4月18日に筆者の手元にローファーム”Hunton Andrews Kurth LLP”のブログが届いた。その内容は、4月9日、英国情報保護コミッショナー(以下、”ICO”という)は、1998年のデータ保護法(「DPA」)に基づく最も重要な罰金処分の1つを妊娠および子育てクラブ会社「Bounty(UK)Limited(以下、「バウンティ」という)」に対する40万ポンド(約5,800万円)の民事制裁金(CMP)を科した、というものである。
筆者は、念のためICOサイトで法解釈を含め、事実関係を確認した。その結果は、同ローファームのレポートは100%正確であり、本ブログでは(1)その内容を注書を含めながら仮訳し、(2)ICOの解説文のうちICO独自の追加解説文を仮訳することとした。
1.ICOのバウンティに対する違法性調査結果
(1) バウンティの事業内容
バウンティは、新しくて妊婦の母親に商品やサービスの情報やオファーを提供し、個人データをオンラインで、アプリを介して、ハード・コピー・カードを介してオフラインでも収集していた。また、同社はデータ・ブローカー・サービス(data broking service)(筆者注1)にも提供していた。
バウンティのHP(サービスメニューを確認されたい:なお、データ・ブローカー・サービスまでは読み取れない)
バウンティは、ICOがデータ仲介業界を幅広く継続的に調査している状況で、個人データの「重要な供給者」としてICOの注目を集めた。
ICOは、電子マーケティングの目的で、バウンティが1,400万人を超える個人、その大多数の妊産婦または新しい母親とその子供に関する個人データを第三者と共有していることを明らかにした。1年間に17回まで共有されたレコードがあるため、合計3,500万を超える個人データレコードが開示された。ICOはこれを「非常に高い」数とみなし、これが「データ・ブローカー事業体に対するICOの調査の歴史の中でこれまでにない数の影響を受けたデータ主体」であることを表しているとコメントした。
(2) ICOが調べたバウンティの情報提供活動と法違反の内容
全部で39社がバウンティから個人データを受け取った。ICOの調査の主な焦点となる企業は、①マーケティング・エージェンシーの”Indicia”(筆者注2)、マーケティングおよびプロファイリングの会社”Acxiom”、消費者信用情報機関”Equifax”および電気通信会社”Sky Ltd”(筆者注3)の4社であった。
調査の結果、ICOは、バウンティが最初のデータ保護原則(現在ではEU一般データ保護規則(GDPR)の第5条第1項に違反し、個人データを公正かつ合法的に処理することを求めていると結論付けた。具体的には、ICOは以下のとおり決定した。
① バウンティがデータを共有する組織・団体名をデータ主体に開示できなかったため、そのデータ共有は不公平であった。バウンティのプライバシー・ポリシー(筆者注4)では、個人データは特に指定されていない「特定の第三者」と共有される可能性があると述べているだけであった。
② 信用情報機関、マーケティングおよびプロファイリング組織・団体と個人データを共有することも、公正であるという要件を満たすことができていなかった。この点で、ICOはバウンティが経済的利益に動機付けられていると考えた。
③ バウンティはデータ共有のための適切な法的根拠を確立することに失敗した。 バウンティは合法的な根拠として「同意」に頼ろうとしたが、ICOは、データを共有する組織・団体名がプライバシー・ポリシーで指定されていないため、いかなる「同意」も特定と見なすことも通知することもできないと判断した。またICOは、合法的な利益条件が満たされていないことも明らかにした。商品パックの請求カードおよびオフライン登録方法のいずれにも、マーケティング目的でのオプトイン手続きはなかった。
(3) 民事制裁金の適用の判断
金銭罰(行政上の金銭的不利益処分である制裁金 :monetary penalty)を科すべきかどうかを判断するにあたり、ICOはさまざまな要因を考慮した。その主な考慮事項は次のとおりである。
(1)影響を受けたデータ主体の「異常に多い」人数。
(2)個人のデータが複数の組織・団体で複数の機会において共有されていたという事実。
(3)違法行為の持続期間と長期期間であった事実。データ主体に対する権利行使面の潜在的な脆弱性 。
(4)開示が個人情報保護方針の条項に反するものであり、かつ個人の合理的な期待する範囲外である可能性が高いという事実。
(5)該当する個人データの性質。
(7)個人がデータに対する管理上の重大な損失を受けたという事実。
さらにICOは、その違反が重大な損害または苦痛を引き起こす可能性がある種類のものであるかどうかを具体的に検討した。重大な苦痛のしきい値を超えたとICOが判断した要因には、次のようなものがあった。
(1)プライバシー通知(privacy notice)において個人情報が最も頻繁に共有されている4社についてまったく言及していないこと。
(2)バウンティの透明性の欠如が(組織がどのようにして個人データを入手し、それらを標的にすることができるかについて個人が自信を持っていなかったとき)苦痛をもたらしたかもしれないこと。
(3)個人の知らないうちに共有されていたデータに対する制御可能性の喪失が知覚されたことによって引き起こされた苦痛の可能性。
(4)データが複数の組織・団体と何度も共有されたという事実。
(5)影響を受けたデータ主体のきわめて多い人数。
ICOは、データを共有する上でのバウンティの行動は意図的なものであったという見解を形成した。それは、法令違反が発生する危険性があり、それが相当な損害または苦痛を引き起こす可能性が高い種類であることを知っているべきであったが、それでもなお違反を防ぐための措置を講じていなかった。
バウンティは、データ主体の苦情がほとんどなかったこと、およびデータ保護者がプライバシーポリシーを読んだことがほとんどないことを理由に、自分自身を弁護した。
また、バウンティはデータ主体が苦痛を被ったという証拠はないと主張した。しかし、ICOは、これは主にデータ主体が自分たちのデータがどのように使用されているのかを認識していなかったためであると反論した。
金銭罰を科すにあたり、ICOは(1)バウンティの財務状態、(2)自社の活動を自発的に中止したこと、そして(3)その後「GDPR」および英国ICOの「プライバシーおよび電気通信規則(Privacy and Electronic Communications Regulations.:PECR)」(筆者注5)に準拠するために自社のデータ実務慣行を大幅に変更した点を考慮した。
2. ICOの今回のプレスリリース時の編集者へのメモの仮訳
(1) ICOは、データ保護および情報公開の権利法の観点から、公共の利益のために情報権を支持し、公共団体による情報の公開性の促進および個人のデータ・プライバシーを保護するための英国の独立した規制機関である。
(2) ICOは、「2018年データ保護法(以下、DPA2018)」、「2000年情報公開法the Freedom of Information Act 2000 (FOIA)」(筆者注6)、EU一般データ保護規則(GDPR)、「2004年公的機関の保有する環境情報の公開規則(EIA)」(筆者注7)、および「2003年プライバシーおよび電気通信規則(PECR)」に定められた特定の責任を負う。
(3) この調査の対象時期のために、民事制裁金は旧保護法である「1998年データ保護法」に基づいて発布された。この旧法の下での民事制裁金の最高罰金額は50万ポンド(約1億4,600万円)である。
(4) 過去および現在の保護法の下で、ICOは個人情報を収集し、使用しおよび保持する組織・団体および個人の行動を変えるための行動をとることができる。これには、刑事訴追、非刑事法執行および監査が含まれる。
(5) GDPRとDPA2018はICOに新たな強化された執行力を与えた。 2018年5月25日以降、ICOはデータ管理者に最大1,700万ポンド(約24億6,500万円)または世界的な売上高の4%の民事制裁金(Civil Money Penalty:CMP)を科す権限を持っている。
(6) GDPRのデータ保護の原則は、旧保護法から発展し、組織の主な責務を明確にしている。GDPRの第5条は、個人データが以下のとおり扱われることを要求している。
① そのデータ主体との関係において、適法であり、公正であり、かつ、透明性のある態様で取扱われなければならない。(「適法性、公正性及び透明性」)
② 特定され、明確であり、かつ、正当な目的のために収集されるものとし、かつ、その目的に適合しない態様で追加的取扱いをしてはならない。公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために行われる追加的取扱いは、第89条第1項に従い、当初の目的と適合しないものとはみなされない。(「目的の限定」)
③ その個人データが取扱われる目的との関係において、十分であり、関連性があり、かつ、必要のあるものに限定されなければならない。(「データの最小化」)
④ 正確であり、かつ、それが必要な場合、最新の状態に維持されなければならない。その個人データが取扱われる目的を考慮した上で、遅滞なく、不正確な個人データが消去又は訂正されることを確保するための全ての手立てが講じられなければならない。(「正確性」)
⑤ その個人データが取扱われる目的のために必要な期間だけ、データ主体の識別を許容する方式が維持されるべきである。データ主体の権利及び自由の安全性を確保するために本規則によって求められる適切な技術上及び組織上の措置の実装の下で、第89条第1項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のみのために取扱われる個人データである限り、その個人データをより長い期間記録保存できる。(「記録保存の制限」)
⑥ 無権限による取扱い若しくは違法な取扱いに対して、並びに、偶発的な喪失、破壊又は損壊に対して、適切な技術上又は組織上の措置を用いて行われる保護を含め、個人データの適切な安全性を確保する態様により、取扱われる。(「完全性及び機密性」)
第5条第2項は、「管理者は、第1項について責任を負い、かつ、同項遵守を証明できるようにしなければならないものとする。(「アカウンタビリティ」)
過去および現在の法律に基づく民事制裁金(Civil Monetary Penalties:CMP)は、制裁金が科されること、または通知された制裁金の額に対して、第一層審判所(First-tier Tribunal)の特定分野に係る不服申立事案を管轄する「総合的規制室(General Regulatory Chamber)」に不服を申し立てる権利がある。
*********************************************************************
(筆者注1)パーソナル・データを保有する事業者等からデータを購入したり、インターネット上に掲載されている個人情報を収集したりして蓄積・解析し、主にマーケティング活動用に事業者へデータを販売している事業者のことである。
このデータブローカーは、日本では、いわゆる「名簿屋」に相当し、主に中小・零細事業者が担っているが、米国では、これを上場企業やベンチャー企業が法令遵守に留意しつつ、巨大な資本を投下して大規模に行っているところに大きな違いがある。(小林慎太郎「EnterpriseZine」2013年6月28日号から一部抜粋)
(筆者注2) 2015.1.15 コニカミノルタ㈱リのリース「コニカミノルタグループの英国Charterhouse社が英国Indicia社を買収~データ分析とクロスメディアを駆使し、顧客エンゲージメントの獲得に向けたサービスを提供~」を以下一部抜粋する。
コニカミノルタ株式会社(本社:東京都千代田区、社長:山名 昌衛、以下 コニカミノルタ)は、新たなサービスの提供を図るため、グループ会社である英国Charterhouse PM Limited(本社:英国 Hertfordshire州、以下CH社)を通じて、英国Indicia Group Limited(本社:英国 Bristol 以下 Indicia社)を買収しましたのでお知らせいたします。
(筆者注3) ”Sky Ltd”は、イギリスのメディア関連企業。衛星放送・ストリーミング放送の運営などを行い、ヨーロッパ最大の有料放送事業者である。
(筆者注4) プライバシー・ポリシー(privacy policy):組織または団体の個人情報の取り扱い慣行を規定する内部声明。 個人情報の利用者を対象としています。 プライバシーポリシーは、データの収集および使用方法、ならびにデータ主体が持つ可能性のある特定の権利について従業員に指示します。
プライバシーに関する通知(privacy notice):組織が個人情報を収集、使用、保持、および開示する方法を説明するデータ主体に対する声明。 プライバシー通知は、プライバシー声明、公正な処理声明、またはプライバシー・ポリシーと呼ばれることがある。 米国のGLBAやCOPPAなどの特定の法律では、特別なプライバシーに関する通知が義務付けられている。(CSOの解説から引用、仮訳した)
(筆者注5) 英国ICOの「プライバシーおよび電子通信規則(Privacy and Electronic Communications Regulations.:PECR)」ガイド・サイトは、電子マーケティング・メッセージ(電話、ファックス、電子メールまたはテキストによる)の送信、クッキーの使用、または一般人向けの電子通信サービスの提供を意図、希望する組織・団体を対象として作成したもの。
(筆者注6) 英国の「2000年情報公開法( Freedom of Information Act 2000 (FOIA))につき、わが国の訳語をみると100%が「2000年情報自由法」と訳している。国立国会図書館、国立公文書館、JETRO、自治体国際化協会等がいずれもそうである。しかし、果たして同法の内容から見てそのような訳語は適正といえようか。
例えば、(財)自治体国際化協会の解説を読むと「英国では2000 年11 月に2000 年情報自由法(Freedom of Information Act 2000)が制定され、2005 年1月に個人の開示請求権を含む全規定が施行されました。英国における情報公開制度は施行されてから間もないですが、同法は地方自治体にとって記録管理や住民に対する説明責任の重要性を認識させ、さらには職員の意識改革をもたらしています。以下。略す)
その解説内容は正しいが、訳語はいただけない。
(筆者注7) 「2004年公的機関の保有する環境情報の公開規則」は、公的機関が保有する環境情報への一般人からのアクセス権を規定する。同規則はこれを2つの方法で行う。
① 公的機関は環境情報を積極的に利用可能にしなければならない。
② 一般の人々は公的機関に環境情報を要求する権利がある。
この規則は、イングランド、ウェールズおよび北アイルランドの公的機関によって保持されている記録された情報すべてを対象とし、スコットランドの公的機関が保有する環境情報は、「環境情報(スコットランド)規則2004」によってカバーされる。
その公的機関には、政府部門、地方自治体、NHS(筆者注8)、警察、大学などがあり、また規則は、環境に影響を与える公共事業を行う他のいくつかの機関も対象としている。。簡潔にするために、このガイドでは規制の対象となるすべての組織を「公的機関」と呼ぶ。
この規則は、公的機関が保有する環境情報にのみ適用され、「2000年情報公開法(Freedom of Information Act 2000 (FOIA)」により、公的機関が保有する他のほとんどの種類の情報に一般の人々がアクセスできるようになっている。(ICOの同規則の解説ガイドサイトがある.)(以上は、ICOガイドを引用し、仮訳した)
なお、筆者はわが国での同法の訳語につき100%が「環境情報規則」としている点も納得できない(法律の内容が全く読みとれない)。「2000年情報公開法」と同様に意訳すべきであり、本注で筆者が使った「2004年公的機関の保有する環境情報の公開に関する規則」という訳語を使用すべきと考えるが、いかがであろうか。
(筆者注8) NHSとは1948年からUKで実施されている医療費原則無料の国営医療保険制度です。16歳から年金受給年齢(女60歳・男65歳)まで強制加入、所得に応じて保険料を払う。当初は旅行者まで無料でサービスを受けられましたが、現在はUKに1年以上滞在予定の人が対象になります。(UK国営医療制度 NHS (National Health Service)から一部抜粋)
NHSの基本精神は「万人への普遍的な医療サービスの提供」であり「患者の医療ニーズに応じて公平なサービスを公的予算で提供」しています。「万人」というからには留学生や移民、外国人観光客たりとも例外ではありません。病気になったり怪我をしたりしたら普通のイギリス人と同様に必要な医療を受けることができます。この医療費というのは予防医療、入院費、リハビリなどすべて含めた費用です。(2018.02.09 「イギリスNHS国民医療制度:移民も外国人旅行者も医療費が無料ってホント?」から一部抜粋)
*********************************************************
Copyright © 2006-2019 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
