Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

アイルランドのデータ保護委員会はEUデータ保護会議(EDPB)の仲裁を経てWhatsappに2億2,500万ユーロ(約290億2500万円)の罰金を科す

2021-09-03 14:11:20 | 個人情報保護法制

 9月3日、筆者の手元に大手ローファームFox Rothchild LLP記事「アイルランドのデータ保護委員会はWhatsappに2億2,500万ユーロ(約325億90万円)の罰金を科す:EU域内の事業者が知っておくべきこと」というレポートが届いた。なお、アイルランドのメディアによるとWhatappはDPCの決定を不服とし、今後アイルランドのHight Court(注1)または直接に欧州司法裁判所(CJEU)に持ち込むことになろうと報じている。

 筆者は罰金額の大きさよりも、事実関係特にアイルランド情報保護委員(Data Protection Commission:DPC))の域内の情報保護機関との交渉不成立、さらに2021年6月3日にGDPBへの紛争解決プロセス(GDPR第60条、第65条)を発動させた点が気になった。

 そこで、今回のブログは、(1)Fox Rothchild LLP記事にもとづきWhatsappの違法性判断の根拠の整理、(2)アイルランド・データ保護委員会(Data Protection Commission:DPC)の事実関係、経緯も含めた解説サイト内容の解析、(3)EUの仲裁機関であるデータ保護会議(EDPB)の仲裁内容、特にGDPR第65条や第60条の関係にかかる解釈問題などを公的資料等にもとづき論じるものである。

1.Fox Rothchild LLP記事「アイルランドのデータ保護委員会はWhatsappに2億2,500万ユーロの罰金を科す:EU域内の事業者が知っておくべきこと」仮訳

 同記事では明確でないが、アイルランドの記事を読むと「具体的には、WhatsAppがGDPRの第14条(注2)に違反していることが判明し、データ管理者はデータの収集方法と処理方法に関する十分な情報をデータ主体に提供する必要があると述べている」

 アイルランドのデータ保護委員会は、Facebookが所有する人気メッセージングアプリWhatsAppに2億2,500万ユーロ(約325億900万円)の罰金を科した。(注1-2)

 GDPRの対象となる企業の主な責務・問題点を次に示す。なお、わが国の保護機関である情報保護委員会も含め読者はこれらの問題指摘をどのように受け止めるであろうか。厳格すぎる?

(1)プライバシー通知の開示の起草にあたっての留意点

①ユーザーに対しプライバシーに関する通知の開示を提供する場合、それらを理解しやすさがなければならない。また関連する開示内容を1か所に保つことが重要である。ユーザーが多くのドキュメントをクリックして、繰り返し行う情報を照合させないでください。長く続くスクロールをもってスクロールさせるべきでない。

②業界の他の同業者がそれを行っているという事実は、GDPRへのコンプライアンスの決定に影響を与えない。このような議論を使用することは、GDPRが要求するコンプライアンス基準は、立法者ではなく、業界の特定のセクターのメンバーによって決定されるかもしれないと言うのと同じである。

③非ユーザーの情報を処理する時は、その情報の使用に関する目的や処理方法について十分な開示を行う必要がある。その場合、ユーザーのプライバシーに関する通知ではなく、非ユーザーが見つかる可能性のある場所を指定する必要がある。

④個人データのカテゴリ、特定の処理や操作の目的、およびこの処理操作に依存する法的根拠との間には明確なリンクが必要である。これらの項目につきそれぞれに関連しない長い箇条書きリストだけでは不十分である。

⑤処理を詳細な記述について例示する。例えば、「(t)o の安全性とセキュリティを促進する」だけでは、この目的を達成するために、ユーザーの個人データ(具体的には、どのように使用されるか、どのような文脈で使用されるか)に適用される処理や操作に関する指示を提供しない。また、「安全・安心の促進」のみでは、一般的な目的で個人データを処理する際に、どのような目的が追求されているかを十分に理解することはできない。

⑥位置情報に関する別の留意事項: 会社がユーザーの位置情報に対してさらに処理や操作を実行するかどうか、また、その場合はどのような処理操作を実行するかは明確にする必要がある。

(2)データ保持について:

①「当社のサービスを提供する必要がなくなるまで、またはアカウントが削除されるまで、のいずれかが先に来る」という文言は、ユーザーが自分のアカウントを削除した場合、会社が自分のデータを処理しなくなるという印象を与える点で、やや誤解を招く。

②ストレージ制限原則への準拠に対する説明責任を示すために、各基準が保持期間に与える影響の実用的な例を示す必要がある。

(3) 第三国への情報の移送について:

(i)移送が妥当性決定に従う、または(ii) 移送が適切な判断を受け、データ主体が、適切な判断に依存している、あるいは代替方法 (SCCs のコピー) に関する、より多くの情報にアクセスすることを可能にすると述べるべきである。

「適用可能な場合(if applicabl)」は、妥当性の決定に依存する可能性がある(may)と言うだけでは不十分である。

 また、一般的な欧州委員会のウェブページへのリンクを提供するだけでは不十分である。

2.2021.9.2 アイルランド情報保護委員会リリース「データ保護委員会はWhatsAppの調査結果についての決定を発表」の内容

 以下、仮訳する。

 アイルランド・データ保護委員会(Data Protection Commission:DPC)は9月2日、FaceBookの子会社WhatsApp Ireland Ltdに対して実施したGDPR遵守調査の結論を発表した。DPCの調査は2018年12月10日に開始し、WhatsAppが WhatsAppのサービスのユーザーと非ユーザーの両方に対するその情報の透明性という情報の提供に関するGDPRの透明性保持義務を果たしたかどうかを調査した。これには、WhatsAppと他のFacebook企業との間の情報の処理に関してデータ主体に提供される情報も含まれた。

 長期にわたる包括的な調査の後、アイルランドDPCは2020年12月にGDPR第60条 に基づいてすべての関係監督当局(Concerned Supervisory Authorities :CSA)に決定案を提出した。その後、DPCは8つのCSAから異議を申し立てられた。DPCは、異議申し立ての主題についてCSAと合意に達することができず、2021年6月3日に紛争解決プロセス(GDPR第65条)を発動させた。

 2021年7月28日、欧州データ保護会議(European Data Protection Board:EDPB)は拘束力のある決定を採択し、この決定はDPCに通知された。この決定には、EDPBの決定に含まれる多くの要因に基づいて、DPCが提案された罰金を再評価および増額することを要求する明確な指示が含まれ、この再評価に続いて、DPCはWhatsAppに2億2,500万ユーロの罰金を科した。

 DPCは、行政罰金の賦課に加えて、EDPBの決定に従い3カ月以内にWhatsAppが特定の一連の是正措置を講じることにより、その処理をコンプライアンスに準拠させるよう命令するとともに、懲戒処分(reprimand )を課した。

 EDPBは、第65条の決定と最終決定をそのウェブサイトで公開している。 

3.EDPBの2021.7.28「GDPR第65条(1)(a)に基づくWhatsAppIrelandに関するアイルランド監督当局の決定案に基づいて生じた紛争に関するEDBの拘束力のある決定1/2021 」の概要

(1)2021.7.28 EDPBは「GDPR第65条(1)(a)に基づくWhatsApp Irelandに関するアイルランド監督当局の決定案に基づいて生じた紛争に関するEDBの拘束力のある決定1/2021 」を公表した。以下、仮訳する。

 アイルランドDPC(IE SA)の決定内容は、一貫性メカニズムで処理される問題について監督当局および裁判所が下した決定に関するEDPBの公式記録レジスター(ダウンロード可)、または直接ここ9/3④で閲覧ができる。なお、 IE SAの決定のミスプリ正誤表は、直接入手できる。 

(2)EDPB決定の原本「In the matter of the General Data Protection Regulation:DPC Inquiry Reference: IN-18-12-2」:表題は以下のとおりである。大部なものであり、要旨は本ブログの第1節で述べているので、仮訳は略す。

「In the matter of WhatsApp Ireland Limited:Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation

Further to an own-volition inquiry commenced pursuant to Section 110 of the Data Protection Act,2018」(全266頁)

4.GDPR第60条、第65条の内容

 わが国では翻訳(一般財団法人日本情報経済社会推進協会「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)」(仮日本語訳))はあるが、これらの内容につき具体的に言及したものはない。GDPRをめぐる域内の紛争調整機能、さらに欧州司法裁判所への異議申し立て可能性の道をFAQの内容とともに概観する。

第60条 【主監督機関とその他関係監督機関との協力】

  1. 主監督機関は、本条に従い、合意に達するよう努めつつ、その他関係監督機関と協力しなければならない。主監督機関及び関係監督機関はすべての関連情報をお互いに交換しなければならない。
  2. 主監督機関は第61条により相互支援をいつでも他の関係監督機関に要求することができ、第62条による共同作業(特に調査の実行又は他の加盟国に拠点のある管理者又は取扱者に関する措置の実施の監視)を指揮することができる
  3. 主監督機関は、遅滞なく、事案に対する関連情報をその他関係監督機関に通知しなければならない。主監督機関は遅滞なく決定案をその他関係監督機関に意見収集のために送付するものとし、その他関係監督機関の考え方を考慮しなければならない。
  4. 本条第3項に従って協議された後4週間以内にその他関係監督機関が決定案に対し適切及び合理的な不服を表明する場合、主監督機関は、主監督機関が適切及び合理的な不服に従わない又は不服が適切及び合理的でないという意見であるならば、第 63 条で定める一貫性メカニズムに事案を送付するものとする。
  5. 主監督機関が適切かつ合理的な不服に従うことを意図する場合、主監督機関は意見をもとに修正された決定案をその他の関係監督機関に送付するものとする。修正された決定案は2週間以内に第4項で定める手続に従うものとする。
  6. すべての関係監督機関が第4項及び第5項で定める期間内に主監督機関によって送付された決定案に不服を唱えなかった場合、主監督機関及び関係監督機関は、当該決定案に合意したものとみなされ、それによって拘束されるものとする。
  7. 主監督機関は決定を採択し、主たる事業所又は管理者若しくは取扱者の単一の事業所に決定を通知するものとし、場合に応じて、主監督機関はその他関係監督機関及び欧州データ保護会議に当該決定を通知するものとし、その決定には関連する事実及び根拠を含むものとする。不服申立てがなされた監督機関は決定を申立人に通知しなければならない。
  8. 第7項の例外として、不服申立てが棄却又は拒否された場合、不服申立てがなされた監督機関は決定を採択し、決定を申立人に通知するものとし、管理者にその旨を通知しなければならない。
  9. 主たる監督機関及び関係監督機関が不服の一部を棄却又は拒否し、不服のその他部分を実行することに合意した場合、分離された決定は事案のそれぞれの部分で採択されるものとする。主監督機関は、管理者に関する行動にかかわる部分の決定を採択し、加盟国の領域上の管理者又は取扱者の主たる事業所又は単一の事業所に決定を通知し、その旨を申立人に通知するものとする、一方で申立人の監督機関は不服の棄却又は拒否に関わる部分の決定を採択するものとし、当該申立人に決定を通知し、その旨を管理者又は取扱者に通知しなければならない。
  10. 第7項及び第9項により主監督機関の決定が通知された後、管理者又は取扱者は、EU域内のすべての事業所における取扱い活動に関連し、決定の遵守を確実にする必要な措置をとらなければならない。管理者又は取扱者は、決定の遵守のためにとられる措置を主監督機関に知らせるものとし、主監督機関はその他関係監督機関に通知しなければならない。
  11. 例外状況において、関係監督機関がデータ主体の利益を保護するために行動する緊急の必要性があると考えられる理由がある場合、第66条で定める緊急手続が適用されるものとする。
  12. 主監督機関及びその他関係監督機関は、本条に基づき要求される情報を電子的手段により、標準化された形式を利用して、互いに供給するものとする。

第 65 条【 欧州データ保護会議による紛争解決】

  1. 個別の状況において本規則の正確かつ一貫した適用を確実にするため、次に掲げる場合に、欧州データ保護会議は拘束的決定を採択するものとする。

(a) 第60条第4項で定める事案において、関係監督機関が主監督機関の決定案に対して適切かつ合理的な不服を申し立てた場合、又は主監督機関が適切又は合理的ではないとし

て不服を拒否した場合。拘束的決定は適切かつ合理的な不服のあらゆる対象事項を考慮

(特に本規則違反があるか否か)するものとする。

(b) どの関係監督機関が主たる事業所の管轄権を有するかという見解に対立がある場合。

(c) 管轄監督機関が第64条第1項で定める場合において欧州データ保護会議の意見を要請しない場合、又は第64条に基づき表明された欧州データ保護会議の意見に従わない場合。この場合、あらゆる関係監督機関又は欧州委員会は欧州データ保護会議に状況を通知することができる。

  1. 第1項で定める決定は対象事項の照会から1カ月以内に、欧州データ保護会議の会員の3分の2以上によって採択されるものとする。この期間は対象事項の複雑性を理由にさらに1カ月延長することができる。第1項で定める決定は、主監督機関及びすべての関係監督機関に対し下され及び通知され、並びにそれら機関を拘束するものとする。
  2. 欧州データ保護会議が第2項で定める期間内に決定を採択することができなかった場合、欧州データ保護会議は第2 .項で定める2カ月目終了から2.週間以内に欧州データ保護会議の会員の単純多数で決定を採択しなければならない。欧州データ保護会議の会員が分かれた場合、決定は議長の投票によって採択される
  3. 関係監督機関は第1項に基づく欧州データ保護会議に送付された対象事項の決定について第2項及び第3項で定める期間に採択してはならない。
  4. 欧州データ保護会議の議長は遅滞なく第1項で定める決定を関係監督機関に通知しなければならない。会議の議長はその旨を欧州委員会に通知しなければならない。決定は監督機関が第6項で定める最終決定を通知した後、欧州データ保護会議のウェブサイトで遅滞なく公開されなければならない。
  5. 主監督機関又は、状況に応じて、不服が申し立てられた監督機関は、本条第 1 項で定める決定に基づき最終決定を、遅滞なく、遅くとも欧州データ保護会議が決定を通知した後1カ月以内に、採択しなければならない。主監督機関又は、状況に応じて、不服が申し立てられた監督機関は、最終決定が管理者又は取扱者及びデータ主体それぞれに通知された日付を欧州データ保護会議に通知しなければならない。関係監督機関の最終決定は第60条第7項、第8項及び第9項の規定に基づき採択されなければならない。最終決定は本条第1項で定める決定を参照するものとし、当該項で定める決定が本条第5項に従って欧州データ保護会議のウェブサイトで公開されることを明記しなければならない。最終決定は本条第1項で定める決定を添付するものとする。

 なお、GDPR第65条の運用についてはかなり複雑な問題を含んでいることからEDPBはFAQ(全4頁)で詳しく解説している。このFAQに関し、筆者はわが国で具体的な解説は見た記憶はない。

 ここでは、項目のみあげるが、必要に応じ一部仮訳した。

(1)GDPRの下で国境を越えた協力はどのように機能するのか? 

(2)誰が紛争解決メカニズムを発動できるか? 

(3)第65条の下でEDPBに訴訟が提起された。次に何が起こるか? 

(4)GDPBの決定は誰に向けられて発出されるのか? 

A:.紛争解決メカニズムの下で下されたすべてのGDPBの決定は、全データ保護監督機関(SAs)に向けられ、その決定は彼らを拘束する。 

(5)次に何が起きるのか?

(6)EDPBの決定はいつ公開されるのか?

(7)域内加盟国保護機関( SAs)はEDPBのGDPR第65条の下での決定に挑戦できるのか? 

A:EDPB決定の宛先として、それらに異議を申し立てることを希望する関連するSAは、通知を受けてから2か月以内に欧州司法裁判所(CJEU)に訴訟を起こすことができる。

(8) コントローラー、プロセッサー、または申立人は、DPBによる第65条の決定に異議を申し立てることができるか? 

(9)紛争解決メカニズムを引き起こす可能性のある他の状況はあるのか? 

A:GDPR第65条に基づいてEDPBが採択した決定は、EDPBの決定に基づいて最終決定を採択するため、各国のSAを「拘束」する。EDPBの拘束力のある決定は、主に域内のSAに対処しており、それらを拘束する。

 EDPBの決定がコントローラー、プロセッサーまたは申立人にとって直接かつ個別の懸念事項である場合、本条に従って、欧州司法裁判所(CJEU)にEDPB Webサイトに公開されてから2か月以内に、EDPBの決定に対する無効化の訴訟を起こすことができる。

*****************************************************************************************:

(注1)アイルランドのHight Courtについて Citizens Information Board の資料から一部抜粋、仮訳する。

 法律か事実か、民事か刑事かを問わず、すべての問題と質問を決定することができる。High Courtは国のすべての地域からの訴訟に対処することができ、裁判所が補償または損害賠償として与えることができる金額に一般的な制限または制限はない。

特定のより重大な民事事件(名誉毀損または暴行による損害賠償請求など)では、裁判官が高等裁判所で陪審員と一緒に座ることがある。すべての場合において、評決を決定するには、12人の陪審員のうち9人の過半数の投票が必要である。

High Courtは次のことができる。

①75,000ユーロ(約967万円)以上の損害賠償請求に関する訴訟を聞く(人身傷害の場合は60,000ユーロ(約774万円))。

②法律の有効性についての質問を聞く。

③民事に関する巡回裁判所(Circuit Court )からの控訴を聞く。

④司法審査によりすべての下級裁判所の決定を審査する

地方裁判所(District Court によって提出された法律の問題について裁定を下し、法律によって提供される他の特定の状況で上訴を聞くことができる。

⑥特定の審判の決定を確認する。

公的機関による特定の決定(たとえば、移民問題に関する法務大臣の決定)を確認する。DPCが該当しようか?

(注1-2)2億2,500万ユーロ罰金の内訳につきローファームCovington& Buring LLPが解説している。その一部を引用、仮訳する。

・個人データが合法的、公正、透明性を持った方法で処理されるという要件を侵害したことによる9000万ユーロ。

・明確で平易な言葉を使って、簡潔で透明で分かりやすく、簡単にアクセスできる形で必要な情報を提供しなかったことによる3000万ユーロ。

・データ主体に対し収集した個人データに関する必要な情報を提供しなかったことによる3000万ユーロ。

・データ主体から個人情報が取得されていない情報をデータ主体に提供すべき要件を侵害したことによる7500万ユーロ。

(注2)GDPR第14条を引用する。

第 14 条 データ主体から個人データを取得しない場合に提供される情報

1.個人データがデータ主体から取得されない場合、管理者は次に掲げる情報をデータ主体に提供しなければならない。

(a) 管理者の身元及び詳細な連絡先、もしあるならば、管理者の代理人。

(b) 該当する場合、データ保護オフィサーの詳細な連絡先。

(c) 意図された個人データの取扱い目的、及び取扱いの法的根拠。

(d) 関連する個人データの種類。

(e) 該当する場合、取得者又は個人データの取得者の種類。

(f) 該当する場合、管理者が個人データの移転を意図する第三国若しくは国際組織及び欧州委員会による十分性決定の有無に関する事実、又は第 46 条若しくは第47条、若しくは第49条第1項後段で定める移転状況において、適切若しくは適正な保護措置及び個人データの複製を取得する方法若しくは個人データが利用可能になる条件に関する情報。

2.第1項で定める情報に加え、管理者は、データ主体に関連する公正で透明性のある取扱いを保証するために必要な次に掲げる情報をデータ主体に提供するものとする。

(a) 個人データが保存される期間、もし不可能であるならば、当該期間を決定するのに用いられる基準。

(b) 取扱いが第6条第1項(f)号に基づく場合、管理者又は第三者によって求められる正当な利益。

(c) 管理者に対し個人データへのアクセス、訂正又は消去、データ主体についての取扱いの制限を要求する権利、又は当該取扱いに不服を申し立てる権利とともに、データポータビリティーの権利の存在。

(d) 取扱いが第6条第1項(a)号又は第9条第2項(a)号に基づく場合、撤回前の同意に基づく適法な取扱いに影響を与えることなしに、いつでも同意を撤回する権利の存在。

(e) 監督機関に不服を申し立てる権利。

(f) 個人データが発生した情報源、もしあてはまるならば、一般の人々がアクセスできる情報源から来たものであるか否か。

(g) プロファイリングを含め、第22条第1項及び第4項で定める自動化された意思決定の存在、少なくともそのような状況において、関連する論理について意味ある情報、データ主体に関する当該取扱いの意義及び予測される結果。

3.管理者は第1項及び第2項で定める情報を次に掲げる時期に提供するものとする。

(a) 個人データが取り扱われる具体的状況を考慮し、個人データの取得後合理的期間内。ただし、遅くとも1カ月以内。

(b) 個人データがデータ主体に連絡を取るために使われるならば、遅くとも当該主体に初め

て連絡した時点。

(c) 他の取得者への開示が予測されるならば、遅くとも個人データが初めて開示される時点。

4.管理者が個人データを取得した目的以外の目的で個人データを追加的に取扱うことを意図する

場合、管理者は当該他の目的に関する情報及び第2項で定めるようなあらゆる関連性のある追加的情報を追加的取扱いがなされる前にデータ主体に提供しなければならない。

5.第1項から第4項は次に掲げるいずれかの場合は適用されない。

(a) データ主体がすでに情報を所持している場合。

(b) 情報の提供が不可能であるか、若しくは過度の困難を伴う場合。特に公共の利益の目的、科学的若しくは歴史的研究目的又は統計目的達成に関する取扱い。ただし、第89条第1項で定める条件及び保護措置に従っているか、又は本条第1項で定める義務が実施できそうにない若しくは当該取扱いの目的の達成が損なわれる場合に限る。このような場合、管理者は、特に情報を公然と入手し得るようにすることを含め、データ主体の権利及び自由並びに正当な利益のために適切な対策をとるものとする。

(c) 取得又は開示が、データ主体の正当な利益を保護するための適切な対策を規定している

管理者が服する EU 法又は加盟国の国内法によって明確に規定されている場合。

(d) 個人データが機密のままであるべき場合。ただし、法令の守秘義務を含め、EU 法又は加盟国によって規定されている職務上の守秘義務に服する。

*****************************************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする