおり、従来、米国とEU間の個人情報の移送ルールである「セーフ・ハーバー協定」に替わる新ルールたる”EU-U.S. Privacy Shield”が2016年6月2日にEU・米国間で署名され、2016年8月1日に完全実施された点も重要な問題といえるが、その内容、問題点等については、本ブログで別途の機会に取り上げたい。
今回のブログは、2回に分けて掲載する。
1.わが国のネット上で公開されたGDPRの経緯、概要、今後の課題等にかかるレポート等
筆者が、最近時に閲覧したレポートから注目すべきものを以下あげる。
(1)オーエスジー総研 水間丈博「EUの一般情報保護法制定の動きとその影響」
GDPRの制定に向けた背景、経緯、GDPR内容を中心に簡潔にまとめられている。このレポートは2015年12月の発表されたものであるが、3か月程度経過すれば新たな動きが明らかとなり、続編をレポートしたいとの筆者は述べている。特に大きな変化がないためか続編は出ていないが、是非わが国の保護法法制を含めた本格的なレポートを期待したい。 (筆者注4)
(2)東京大学大学院情報学環客員准教授・情報通信総合研究所研究員 生貝直人「EU一般データ保護規則可決、そして情報社会の民主主義について」
これまでのEUにおける検討内容を整理するとともに、今後のGDPRを受けた詳細なルール形成に向けた論点をまとめている。
(3)情報通信総合研究所研究員 藤井秀之「閣僚理事会によるEUデータ保護規則案の承認と今後の予定」
2015年6月に公表したものでタイムラインの解説が中心ではあるが、GDPRのキーワードはフォローされている。また、内外の関係機関の解説記事のURLも紹介している。
(4)西村あさひ法律事務所・弁護士 石川 智也 「発効が迫るEUデータ保護規則と日本企業にとっての留意点」
EUのGDPRに基づき域外適用、域外移転、課徴金問題等がわが国の企業の展開にいかなる影響を与えるかなど具体的事例に基づいた解説を行っている。
(5)ZDNet記事「EUの一般データ保護規則と改正情報保護法ー日本企業が気をつけるべきことは」 (その1 )、 (その2)
世界的ITローファームで構成する専門家グループ:Deloitte Tohmatsu Risk Services Co., Ltd.が主催した講演会の要旨をまとめている。
わが国企業自体が留意すべき点、英国のBrexitによる影響等をGDPRのポイントを中心にまとめている。
2.欧州委員会のGDPRや新指令の専門解説サイトの内容からみるEUのIT社会の進化の情報保護面からの具体的取り組み課題とこれまでの検討経緯の概要
欧州委員会のGDPRや新指令の専門解説サイト(Reform of EU data protection rules)から重要と思われる点のみ取り上げる。
(1)欧州委員会のEUにおける情報保護改革に関する合意
2015年12月15日欧州委員会は、GDPRおよび新指令につき合意したことを踏まえ、次のとおり要約、公表した。
A.GDPRの制定目的
①GDPRは、人々がよりよく彼らの個人データをコントロールすることができるものとする。同時に現代化されたこの統一規則は、企業が官僚主義を改め、補強された消費者信用から利益を得ることによって「デジタル単一市場(Digital Single Market)」の機会を最大限に活用することを許す。
②警察と犯罪の司法セクターのためのデータ保護指令は、犯罪の被害者、目撃者と容疑者のデータが捜査または法の執行活動の前後関係で順当に保護されることを確実とする。同時により多くが調和した法律は、ヨーロッパの全域でより効果的に犯罪とテロリズムを防止するために警察または検察官の国境を越える協力をも容易にする。
B.GDPRの主要課題
新しい規則GDPRは、以下の点を通じてEU市民の懸念に対処する。
a. 「忘れられる権利(right to be forgotten)」 : 個人がもはや彼(彼女)のデータが処理されることを望まないで、またそれを保持するだけの正当な根拠がないと欲したとき、データは削除されうる。 これは単に過去の出来事を削除するか、出版の自由を制限することでなく、これはあくまで個人のプライバシーを保護することである。
b. 「その人自身の個人データへのより簡単なアクセス権(Easier access to one's data)」: 個人にとって、どのように彼らのデータが処理されるか、またこの情報が明確かつ理解できる方法で利用されなければならない。 データの携帯性に対する権利(A right to data portability )は、個人がサービス・プロバイダー間において個人データを送ることをより簡単にする。
c. 「データ主体につき自身のデータがハッキングされたかにつき迅速に知る権利(The right to know when one's data has been hacked)」 : 会社や団体等は、国家の監督機関に個人を危険にさらされているようにするデータ漏洩に事実を通知しなければならず、ユーザーが適切な処置をとることができるように、すべての大きな情報漏洩リスクをできるだけ早く被害者たるデータ主体に通知しなければならない。
d. 「あらかじめ計画的かつ初期値化されたデータ保護(Data protection by design and by default)」 :『計画化されたデータ保護』と『初期値化されたデータ保護』は、現在のEUデータ保護規則の必須の要素である。データ保護の安全装置は発展で最も初期のステージから製品・サービスに組み入れられねばならない。そして、プライバシーに配慮した初期値のセッティングは標準となる(たとえばソーシャル・ネットワークあるいはモバイル・アプリ等で)。
e. 「規則に基づくより強い罰則法の施行(Stronger enforcement of the rules:)」: データ保護当局は、彼らの世界的な年間取引高の4%までEU規則に従わない大手企業にも罰金を課しうる。
(2)GDPR等に関する主な概要報告(Fact Sheets)
ここでは逐一論じないが、標題のみ仮訳しておく。読者は関心のあるテーマごとに、個別に内容を確認されたい。
a.①データ保護規則はいかなる方法で市民権の強化を図ってきたのか?
②EUの情報保護制度改革は新しい技術革新にあわせていかなるルールを採用したのか?
③EU内で活動する企業等のとって新規則はいかなる利益がえられるといえるか?
④新規則による改革はソーシャルネットワークにいかなる影響をもたらすか?
b.GDPRおよび新指令の制定に関するインパクト・アセスメント
立法にあたりその影響度評価を徹底した解析を行なうべきことは、英国でなくとも当然のことといえ。EUの資料を以下、仮訳する。
なお、わが国の保護法のあり方について従来から積極的な取り組みを行っている新潟大学法科大学院教授 鈴木正朝氏の論調等を参照されたい。
①1995年のデータ保護に関する現在のEU法的枠組み (筆者注5) の採用以来、急速な技術的およびビジネス開発が、情報保護のために新しい挑戦をもたらした。この個人データのデータ共有と収集のスケールは、劇的に増加した。
テクノロジーは、私企業や公的機関は個人データを先例のない規模で利用することを可能とした。また個人は公的ならびにグローバルに利用できる個人情報(そこに含まれる危険に完全に気づかないまま)をますます公表している。
オンライン環境への信頼は、経済発展の鍵である。その信頼の欠如は、消費者がオンラインで購入したり、新しいサービス(電子的な公的政府サービスを含む)を採用するのを躊躇させる。その努力を怠ると、信頼不足は新技術による革新的な活用を遅らせ、また公共部門サービスにおいて電子化の潜在的利益を得ることから避けることにつながる。
②さらに、リスボン条約 (筆者注6)は「欧州連合の機能に関する条約(TFEU)」第16条とともに、データ保護への現代化かつ包括的な取り組みならびに個人情報の自由な移送に関する法的基礎を(刑事問題について警察と裁判の協力をカバーする点も含め)作った。
c.インパクト(影響)・アセスメントの概要の要訳
行ったインパクト・アセスメントは次の3問題分野において提示と分析を行った。
2.1. Problem 1: Barriers for business and public authorities due to fragmentation,
legal uncertainty and inconsistent enforcement
2.2. Problem 2: Difficulties for individuals to stay in control of their personal data
2.3. Problem 3: Gaps and inconsistencies in the protection of personal data in the
field of police and judicial cooperation in criminal matters
d.権限委譲および均衡性の分析
e.3つの主要なポリシーとその対象
①このように情報の断片化を減らし、一貫性を強化し、規制環境を単純化することによって、不必要な経費を省き、管理上の重荷を減らし、データ保護の内部市場規模を強化することとなるか。
②データ保護に対する基本的人権の効率性増すとともに個人データへの当該本人のコントロール権を置くことになるか。
③犯罪問題につき警察の協調および司法の協調においてリスボン条約を完全に考慮することでEUの情報保護の一貫性を強化できるか。
f.ポリシーの選択( Policy Options)
①オプション1:ソフトな処置が中心
②オプション2:近代化された法的枠組みが中心
③EUレベルにおける詳細にわたる法的ルールが中心
g. インパクト(影響)のアセスメント
各オプションの比較を行った。
h. 結論:最も好ましいオプション(Preferred Option):
オプション2の近代化された法的枠組みに次の修正内容を結合させる。
①オプション3からの通知義務を廃止し、
②オプション1の中からプライバシー保護を強化させるテクノロジー、認証制度の強化ならびに個人の認識を上げてるためのキャンペーン等『ソフトな処置』を加える。
また、最も好ましいオプションは、過剰な法令遵守経費なしにかつ管理費用の重荷の大規模な縮小する点で政策目標を達成することになる。
3.Bird & BirdのGDPRの主な重要項目の解説
前述した内容と重複が生じるが、体系的理解を重視することからあえて仮訳にもとづく解説を行う。なお、筆者の判断で重要と思われる点のみ解説したが、訳語のミスもありえるので、読者はできる限り原典で内容を正確な内容を確認されたい。
なお、筆者は本仮訳作業に世界的ローファーム「モリソン・フォースター(Morrison & Foerster)」のGDPRに関する解説レポートおよび仮訳を見つけた。本ブログが引用したレポートと重複したり、さらにGDPRの条文引用など詳細な解説も含まれているが、一方で例えば「目的限定とビッグデータ」や「プライバシー・バイ・デザイン及びプライバシー・バイ・デフォルト」として引用している内容は本ブログでいう「仮名化データ(Pseudonymous data」であると思えられるなど、なお比較・検討すべき点もある。読者は双方を比較されたい。
(1)2015年12月18日付けの解説記事「Agreement on general data protection regulation」
次の各項目につき概要を仮訳する。なお、記事の前書きの最後に数週間また数ヶ月以内に「企業等が取るべき具体的な行動内容についてのガイダンス」を公表すると述べている。同ガイダンスの内容は(2)で詳しく述べる。
①Long-arm jurisdiction reach:
GDPRは、商品またはサービスの提供、あるいはEU域内で個人の行動をモニタリングする場合にEU居住者の情報処理に適用される。その団体・組織の本部がEU域外であっても適用される。
この域外適用(extra-territorial reach)の判断・調査に関連する要素としては、EU加盟国で使用される言語または通貨の使用、EU内における発注場所としての能力あるいはEUのユーザーまたは顧客が含まれる。インターネット上でのEU住民のトラッキングにもとづく嗜好並びに行動分析やプロファイル作成の予測行為も含まれる。
なお、域外適用を受ける団体・組織がGDPRの域外適用規を遵守する場合は、EU域内にその代表者を任命しなければならない。
②Continued application to EU based organisations
GDPRは、またEU域内ですでに設置された団体・組織の関連で実行される個人情報の処理について、EU内の一種の確実に調整されたものとして適用される。
③どのようなデータがGDPRによりカバーされるのか(What data is covered?)
GDPRは生存する個人の特定または何者かの特定可能なデータに適用される。GDPRは、個人的なオンライン識別子(online identifiers)、端末識別子(device identifiers)、クッキーID (筆者注7) 、IPアドレス等個人に参照されるオンライン・データーの一定の範囲をハイライトとして引用している。
IPアドレスに関しては、2016年5月12日、欧州連合司法裁判所の法務官カンポス・サンチェス・ボルドーナ(Campos Sánchez-Bordona)は2016年5月12日に動的IPアドレスに関する意見書を同裁判所の提出した。 (筆者注8)
機微情報についての現在の概念は、保持する個人情報の範囲は遺伝子情報や生体認証等範囲は拡がりつつある。現行の保護指令(Directive 95/46/EC)においてさえ、機微個人情報は明確な同意に基づき保有されなければならない。
*******************************************************:
(筆者注1) GDPRの全文訳は、JIPDEC訳「個人データ保護規則」案 仮訳 (全176頁)参照。
(筆者注2) わが国の保護法改正につき2015年9月9日公布の「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」の概要を参照されたい。これに関し、に改正保護法に基づき設置された個人情報保護委員会は8月2日「個人情報の保護に関する法律施行令の一部を改正する政令(案)」および「「個人情報の保護に関する法律施行規則(案)」を公表,、8月31日を締め切りとする意見を公募しており、あわせて問題点を理解されたい。
(筆者注3) わが国の保護法立法論者として独自の見解を展開されている新潟大学法科大学院教授 鈴木正朝「個人情報保護法の課題と立法政策:個人情報保護法制からプライバシー保護法制へ」において重要な立法問題を提起されており、2010年8月6日のTwitter8/6 35で「プラバシ-の権利を軸として法令をもたなければ、第三者機関のPIA(プライバシー・インパクト・アセスメント)の権限を付与することもできない。特定個人が識別できるか否かという対象情報のみをしかも形式的にしかチェックできない中での権限でいったい何が守られるというのか」という厳しい指摘を行っている。鈴木教授が経済産業研究所の2010年9月17日セミナー「共通番号制度、国民ID時代における個人情報保護法改正の論点 -プライバシー情報保護法制への転換と第三者機関の必要性」レジュメで取り上げられているものである。
(筆者注4)同レポートにおいて「DPO:Data Protection Officer)」をデータ保護官と訳されているが、本ブログやモリソン・フォースター法律事務所の訳のとおり「データ保護責任者」や本ブログでいう「情報保護担当役員」と訳すのが正確であると思う。
(筆者注5) Directive 95/46/ECおよびFramework Decision 2008/977/JHA をさす。
(筆者注6) 「リスボン条約」の解説例
【EUの"新しい顔″が誕生】
リスボン条約のポイント リスボン条約は、2007年に調印され、2009年12月に発効したEUの新しい基本条約です。この条約の大きな特徴としてまず挙げられるのが、EUの"新しい顔″の誕生です。EU加盟国の"首脳会議″とも言える欧州理事会の「常任議長」、そして、一国の"外務大臣"にあたる位置付けの「外務・安全保障政策上級代表」の2ポストが新設されました。欧州理事会にはこれまでも議長がいましたが、常任ではなく、EU加盟国の首脳が半年交替で就任していたため、EUの重点課題が半年ごとに揺れ動いたり、本国の国政とのバランスをとるのが難しかったりするなどの課題が指摘されていました。外務・安全保障政策上級代表は、複雑な国際情勢の下でEUの外交政策を強力に推進するために新しく設置する「対外活動庁」(EU版の外務省)のトップに立ちます。こうした機構改革により、民族も言語も多様なEUは、より民主的で力強い政策が展開できるとしています。ほかにも、気候変動、テロ対策、警察・司法分野の段階的な統合、移民・難民政策の共通化、EU拡大など、新たな課題への対応能力も一層強化していくことになりました。
外務省「わかる国際情勢」から一部抜粋
(筆者注7)ブラウザの Cookie に保存される固有のIDをいう。
(筆者注8) 欧州連合司法裁判所の法務官(AG)の意見書のうち、2014年12月17日にドイツ連邦通常最高裁判所から出された質問書の第1点たる「動的IPアドレス」はEU保護指令(Directive 95/46/EC)やドイツ国内法に規定する個人情報にあたるとしたものである。この問題につき、わが国の関係者による解説は皆無のようであり、解説を試みるにはなお時間が必要なので、ここでは主な解説レポートのURLのみ挙げるにとどめる。
①2016.5.18 edri「Advocate General: Dynamic IP address can be personal data」
②2016.5.13 Inside Privacy「EU Advocate General Considers Dynamic IP Addresses To Be Personal Data 」
************************************************
Copyright © 2006-2016 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます