筆者は、2016年8月13日のブログで、「EU議会が『一般データ保護規則(正式には「EU General Data Protection Regulation (EU)2016/679」』(以下、”GDPR”という)」および「法執行・司法部門の情報保護指令(Directive(EU)2016/680」(以下「法執行指令(Law Enforcement Directive:(以下、”LED”という)」を採択した旨ならびにその内容について関係するローファームの解説サイト等を引用し、詳しく論じた。 (筆者注1)
一方、2017年9月14日、英国政府は「新しいデータ保護法案(Data Protection Bill)(以下、「法案」(Bill)という)」を議会に提出した。この法案は、英国の既存の「データ保護法(Data Protection Act 1998)(以下、「1998年法」という)」に代わるものであり、英国の欧州連合(EU)離脱(Brexit)に併せ、英国の国内法律にEUの”GDPR”を適用させることになる。”GDPR”により、EU加盟国は、法案が実施しようとしている”GDPR”の様々な条項を加盟国の法律により制定することができる。
この法案は、英国法に”GDPR”を具体的に取り込むことに加えて、同時に欧州議会で採択された「犯罪の予防(prevention)、捜査(investigation)、取り調べ(detection)および訴追(prosecution)の目的での政府当局による個人情報の処理に関するEUの「法執行指令(Law Enforcement Directive)」 (筆者注2)を取り込んだ規定を含む。
また、英国の情報保護機関である情報保護コミッショナー事務局(以下、「ICO」という)は、9月13日に「”GDPR”に基づいて情報管理者と処理者の間の契約に関するGDPR契約および責任に関するガイダンス草案(全28頁)」を公表した(以下、「ガイダンス」という)。ICOは10月10日まで同ガイダンスの意見公募を行っている。
今回のブログは、(1)英国政府の法案担当省であるデジタル・文化・メディア&スポーツ省の法案概要の解説内容、(2)議会上院(HL)の公式注釈の内容(EU離脱宣言の一方でEUの”GDPR”や法執行指令との整合性をかなり意識した内容である)を仮訳し、また(3)EU指令EU2016 / 680(法執行指令)に関する英国ICOの解説を述べ、最後に(4)ICOの”GDPR”に基づいて情報管理者と処理者の間の契約に関するGDPR契約および法的責任(liabilities)に関するガイダンス草案の概要を整理するものである。
なお、筆者が前記ブログでもとりあげた欧州委員会が実施した立法にあたっての「法案影響度評価(Impact Assessments)」は、英国ほかEUで法案策定にあたり当然行われるものであり、今回も厳格に行われているため、極力その内容についても具体的解説を試みた。また、後述の総務省報告書で言及されている通り、わが国でも平成27年度から政策評価審議会が発足し、その下部組織として、有識者による規制評価ワーキング・グループ(以下「規制評価WG」という。)が設置されたことから、規制評価WGと綿密に連携の上、調査を実施している。その検討結果は広く国民、企業活動等に大きな影響を持つ問題でありながら、その内容が広く国民、企業等には浸透していないことも事実である。今回はあえて詳しく言及しないが、機会を改めて論じたい。
今回は、4回に分けて掲載する。
1.Data Protection Bill法案の概要
政府の法案の正式な注釈解説「 Data Protection Bill [HL] EXPLANATORY NOTES:Explanatory notes to the Bill, prepared by the Department for Digital, Culture, Media and Sport and the Home Office, are published separately as HL Bill 66—EN. 」は全218頁にわたる大部なものである。
このため、政府「デジタル・文化・メディア&スポーツ省」のサイトでは法案概要の説明用に「Data Protection Bill:Overview Factsheet」および「法案影響度調査(Impact Assessments)結果」を用意している。今回のブログでは、その仮訳を行うが、はっきり言って法案解説としては概案すぎて法案解説としてはあまり有益なものは思えないというのが本音である。
(1) 情報保護法(Data Protection Bill)の改正案の概要(Factsheet – Overview)
(ⅰ)政府は法案により何を行おうとしているのか?
① 現代はますます多くの個人データが処理されており、英国のデータ保護に関する法律をこのデジタル時代に適合させる。
② 個人が自身の個人データを主体的に管理できるようにする。
③ 法改正を通じて国際化を通じ、英国の企業や団体を支援する。
④ EU離脱後の英国が将来のために準備していることを確認する。
(ⅱ) 政府は法改正により何をどうしたいのか?
① 1998年情報保護法を、英国における情報保護のための包括的で現代的な枠組みを提供する新しい法律で置き換え、違法行為に対する制裁を強化する。
② ”GDPR”に基づいて一般データを保護するための新しい基準を設定し、情報の使用をより詳細に管理し、個人データの移動または削除に関する新しい主体の権利を提供する。
③ 英国の企業や組織が世界をリードする研究、金融サービス、ジャーナリズムや法律サービス分野を継続的にサポートできるように、情報保護法でうまく機能している既存の適合した例外は保持し、新しい法律に引き継ぐ。
④ 英国が直面している世界的な脅威の変化する性質に対応できるようにしつつ、犠牲者、証人、容疑者の権利を守るため、刑事司法機関や諜報機関を含む国家安全保障機関のニーズに合わせた個別の枠組みを提供する。
(ⅲ) 法改正の背景
データ保護法案は2017年6月21日の女王の演説(Qeen’s Speech:イギリスをはじめとする王国(君主国)において、国王が議会の開会式で全議員を集め、今後の政府の方針を演説する儀式である。この場合、朗読するのは国王であるが、その原稿は時の政府がその方針のもとに作成したもので、国王は代読する形になる。 国王演説後には、議会は国王が演説した政府の施政方針の内容について審議し、採決する)で発表された。
情報保護法の改正に関する政府の約束を実行するものである。
1998年法はわれわれを満足させ、英国を世界的なデータ保護基準の前に置いた。この法案は、ますますデジタル化された経済と社会の目的に適合させるため、英国の情報保護法を近代化している。この法案の一環として、”Brexit”のために英国を準備するEUのGDPR基準を適用する予定である。 強力なデータ保護法と適切な保護措置を導入することで、企業は国際的な国境を越えて事業を展開することができる。これは最終的に世界貿易を支え、意欲的な貿易相手国としての独自の道を築くためには、妨げられないデータ・フローを持つことは英国にとって不可欠である。我々は、現代的で革新的な個人情報の使用を継続しながら、個人情報に対する管理と保護を強化することを保証する。
法案の主な要素- 一般的なデータ処理は次のとおりである。
① 一般的なデータ処理全体にわたってGDPR標準を実装する。
② 英国の現在の状況下にあった”GDPR”の定義を明確にする。
③ 機微性の高い健康、社会福祉、教育のデータを継続的に処理して、健康の継続的な機密性を確保し、安全な保護の状況を維持できるようにする。
③ 国家安全保障上の目的を含む、強力な公共政策立案が行う場合には現在進行中の特定の処理を可能にするため個人情報のアクセスおよび削除の権利に適切な制限を設ける。
④ オンラインで個人情報を処理するために、親権者の同意が不要な年齢を13歳に設定する。
(ⅳ) 法執行手続き
① 法執行の目的で、警察、検察、その他の刑事司法機関による個人情報の処理のための特別なオーダーメイドな制度(bespoke regime)を提供する。
② 個人情報を保護するための保護手段を提供する一方で、国際的な個人情報の移動、流れを妨げないようにする。
(ⅴ) 英国の国家安全保障機関の個人情報の適切な処理
国家情報機関による個人情報の処理を規制する法律が、現存する最新の国家安全保障上の脅威に諜報機関が引き続き取り組むことができる適切な保障措置を含め、最新の国際基準に沿った最新のものであることを保証する。
(ⅵ) 法規制と法施行
① 情報保護法の規制と施行を継続的に行う情報保護コミッショナー(ICO)の追加権限を立法で規定する。
② ”ICO”に最も重大な個人データ漏えいの場合、データ管理者および処理者に対するより高額の行政罰金を課すことができることとするとともに、最も重大な法違反者に対しては最高17百万ポンド(2,000万ユーロ:約26億6,000万円)または対象者の全世界での総売上高の4%の罰金額を課すことができる。
③ ”ICO”に、データ管理者または処理者が、情報主体のアクセス要求に続く開示を阻止する目的で記録を改ざんしようとする犯罪に対して刑事訴訟を提起する権限を付与する。
(2) Assessment(影響度評価)
2017年9月7日、デジタル・文化・メディア&スポーツ省(関係省庁は内務省)の法案最終インパクト・アセスメント(Data Protection Bill: Summary assessment)の要旨部分のみを仮訳する。
なお、英国の法案のインパクト・アセスメントの事前の理解が必須である。これに関し、わが国で参考になるものとしてあげられるものは「英国における規制の政策評価に関する調査研究報告書(平成28年3月)(総務省委託研究)」、国土交通省国土技術政策総合研究所「規制インパクト評価 と わが国の規制評価の動き」、筆者ブログ「欧州司法裁判所AGがGoogleを巡るEUデータ保護指令(95/46/EC)等の解釈をスペイン裁判所に意見書(その3完)」などである。
A.法案Data Protection Bill: 影響評価書の要旨(仮訳)
B.英国における影響評価書のフォーマットと記載内容
前述の「英国における規制の政策評価に関する調査研究報告書(平成28年3月)(総務省委託研究)」8頁で.確認されたい。
「英国における規制の政策評価に関する調査研究報告書」8頁「図表4:英国における影響評価書のフォーマットと記載内容」から引用
(3) Hunton & Williams LLPのブログ「UK Government Introduces Draft Data Protection Bill to Parliament」が法案の重要点をまとめているので、以下、仮訳する。
A.Billは以下の編のとおり構成され、”GDPR”や法執行指令に即して主要な条項を含んでいる。
• 法案第2編では、”GDPR”を英国の法律に適合させた。
• 法案第3編では、英国の法執行機関による個人情報の処理に関連する限り、法執行指令を英国の法律に適合させた。
• 法案第4編では、英国の諜報機関や関係機関による個人情報の処理に関連する限りにおいて、法執行指令を英国の法律に適合させた。
• 法案第5編では、本法案に規定された英国の新しいデータ保護制度に基づく英国”ICO”の役割に関する規定が含まれている。特に、この編では、”GDPR”に規定された調査、認可および勧告権限をICOに付与する旨明記した。
• 法案第6編は、”ICO”による執行措置に関する規定を含む。この編では、”ICO”に、年間2,000万ユーロ(約26億円)または年間売上高の4%、あるいは1,000万ユーロまたは年間売上高の2%を超える法律違反に対する罰金を課す権限を”ICO”に付与した。
B.【 附則1】では、”GDPR”に規定されているように、科学的または歴史的研究目的や統計的目的など、データ管理者に機密個人情報を処理できる追加の法的根拠を記載した。
• 【附則2】と【附則3】は、”GDPR”で認められた情報主体に対するプライバシー通知を提供すること、ならびに、”GDPR”で認められた犯罪の取り調べや防止目的で個人情報が処理される際の情報主体の権利を維持するための要件に関して、追加的適用除外を定める。
C. 国王の裁可により法案が正式に法律になる前に、法案は、英国議会の下院と下院の両方で承認されなければならない。国王の裁可(Royal Assent)の確定日はまだ規定化されてていないが、この法案は”GDPR”の2018年5月25日の効力発生日より前に施行する予定である。
2.英国議会上院の2017年「情報保護法案(Data Protection Bill)」の公式注釈
海外のローファームなども第1節で説明した英国政府の法案担当省であるデジタル・文化・メディア&スポーツ省の法案概要の解説のみでは法案解説としてきわめて不十分と考え、あえて英国議会上院事務局がまとめた公式注釈(Explanatory Notes)全文を仮訳する。なお、法案の解説なのでパラグラフ番号もあえて併記した。
(1) 法案政策の背景 (Policy background)
3 その情報から特定できる生存する個人に関連するデータからなる「個人情報」を保護するためには、情報保護法規制が必要である。個人情報保護に関する現在の英国の法律は、個人情報の処理を規制する「1998年情報保護法(Data Protection Act(以下、「1998年法」という)」である。1998年法は、情報が対象とする個人の権利を保護している。2017年保護法案は、これらの権利を更新するとともに、その権利行使をより簡単にし、かつ今日の技術のより高度なデータ処理の出現に関連して継続適用できることを確実にする。
4 「2017年情報保護法案(Data Protection Bill: 以下、「法案」(Bill)という)」(筆者注5)は、1998年法に代わって英国における情報保護の包括的な法的枠組みを提供し、英国が正式にEUを離脱するまで「一般データ保護規制(EU General Data Protection Regulation)2016/679 (以下、「GDPR」という)」で補完される。
*****************************************************************************
(筆者注1) 本ブログの原稿を執筆中に10月4日付けの法解説ブログInside Privacy「UK Government Publishes New Data Protection Bill 」を読んだ。筆者が調べた範囲外の解説内容もあり、改めて確認したい点もあったが、筆者のブログへのアップのタイミングがさらに遅れるので今回は省略する。
(筆者注2) 英国議会の「国家情報保安委員会(Intelligence and Security Committee of Parliament:ISC)」は、1994 年制定のインテリジェンス・サービス法により設立された英国議会の機関で、政府合同情報委員会(JIC)を含む首相府のインテリジェンス関連業務を調査するほか、国防省の国防インテリジェンス部門と内務省の安全保障・カウンターテロリズム部門を監督する。委員会はこれら活動内容を議会に報告することになっているが、機微な国家安全保障案件について首相に直接報告することができる。委員は、2015年から2017年の委員数は9名である。(出所)同委員会HP〈http://isc.independent.gov.uk〉 (衆議院調査局調査員: 二見 輝 「英国議会におけるシリア軍事介入決議案否決の要因」) 注17を抜粋。
なお、「2013年司法および安全保障法(Justice and Security Act 2013)」は、議会情報安全保障委員会に対し、下院議員と上院議員の両方から召集された9人のメンバーを所属させることを規定している。これら委員は、議会下院によって指名され、野党指導者と協議のうえ、首相の指名を最初に確保される。(筆者が追加仮訳)
(筆者注3) One-In,Three-Out(OITO) :ある規制を導入する場合に、その企業への費用増分の3倍の費用削減を伴う規制緩和を行う考え方の範囲内又は範囲外かを判断する。範囲内であれば企業活動へ影響を及ぼすことになる。
(筆者注4) EUの要求条件の最小基準とは具体的に何を指すのかが不明である。GDPBであるとすれば、注釈文で述べたとおり、法案はクリア(Yes)してなければならない。エビデンスを確認の上、改めて担当省に確認したい。
(筆者注5) 2017年10月4日現在のData Protection Billの議会での審議経緯は以下のとおり。同一覧は議会専門サイトを参照。
**************************************************************************************
Copyright © 2006-2017 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
