Last Updated:Feburary 2,2019
筆者の手元にイタリア個人情報保護庁(以下、Garante)から新しいニュースが届いた。筆者のつたない語学力でどこまで正確に仮訳できるか自信はないが、あえてこの機会にEU加盟国でフランスやドイツと異なるイタリアが抱える3つの現下の情報保護面の課題を取り上げる。
わが国でイタリアの情報保護法制度につき詳しいものとしては、総務省の委託研究「EU各国における個人情報保護制度に関する調査研究報告書」(平成30年3月29日)があり、また、GDPRの国内法化については、駒澤綜合法律事務所 IT LAW「イタリアのGDPRと国内法の統合」があるが、その他GPDPサイトの英語版も含め詳しい解説は残念ながら皆無に等しい。
また、これら2つの報告書はイタリアの情報保護法制を体系的に見た予備知識がないとチンプンカンプンにならざるを得ないし、イタリアの監督機関の現下の関心テーマが浮かび上がってこない。従って、本ブログの後半でDPDPサイトに基づき、(1)GPDPの組織や任務の概要、(2)法律、行動規範、雇用関係等における機微情報等の処理にかかる一般的承認事項、(3)第三国への情報のフローにかかる一般的承認事項、(4)イタリア個人データ保護法典の構成とGDPRの国内法化統合等を概略説明するとともに、これまでのDPDPの主な決定事項に関するリンク情報にも言及する。
なお、本ブログは2018年7月に一度掲載したが、その後の情報等を追加して再度、掲載する。
1.Garanteの最新トピックス
6月21日Garanteニュースを引用、仮訳する。なお、Garanteの解説には個別に原データへのリンクが張られているが、本ブログでは略す。
(1) Garanteはイタリア移動体通信事業者の合併時の迷惑テレマーケティングの在り方 :データ主体の同意なしにデータの処理を禁止する
イタリアの移動体通信事業者である「H3G」の子会社である同国の移動体通信事業者(MNO〔mobile network operator〕「 Wind Tre」 (筆者注1)は、迷惑ビジネス通知を止めさせるべく、電話や販売促進目的のSMS(promotional sms)を管理するうえでの合併後の手順を見直す必要がある。この措置に伴い、自由意思によりかつ有効な同意を表明していない主体の個人データをマーケティング目的で使用することはできない。これが、企業の商用ネットワークによって引き起こされた攪乱に対して抗議した多数のユーザーの報告書から引用することによって開始したGaranteの検査の終了時に、Garanteが採用した決定である。
Garanteが、イタリア財務警察( Guardia di Finanza) (筆者注2)の協力を得て2016年に開始した調査では、異議を申し立てる権利の行使よりも遅れてビジネスコンタクトを受け取るなど、複数の法違反があることが確認された。ユーザーからの苦情に直面して、移動体通信会社は特定できない技術的問題を引用することによってしばしば当該行為を正当化してきた。
移動体通信事業者が行うデータ保護主体のプロファイル(筆者注3)に関して、特に商用ネットワークに関してガバナンスを構築しているという形で重大な欠点も出てきている。”H3G”は、パートナーが連絡を取った顧客のデータ管理者であるにもかかわらず、販売店の大部分を独立した所有者として誤認していた。また”H3G” は、マーケティング目的で既にデータの処理に反対していた人々の販売促進キャンペーンにパートナーが数字を挿入するのを防ぐ除外リスト(いわゆるブラックリスト)を設定していない。
Garanteは、検出された不正性に照らして、ユーザが自身の表現にもとづく有効かつ予防的同意がない場合、”Wind Tre”がマーケティング目的で個人データをさらに処理することを禁止している。また、プライバシーに関する法律、特に設計による公平性とプライバシーの原則に完全に準拠するための重要な技術的および組織的措置の採択を規定している。
したがって、移動体通信事業会社は、ビジネスパートナーが宣伝連絡先を進める前に相談しなければならない除外リストを作成する必要がある。 これらのリストは、販売促進キャンペーンに参加しているパートナーと即座に更新し、毎日共有する必要がある。 電話や宣伝用のSMSに異議をとなえるユーザーは、苦情申し立ての際に使用できるユニークな確認コードを通知される必要がある。利害関係者に対するより面倒な権利行使を制限するか、またはそれを必然的に伴う行為は、排除されねばならない。
Garanteは、既に明白となった行政違反に挑戦するために、自主的な制裁手続を立ち上げた。
(2) 列車内等でのボディ・カメラの装備使用:はい、撮影された人のプライバシー権は尊重されねばならない
公共輸送会社は、警備員や船長等に身体装填式カメラを装備して、近年増加している盗難や破壊を防ぐことができる。しかし、プライバシーが失われた人々のプライバシーを守るための適格な措置が講じられなければならない。
実験プロジェクトに認可を与えるために、プライバシー監督機関は、1)古い時期に建設された列車にカメラを設置する技術的な不可能性、2)多数のサービス利用者に対する特定のセキュリティ目的、3)企業資産の保護の目的等を考慮した。 しかし、監督当局は従業員とユーザーを保証するための一連の予防措置を定めている。 カメラは常にスイッチ・オンになるわけではなく、人や物に対し真に危険がある場合にのみキャプテンやセキュリティスタッフによって起動される。この場合、カメラの赤色のLEDが点灯する。
カメラ装置はリアルタイムで指令室に画像を送信する。撮影者は、それらを修正したり、削除したり、複製することはできない。明確に許可された異なる撮影者だけが、収集された画像が真に危険な事実に関係することを確認した場合のみ、可能な抽出を廃棄処分することができる。 これら一連の活動は追跡する必要がある。
また、公共運送会社はビデオ撮影されることに「弱者」たるデータ主体(目撃者、犯罪の被害者、未成年者など)が関与する場合には、装置の起動方法や装置の起動を正当化する特定の条件を規制する、あるいは特定の秘密保持の期待を持つ場所(トイレなど)では再開させることができる。
許可された一定の当事者のみがアクセスできる収集された画像は、暗号化された形式で保存され、司法機関による調査と評価が必要な場合は、1週間の予定期間が経過すると自動的かつ不可逆的に削除する必要がある。
公共運送会社は必要としないオーディオ機能を無効にしなければならず、保険会社へ撮影の通信する場合、関与していない人々のイメージ画像をぼかさなければならない。
また、モバイル・ビデオ監視システムとその機能の存在をユーザーに警告するために、車に搭載された適切なコミュニケーションツールが必要となる。
さらに公共運送会社はボディ・カメラの使用について従業員に適切な情報を提供しなければならないし、また、労働者への遠隔制御の禁止規定を尊重し、労働組合との特別協定に署名することに尽力せねばならない。
(3) マーケティング:同意を含むポップアップを停止
イタリア情報保護庁(Garante)は、ウェブサイト(住宅ローン、保険、光、ガス、電話)上で比較サービスを提供する会社が、マーケティングおよび販売目的で、他の企業に、ポップアップで収集されたデータをユーザーからの必要な同意を得ずに行うことを禁止する。Garanteの介入は、具体的ケースすなわち、エネルギーや通信会社が同じ会社が電話または電子メールで受け取った必要としない販売促進・コミュニケーション、またはセクター内の企業に代わって行われた固定電話およびモバイル・ユーザーの欲しない迷惑宣伝行為に直接介入する。
イタリア財務警察のプライバシー保護特別ユニットの助けを借りてGaranteが実施した査察では、ユーザーが1つの同意をもってサービスを受け入れなかった場合、ポップアップが提供されるサービスへのアクセスを許可していないことが確認された異なる目的(マーケティングまたは第三者とのデータ通信を含む)のためのデータの存在が判明した。
データ主体の同意を欠くテキストボックスに入力する場合、ウェブサイトは入力されたデータを取得せず、要求を処理することを許されなかった。したがって、たとえ開示がデータ処理のさまざまな目的を言及したとしても、ユーザーは法律で要求されるように、特定の差別化された同意を表明することができなかった。 ポップアップは、販売促進目的(または他の目的)のためにデータを収集するためになお使用したい場合、ユーザーが許可するかどうか、および許可する目的を自由に選択できるようにする必要がある。
禁止措置を取る際に、Garanteは、インフォームド・コンセントの義務に違反して行われた個人データの繰り返しの収集および/または保管は、それ以降の使用の有無にかかわらずデータの不正な取り扱いを示すこととなり、ポップアップで収集されたデータはユーザの要求の実行にのみ使用できる。
Garanteは、他の企業が取得したリストから取得したデータの処理も禁止しており、企業はマーケティングや目的のために他の当事者とのコミュニケーションのために自由なデモンストレーションや販売推進につき具体的な同意を示すことができなかった場合の通信を禁じる。
さらに、Garanteは、会社に、個人データのリストを転送したすべてのユーザーに、活動に必要な同意を得ずに使用できないことを通知するよう命じた。
あきらかとなった違反に対して、会社はすでにイタリア財務警察特別プライバシ―ユニットによって争われている行政上の制裁に対する異議を放棄した。
「餌食となった」データの流通や、本人が欲しないテレマーケティングなどの可能性のある不正行為に対抗するため、Garanteは当該企業の商業パートナーをも調査する権利を留保している。
2.イタリアGaranteの概要
イタリアの個人情報保護庁(Garante)の任務を概観する:Garanteはいかなる機関か?
いうまでもなく“Garante”は個人データの処理に関連して基本的な権利と自由を守り、個人の尊厳を尊重するために設立された独立機関であり、旧データ保護法が施行された1997年に設立された。
決定機関である委員会は4人の対等の権限を持つ委員による組織で、議会により各7年間の任期で選出される。 当機関はローマに事務局があり、現在、事務局長以下約125人のスタッフがいる。
イタリアGaranteの対等の権限をもつ委員会は、現在以下の4名で構成されている。
アントネッロ・ソーロ(Antonello Soro):委員長
アウグスタ・イアンニーニ(Augusta Iannini ): 副委員長
ジョヴァンナ・ビアンキ・クレリリ(Giovanna Bianchi Clerici ):委員
リーチア・カリファーノ(Licia Califano ):委員
その他、ジョゼッペ・ブージア(Giuseppe Busia)は現在、DPAの事務局長である。
(1) Garanteの任務と法的根拠
Garanteの任務は、「個人情報保護法典(法令第196/2003(Personal Data Protection Code - Legislat. Decree no.196 of 30 June 2003)」ならびに他の国内およびEUの規制手段に定める。(筆者注4)
イタリアの個人情報保護法典の適用範囲:法典は国およびその領土内のすべての処理に適用される。 また、イタリア国内にあるPCおよびその他のコンピュータベースのシステム機器を使用する外部組織にも影響を及ぼす。(法典第5条(Section 5 (Subject-Matter and Scope of Application))を参照)。 EU域外の本拠地を置く団体、組織がイタリア領土に関する個人情報を処理している場合、イタリア法典の適用についてはイタリアでの代理人を任命しなければならない。(通知が必要な場合は、Garanteに通知し、かつ情報主体に当該情報の通知を提供する必要がある) 。
Garanteは、すべての公共および民間セクターにおいて、法律の要求に従ってデータが処理され、個人データが処理されるたびに個人の権利が尊重されることを保証するように努めている。
Garanteの仕事には以下のものが含まれるが、これに限定されるものではない。
(1) Garanteは、個人データが法令に基づいて処理されていることを確認し、必要に応じて、ルールに従ってデータを処理するためにデータ・コントローラーとデータ・プロセッサーに特別な措置を講じるよう指示する。
(2) Garanteは苦情を処理する。
(3) Garanteは、そのようなデータの性質または処理のメカニズムまたは効果がデータ主体に実質的に影響を及ぼし得る場合、個人データの処理の制限を全面的または部分的に禁止することができる。
(4) データ保護の法律で想定されている対策を講じる。
(5) 適切な場合には、様々な生活の中で特定の法律や規則を通過する必要性につき政府と議会の注目を集める。
(6) Garanteは、議会の前の公聴会を通じて、法律作成活動に関する議論に参加しています。
(7) Garanteは、独自に意見を出すことができる。
(8) Garanteは、自身の活動と現在行われているプライバシー法の施行の年次報告書を作成し、議会と政府に提出する。
(9) EUおよび国際レベルでのデータ保護関連活動に参加し、欧州警察機構(Europol)、Schengen VIS (筆者注5)および同様の情報システムに関する監督および支援活動を実施する。
(10) Garanteは市民の個人情報保護問題とデータセキュリティ対策の意識を高めさせる。
(11) 市民とステークホルダーの関与を、一般的な申請措置の策定に際して調査結果が考慮されたパブリック・コンサルテーションを通じて求める。
(2) イタリアの2003年情報保護法典(2003年法律第196号) 及び関係法令、規範
Garante per la protezione dei dati personali (Garante))サイトのItalian legislationの英語版を仮訳する。(仮訳とともに筆者の責任で関係情報を追加し、附記した)。なお、同法は全体が、1部(一般規定)、2部(特定セクター)、3部(救済及び制裁)と附則A及びBに分かれている。
(ⅰ) 2003年6月30日のイタリアの「個人情報保護法典(政令2003年第196号)」の逐条内容については、統合した原文および英訳版(unofficial)を参照されたい。
このイタリアの統合情報保護法典は、1996年以来のデータ保護に関するさまざまな法律、規範および規制をすべてまとめたもので、1997年5月に施行された1996年12月31日法律第675号「個人データの処理における人および他の情報主体の保護に関する法律(Legge n. 675 del 31 dicembre 1996 - Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali ) に優先するものとして2004年1月1日に施行された。
この政令や行動規範は、国内法制度をGDPR 2016/679に適応させた立法命令(2018年8月10日の立法命令第101号「個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/ECを廃止する欧州議会及び理事会の2016年4月27日の規則(EU) 2016/679 (一般データ保護規則))」の国内法の適応に関する規定」」(DECRETO LEGISLATIVO 10 agosto 2018, n. 101)によって一部改正されたことに注意されたい。
すなわち、その規定のいくつかは修正または廃止され、セクションが追加され,2003年法のいくつかの条項は、GDPRと矛盾したり重なったりしていないこと、および過去15年間の実施経験に基づいて関連する利害関係者に付加価値を提供することが判明したため、そのまま残されている。
なお、本規範の新しい文章および連結規範の英訳に関するより詳細な情報は、このセクションでまもなく入手可能になる。
(ⅱ) データ保護にかかる行動規範 ("Codici di condotta")
以下のイタリアにおける①~⑥の各行動規範についてGranteサイトではリンクによる確認はできなかった。これは、EUのGDPR第40条によることを意味すると筆者は理解した。
① 防衛的犯罪捜査等の観点から行われる個人データの処理に適用される行動規範
② 消費者の信用、信頼性、および支払いの適時性に関して、民間団体が管理する情報システムに適用する行動規範および職業上の実務慣行
③ 統計的および科学的目的のための個人データの処理に適用される行動規範および職業上の実務慣行
④ 国家統計システムの枠組み内での統計的および科学的研究目的のための個人データの処理に適用される行動規範および職業上の実務慣行
⑤ 個人データの処理について歴史的目的のための行動規範と職業上の実務慣行
⑥ ジャーナリズム活動の実践における個人情報の処理に関する業務規範
⑦ ビジネス情報を目的とした個人データの処理における倫理規範および行動規範
(3) 機密データの処理のために特に許可された一般権限(現在有効なもの)
① 雇用関係に基づく機密データの処理に関する許可:No. 1/2014
② 健康や性生活の開示に適したデータの処理に関する許可:No. 2/2014
③ 協会及び財団による機微なデータの処理に関する許可:No.3/2014
④ 自営業の専門家による機密データの処理に関す許可:No. 4/2014
⑤ 各種データ管理者による機密データの処理に関する許可:No. 5/2014
⑥ 私立探偵による機密データの処理に関する許可:No. 6/2014
⑦ 私企業、利益を求める公的機関および公共機関による司法データの処理に関する許可:No.7/2014
⑨ 科学研究目的で個人データを処理するための一般的な許可:No.9/2014
(4) 第三国への国境を越えたデータフローに対して発行された一般的権限
例示的に①、②のみリンクを張り、以下は略す。
① イタリア領土からウルグアイ東部共和国への個人データの転送許可
② イタリアの領土からニュージーランドへの個人データの転送許可
③ イタリアの領土からイスラエル国へ個人データの転送許可
④ アンドラ公国に個人データの転送許可
⑤ "Safe Harbor Principles"に基づく米国へのデータ転送の許可 ( プレスリリース: 米国へのデータ転送: "Safe Harbor"の承認は無効である 2015年11月6日)
⑦ スイスへのデータ転送許可
⑧ ハンガリーへのデータ転送の許可[これはすでに有効ではない]
⑨ 標準契約条項(コントローラ間)に準拠したデータ転送の許可や承認
⑩ Bailiwick of Guernsey(ガーンジーは、イギリス海峡のチャンネル諸島に位置するイギリス王室属領である)への個人データ転送許可
⑪ カナダへのデータ転送許可
⑫ イタリアの地方領土から第三国へ個人データを転送する許可
⑬ マン島へのデータ転送許可
⑭ イタリア地方領土から国土安全保障省の米国U.S. Customs and Border Protection (CBP)オフィスへの個人データの転送許可
⑮ アルゼンチンへのデータ転送許可
*************************************************************
(筆者注1) イタリアでは、香港の大手コングロマリット「長江和記實業有限公司(Cheung Kong (Holdings) Limited/CK Hutchison Holdings Ltd./CKハチソン・ホールディングス/長和:H3G)(CK Hutchison Holdings Limited (CK Hutchison) is a renowned multinational conglomerate committed to innovation and technology. Our diverse businesses employ over 300,000 people in over 50 countries across the world).は、CK Hutchison Holdingsが「3 (Tre)ブランド」を展開するH3Gを通じて、またオランダVEONが「Windブランド」を展開するWind Telecomunicazioniを通じて移動体通信事業を手掛けていたが、2016年12月31日を効力発生日としてH3GとWind Telecomunicazioniの事業を統合し、CK Hutchison HoldingsとVEONの折半出資合弁会社であるWind Treを通じてイタリアで移動体通信事業を展開していた。しかし、CK Hutchison Holdingsは24億5,000万ユーロ(約3,152億円)でVEONが保有するWind Treの株式をすべて取得することでオランダVEONと合意した。
取引が完了すれば、CK Hutchison HoldingsによるWind Treの持分比率は50%から100%となり、すなわちCK Hutchison HoldingsがWind Treを完全子会社化する。
(筆者注2) イタリア財務警察 (Guardia di Finanza) は経済財務省の所属であり、脱税、密輸から麻薬取引などを中心に捜査している。人員は約6万8千名。1774年10月5日にサルデーニャ王国で設立された国境警備部隊が前身となっている。経済犯罪、脱税事案、知的財産権事案、組織犯罪、税関任務、国境警備、不法移民事案を行う。国境警備隊・沿岸警備隊としての側面もあり、準軍事組織となっている。そのため、第一次世界大戦および第二次世界大戦にも参加している。約80機の航空機と300隻以上の船舶を有する. (Wikipediaから抜粋)
(筆者注3) わが国の情報保護専門家のレポートでは以外に「プロファイル」とプライバシー侵害リスクを論じているものは少ない。他方、欧米先進IT企業「adobeサイト」の問題意識を見ておこう。
「・・また、PII に関連付ける閲覧情報の種類と、閲覧情報を PII に関連付ける状況について、プライバシーポリシーに明記することをお勧めします。最後に、顧客に提示するオプトアウトの選択肢では、消費者が未認証のプロファイル情報投稿をオプトアウトできるかどうかと、その方法を明確に示すようにすることを強くお勧めします。 」
(筆者注4) 本文と重複するが、Garanteの法典の概要部分をGaranteサイトから抜粋し、仮訳する。
*イタリアの統合法典たる個人情報保護法典は、2004年1月1日に発効した。この法典は、1996年以来、データ保護に関連するさまざまな法律、規範および規則をまとめたもので、特に、1997年5月に施行された1996年データ保護法(No. 675/1996)に取って代わるものである。
この法典の背後には、第2章で概説する次の3つの主要指針(1)単純化、2)調和性および3)効率性)がある。
法典は次の3つの部に分かれる。
第1部は、すべての団体、組織等に適用される一般的なデータ保護の原則を示す。
第2部は、医療、電気通信、銀行や金融、人材等特定の分野の組織が実施する必要がある追加的措置を提供している。第3部は保護違反に対する制裁と救済に関する定めを置く。 セクターコードの導入により、法典の第2部がさらに発展することが期待されている。
(筆者注5) シェンゲン・ビザの名は 1990 年より続くシェンゲン条約(Schengen Agreement)に由来します。シェンゲン条約は「シェンゲン協定(Schengen Agreement)」の元となり、それが転じて 5 年後の1995年に「シェンゲン圏(Schengen Area)」が定められました。 シェンゲン圏はシェンゲン協定に属する 26 のヨーロッパ諸国からなる区域で、互いに接する国境の警備隊を撤廃することに合意したものです。これは圏内における国境警備を緩和するだけでなく、シェンゲン圏外の国境に対する警備の強化も可能としています。 現在協定に加盟しているか国にはノルウェー、アイスランド、スイス、リヒテンシュタ インら 4 つの非EU加盟国も含まれる。一方、アイルランド、イギリスの二ヵ国は自国の国境警備維持と共通旅行区域(CTA)制度の国境警備方針を他の EU 諸国と共有するために協定から脱退しました。ブルガリア、クロアチア、キプロス、ルーマニアらはじきにシェンゲン協定に加盟する予定です。(European Travel Information and Authorisation Systemの日本語解説から抜粋)
*******************************************************************
Copyright © 2006-2019 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
