英国のデータ保護法案：提案された改正案の概要(その２完)

　[Part Ⅱ] 英国データ保護法案:主要条項の検討

この記事では、パートⅠにもとづき、法案の特定の重要な条項をさらに深く掘り下げる。

(1)匿名化と「個人データ」:範囲の確認

　この法案は、情報が「識別可能な生存する個人」に関連しているため、主に2つのケースで「個人データ」を構成することを提案している。

(A)生存する個人が処理時に合理的な手段によって管理者または処理者によって識別可能である場合。

(B)管理者または処理者が、(a)処理の結果として他の人が情報を取得する、または取得する可能性が高いことを知っている、または知るべきである場合。

(b)生きている個人は、処理時に合理的な手段によってその人によって識別可能であるか、またはその可能性が高い。

　特に、この法案は、処理時にデータが個人データであるかどうかの合理性と評価を非常に重視しており、特にデータを匿名化しようとする際に、組織・事業体にとって有用であることが証明される可能性がある。EU GDPRは、注目度の高いケースを通じて開発された識別可能性と匿名化のための高い「しきい値」を設定している(詳細については、2016年CJEUのBreyerの決定に関するこのレイサム・アンド・ワトキンス法律事務所のブログ記事“Anonymous or Not: Court of Justice Issues Ruling on IP Addresses”(筆者注7)を参照されたい)。法案の提案は、英国政府が専門家諮問結果「データ:新しい方向」(諮問書)で取った立場、すなわち政府が「匿名化のために信じられないほど高い基準を設定することを避けるつもりである」という立場と一致している。(専門家への諮問の詳細については、このレイサム・アンド・ワトキンス法律事務所のブログ記事“UK Data Protection Reform: Examining the Road Ahead”を参照されたい。

【筆者補足説明】

１．わが国では本格的に論じられていない問題として匿名化、仮名化などとプライバシー強化にかかる技術面からの検証である。2021.11.17 BRISTOWS法律事務所「データの匿名化:ICOの改訂ガイダンスに関する考慮事項」が簡潔にまとめているので、主要部を抜粋、仮訳する。(筆者注8)

　データの匿名化は、二次的な目的でデータセットを保持しようとしている企業にとって効果的なツールであるが、「特効薬」と考えたり、EU一般データ保護規則 (GDPR) 外でデータを使用する簡単な方法と見なすべきではない。

　個人データとは異なり、匿名化されたデータは、識別された、または識別可能な自然人に関連するものではない。したがって、匿名化されたデータの処理はGDPRの範囲外で行われる。

　GDPR の下でデータが匿名と見なされるかどうかの法的テストは絶対的ではないことを理解することが重要である。組織・事業者等は、データセットが匿名であると結論付けるために、再識別の可能性のあるリスクを排除する必要はない。代わりに、GDPR はリスクベースのアプローチを採用している。そのルールブックは、データセットが匿名であるかどうかを判断する前に、組織・事業者は「処理時に利用可能な技術と技術開発を考慮して、識別に必要なコストや時間などのすべての客観的要因」を考慮する必要があると述べている。

　また、匿名化のプロセスは永続的なものであるという一般的な誤解である。ほとんどのデータセットでは、データを再識別できる可能性が常にあり、再識別技術が時間の経過とともにより洗練されるにつれて、識別可能性のレベルは変化する傾向がある。

　匿名データとは異なり、仮名データは依然としてGDPRの下で個人データと見なされます。ただし、これらのカテゴリー間の境界が曖昧になる可能性があり、識別可能性はスペクトルとして見なされるべきであることに注意することが重要です。

　英国の情報コミッショナーズオフィス(ICO)は、データが匿名と見なされるべきかどうかは、組織・事業者にとってこれまで以上に困難で重要であるという疑問を認識している。ICOは現在、法律の変更を反映し、組織に明確さを提供するために、2012年に発行された以前の法的ガイダンスである匿名化行動規範に対する提案された変更を検討している。

２．ICOの意見公募:匿名化、仮名化、プライバシー強化技術ガイダンス案の諮問の動きを引用する。(筆者注8)

　2021年5月28日意見公募を開始した。提案したガイダンス案はここにある。

　また、欧州データ保護委員会(EDPB)は、2021/2022年の作業プログラムにおいて、匿名化と仮名化に関する改訂ガイドラインの作成も盛り込んでいる。

(2)自動化された意思決定と正当な利益への依存

　法案の下での「認められた正当な利益」は、特に、英国が時間の経過とともに、EUで広く採用されているアプローチとは実質的に異なるアプローチを正当な利益に依拠しようとする場合、開発の興味深い分野となろう。

　EUでは、処理に関するこの根拠についてもいくつかの議論がある。 - オランダでの最近のガイダンスと法執行例は、純粋に商業的利益は正当な利益にはなり得ないというオランダ当局の見解を強調している。しかし、欧州委員会はこの見解に異議を唱えており、欧州データ保護委員会(EDPB)は近い将来、この分野でさらなるガイダンスを発表する予定である。

(3)セキュリティの取り決めとICOの役割

　この法案は、「適切な技術的および組織的措置」への言及を「技術的および組織的措置を含む適切な措置」に改正している。この提案された改正は、契約上の制限などの非技術的/組織的措置をより強調していることを示す可能性がある。この提案された改正の実際的な解釈によっては、例えば、EDPBによる国際的なデータ転送に関するこれまでに取られた立場(契約上の措置だけではそのような移転のセキュリティに関して不十分であることを示す)または実用的な検証を伴う契約上の制限を強化する必要性に関する情報コミッショナーズオフィス(ICO)の意見(例えば、 アドテク(筆者注9)の文脈で)である。

　法案の導入は、「イノベーションを促進することの望ましさと[...]データ保護法の下での機能に関連するICO義務としての競争」は、責任あるイノベーションへの障壁を減らすという英国政府のコミットメント姿勢を示している。

　コンサルテーションの一部の貢献者は、この義務を導入すると、独立したデータ保護規制当局としての主要な役割に関してICOの利益相反を引き起こす可能性があるという懸念を表明した。しかし、英国政府は、ICOの役割を「競争、革新、経済成長にとってますます重要になっている」とみなしているため、ICOがこれらの分野を考慮する必要があることを保証する意向を示した。競争やイノベーションとは異なり、政府はICOが考慮しなければならない義務として「成長」を明示的に強調しておらず、利益相反が実際にどのように解決されるかはまだ不明である。

　さらに、この法案は、ICOの「オフィス」の廃止を規定しており、すべての権限と機能は新しく設立された情報コミッショナーに移管される。

　歴史的に、ICOは「プライバシーおよび電子通信規則2003(PECR)」の施行、特に未承諾マーケティングに関する違反のために積極的に取り組んできた 。PECRの下での最大ペナルティは£500,000に制限されているが、この法案では、PECR違反に対する最高罰金をEU GDPRレベル(前会計年度の全世界の年間売上高の4%または1,750万ポンド)に引き上げる。これらの強化された制裁権限がICOのアプローチの何かを変えるかどうか、そして実際にこれらのより高い罰金が実際に活用されるかどうかはまだ分からない。

【DLA Piper；情報コミッショナーの改組、権限の見直し】筆者が仮訳補筆

　ICOの改革は比較的多岐にわたり、多くのテーマをカバーしている。たとえば、ICOの作業をより高度な政府・国務大臣の監督下に置くように見える改正がある。

①情報コミッショナーは、イノベーション及び競争を促進し、ならびに公衆および国家の安全を保護することに関して有する明示的な義務を負うべきである(s. 27)。

②国務大臣は、情報コミッショナーの「戦略的優先事項(Strategic priorities)」を設定することができる(s. 28)。

③情報コミッショナーは、重要業績評価指標(key performance indicators:KPI)(筆者注10)を用いて毎年、自らの業績を評価しなければならない(s. 33)。

しかし、同時に、情報委員会には、調査および執行活動を支援するために設計された以下の新しい権限が付与される。

④管理者または処理者に、管理者または処理者の費用負担で報告書の作成を手配するよう要求する(s. 35)。

⑤ある場所に出席し、質問に答えること(「面接通知」と呼ばれる)(s. 36)。

(4)国際個人データ転送

　この法案は、国際移転と十分性評価に対する英国のアプローチの両方に関する修正案を提出する(法案の別表schedule 5)。

　まず、UK GDPRの第44条が削除される予定である。これは、「この規則によって保証された自然人の保護のレベルが損なわれないことを確実にするために、この章[V]のすべての規定が適用されなければならない」という包括的な要件である。理論的には、これを削除することで、データ転送の煩わしさが軽減され、英国の個人データ輸出業者に柔軟性がもたらされる。

　以前の妥当性評価基準は、必要な基準が「実質的にそれより大きく低くない」新しい「データ保護テスト」に置き換えられる予定であり、これは「本質的な同等性」というEUのドクトリンから一歩離れているように見える。

(5) クッキー

　この法案は、厳密に定義された状況におけるクッキーの同意要件を緩和し、「厳密に必要な」免除(s. 79)に含まれるものを明確にしようとしている。

①  統計およびプリファレンス・クッキー(筆者注11)は、厳格な基準に従って、同意/「オプトイン」要件から「オプトアウト」標準に移行する。

② 改正法では、ユーザーのデバイスのセキュリティがサービスによって悪影響を受けないようにする、詐欺を防止または検出する、ユーザーを認証するなど、「厳密に必要な」免除に該当すると考えられる特定の活動が規定される。

(5)議会での法案審議の次のステップ

　法案の第二読会は2022年9月5日に行われる予定であり、その規定は、法案が議会のプロセスを通じて進行するにつれて、今後数週間から数ヶ月にわたって発展する可能性が高い。将来の法律がいつ採択されるかは不明だが、将来の英国政府と新首相の立法上の優先事項は重要な要素となるであろう。

*****************************************************************

(筆者注7)2016年10月19日付けレイサム・アンド・ワトキンス法律事務所 blog「匿名か否かどうか:司法裁判所がIPアドレスに関する判決を発布(Anonymous or Not: Court of Justice Issues Ruling on IP Addresses)」を以下、仮訳する。

　2016年10月19日、欧州連合司法裁判所(CJEU)は、IPアドレスが個人データを構成するかどうかの問題に関する判決8/20(43)を出した。この判決は、データが匿名とみなされ、データ保護法の範囲外になる場合の一般的な問題に直接影響する。多くの統計アプリケーションは、オンライン行動ターゲティング広告、Web 分析、セキュリティ監視、健康調査など匿名データのみを使用するという前提に依存している 。CJEUは、この特定の事案ではIPアドレスを使用して個人を特定できるという結論に達したが、匿名化されたデータの「鍵」が問題のプロセッサーの手に渡る可能性が実際にない他のケースでは有用なガイダンスを提供する。

裁判所の判決(第二院) ケース( C-582/14)

■2016年10月19日

(予備判決の参考資料 — 個人データの処理 — 指令 95/46/EC — 第2条 (a) — 第7条 (f) — 「個人データ」の定義 — インターネットプロトコルアドレス — オンラインメディアサービスプロバイダーによるデータの保管 — 管理者が追求する正当な利益を考慮に入れることを許可していない国内法)

2014年10月28日の決定(原告：パトリック・ブライヤー　v　被告：ドイツ連邦共和国、)によりなされたドイツ連邦司法裁判所(Bundesgerichtshof)からのTFEU第267条に基づくCJEUに対する予備判決の要請は、2014年12月17日にCJEU裁判所で受領された。

1 この予備的裁定の要求は、個人データの処理に関する個人の保護およびそのようなデータの自由な移動に関する1995年10月24日の欧州議会および理事会の指令95/46/ECの第2条(a)および第7条(f)の解釈に関するものである(OJ 1995 L 281、 p. 31)。

【CJEU決定文の要旨】

これらの理由により、本裁判所(第二院)は、ここに以下のことを裁定する。

１．個人データの処理に関する個人の保護およびそのようなデータの自由な移動に関する1995年10月24日の欧州議会および理事会の指令95/46/ECの第2条(a)は、オンライン・メディアサービスプロバイダーが登録した動的IPアドレスが、その規定の意味の範囲内で、そのプロバイダ-―に関連して、後者がインターネット・サービスプロバイダーがその人について持っている追加のデータでデータ主体を識別することを可能にする法的手段を有する場合、プロバイダーが一般にアクセス可能にするWebサイトにアクセスしたときに登録された動的IPアドレスが個人データを構成することを意味すると解釈されなければならない。

２．指令95/46の第7条(f)は、オンライン・メディアサービスプロバイダーが、そのユーザーによるこれらのサービスの特定の使用を容易にし、料金を請求するためにそのデータの収集および使用が必要である限りにおいてのみ、これらのサービスの一般的な操作性を確保することを目的とした目的が、それらのウェブサイトの協議期間後にそれらのデータの使用を正当化する可能性があるとしても、それらのサービスのユーザーに関する個人データを彼の同意なしに収集および使用することができるという加盟国の法律を排除するものと解釈されなければならない。

2 この要請は、パトリック・ブライヤー氏とドイツ連邦共和国(ドイツ連邦共和国)との間の手続きにおいて、ブライヤー氏がドイツ連邦機関が運営する複数のインターネットサイトにアクセスした際にブライヤー氏に割り当てられたインターネットプロトコルアドレス(「IPアドレス」)の後者の登録と保存に関するものである。

**********************************************************

　CJEU決定以前の事件では、ドイツ連邦政府の機関は、攻撃を防ぎ、「海賊」を訴追することを可能にするために、インターネットWebサイトのユーザーのログファイルを保存した。ログファイルは、ユーザーがセッションを終了した後も連邦政府の機関によって保持された。ドイツのデータ保護活動家パトリック・ブライヤー氏は、そのような保管を阻止する目的で連邦政府を訴えた。彼は、活動家が使用するインターネット・サービスプロバイダーが彼の身元と彼が使用した動的IPアドレスに関する知識を持っていたので、ログファイルは、インターネット・サービスプロバイダーが第三者としてユーザーを特定できたため、データは個人データと見なされるべきであると主張した。

　CJEUは、第三者がデータを識別できるという単なる事実は、データを識別可能なものとして扱うのに十分ではないことを判決において明確にした。欧州データ保護指令(European Data Protection Directive)(その後の一般欧州データ保護規則(General European Data Protection Regulation)では、第三者の知識が身元を特定するために使用される「合理的で」ある場合にのみ、第三者の知識を考慮に入れる。CJEUは、データ主体の識別が法律で禁止されている場合、または不均衡な努力を必要とするという事実のために事実上不可能である場合、これは当てはまらないというCJEU法務官(Advocate General)の意見を参照した。

　ドイツ連邦政府によって保存されたログファイルの場合、CJEUは、サイバー攻撃が発生した場合に、政府が所管官庁に個人を特定するために必要な情報のインターネット・サービスプロバイダーによる開示を要求する法的チャネルが存在するかどうかを検討した。この場合、CJEUは、インターネット・サービスプロバイダーの記録に基づいて個人に接続できるため、ログファイルデータは個人データであると見なした。

　CJEUによるこの査定評価は、データを保存する目的が攻撃者を特定して起訴することを可能にすることであった場合の文脈にあることを強調すべきである。したがって、CJEUが、そのような攻撃に対する所管官庁の行動の過程でデータが識別可能であることを「おそらく合理的に」考えたことは驚くべきことではない。ただし、これにより、匿名データの他の形式の処理とは大幅に異なる。

　オンライン行動ターゲティング広告、ウェブ分析、健康調査などでデータが処理される場合、識別子を使用して(未知の)個人にデータを割り当てることができる。そのような個人を潜在的に特定できる第三者(インターネット・サービスプロバイダ-や医師など)が存在する可能性がある。しかし、CJEUによって適用されるテストの下では、そのような第三者の知識は、この知識が個人を特定するために使用されることが「おそらく合理的に」ある場合にのみ関連する必要がある。それが違法である場合、またはそうするために不釣り合いな努力を必要とする場合、データは匿名であると見なされなければならないと主張することができる。

　さらに、IPアドレスを格納する公的機関が、IPアドレスの背後にある身元を開示することをインターネット・サービスプロバイダーに合法的に要求する可能性のある理由がないような使用である場合、IPアドレスに関して議論を行うことができる。

　反対の意見は、識別を可能にする第三者の知識がデータを識別可能にするというものであり、これはCJEUによって明確に拒否されている。一般欧州データ保護規則(GDPR)は、識別が「おそらく合理的に」でなければならないという要件を繰り返して明記しているため、2018年5月25日にGDPRが施行された後も同じ考慮事項が適用される必要がある。

(筆者注8) EU GDPR 第 89 条 (1) に基づく匿名化(anonymisation)、仮名化(pseudonymisation)およびその他の保護措置。

　データセット内の個人を再特定するためのキー/コードを含まないデータは、それを受け取る当事者にとって匿名化または偽名化されたデータと見なされる (データ管理者のそれぞれの義務を伴う)。

　欧州データ保護委員会(EDP​​B )は、GDPR の下でのデータの法的地位に対するデータの匿名化または仮名化の技術の使用/適用の影響は異なることを指摘している。データの仮名化技術が適用された場合でも、これらのデータは GDPR の下では個人データと見なされる (GDPR の第 4 条 (5) を参照)。第 89 条 (1) では、GDPR の仮名化は、データ最小化の原則を確実に尊重するために科学研究のコンテキストで採用されるべき追加の保護手段と見なされている。匿名化されたデータは、GDPR の範囲内または範囲外であると見なされる (GDPRの前文(Recital) 26 を参照)。したがって、データの匿名化または仮名化の概念は明確に区別する必要がある。情報が匿名であるかどうかの決定は、GDPR の 前文(Recital )26 で概説されている識別可能性のテストを適用して行う必要がある。自然人を直接的または間接的に識別するために、管理者または別の人物によって出力される。自然人の識別に手段が合理的に使用される可能性が高いかどうかを確認するには、処理の時点で利用可能な技術と技術開発を考慮して、識別のコストや所要時間などのすべての客観的要因を考慮する必要がある。

(筆者注9) 「アドテク」は「アドテクノロジー」の略称で、インターネット広告のシステムにおける仕組みや技術全体を指す。広告を掲載できるWebサイトを集めて配信用のネットワークを構築し、広告配信の簡略化を実現したのが特徴である。

(筆者注10) KPIとは、組織の目標を達成するための重要な業績評価の指標を意味し、達成状況を定点観測することで、目標達成に 向けた組織のパフォーマンスの動向を把握できるようになる。仮に、目標値からギャップが生まれた場合には、組織行動が当初想定の方向に向かっていないことを意味し、活動の修正が必要となる。(野村総合研究所の解説)

(筆者注11) クッキーまたはその他の形式のローカルストレージには、機能と目的がある。機能は、クッキーが持つ特定のタスクである。したがって、機能は「IPアドレスを格納する」ことができる。目的は、機能の背後にある理由として見ることができる。したがって、IPアドレスは統計に必要であるために保存されているか、マーケティング/追跡目的で使用されるために保存されているか、機能的な目的で必要であるために保存される。

　クッキーには、①統計/ 匿名クッキー(Statistics-Anonymous Cookies)、統計/分析クッキー(Statistics/analytics Cookies)、マーケティング/追跡クッキー(Marketing/Tracking Cookies)、機能クッキー(Functional Cookies)、および好みクッキー(Preferences Cookies)の5つの目的カテゴリーがある。

　「好みクッキー(Preferences Cookies)」とは、Cookie またはその他の形式のローカル ストレージで、匿名、統計、マーケティング、機能などの統計とは見なされず、設定を保存する正当な目的のために技術的なストレージまたはアクセスが必要な場合をいう。(Get Compliant today!サイトから引用、仮訳)。

*********************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserve．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

 

 

 

 

 

 

 

 

 

 

英国のデータ保護法案：提案された改正案の概要(その1)

　英国政府は、2022年7月18日に「データ保護およびデジタル情報法案(Data Protection and Digital Information Bill)(以下、「法案」という)」(法案そのものについてはPDF版参照)を議会に提出(筆者注1)し、専門家からの諮問「データ:新しい方向性(Data: a new direction)」(以下「諮問書(consultation)」という)への回答を6月23日に公表した。(本諮問の詳細については、このレイサム・アンド・ワトキンス法律事務所(Latham & Watkins LLP)のブログ記事を参照されたい。

　この法案は、現在の英国のデータ保護法体制(主に①「英国データ保護法2018(DPA 2018)」、②「英国一般データ保護規則(以下、” UK GDPR”という)」(筆者注2)で構成される)、および③「プライバシーおよび電子通信規則2003( Privacy and Electronic Communications (EC Directive) Regulations 2003、以下、“PECR”という」を改正するための政府の提案を詳述している。

　このブログ記事の「パートⅠ」では、提案された法改正の概要について説明し、また、「パートⅡ」では、特定の重要な規定についてさらに詳しく説明している。

　提案された法律等の改正案を要約すると、その範囲は広いものの、英国のデータ保護法の方向性の全面的な改正ではない。法案が議会で修正なしで可決されたと仮定すると、英国の政権は、英国固有の規定はあるものの、現在のEU のGDPRスタイルの枠組みに大きく基づいていることはまちがいない。

　なお、今回のブログはレイサム・アンド・ワトキンス法律事務所のブログを主に引用、仮訳するが、その内容は100%とは言えない。このため、補完する意味で国際的法律事務所DLA Piper のblog  「UK: New Data Protection and Digital Information Bill」を合わせ引用する。(筆者注3)

　主な法改正点を見ると、(1)よりリスクベース/結果重視のアプローチの採用、(2)説明責任、データ主体の権利、セキュリティおよび処理の法的根拠に関する主要分野における作成の2つのカテゴリーに分類できる。

　今回は2回に分けて掲載する。

[Part Ⅰ]

(1)定義と説明責任

　説明責任に関する主要な定義の改正と新規作成法案 (つまり、処理活動に関連するデータ保護要件の責任とコンプライアンスを実証するために組織・事業体が講ずべき措置) は、次のように要約できる。

① 「個人データ」のより限定的な定義化:この法案は、潜在的により限定的な状況、すなわち、処理時に管理者または処理者、または処理の結果として情報を取得する可能性が高く、処理時に合理的な手段によって個人データの主体として個人を特定できる、または識別できる可能性のある人によって識別できる場合、または個人を特定できる可能性がある場合につき、当該データが「個人データ」であると規定している。

今回の改正により、処理時に個人を管理者/処理者または第三者による合理的な手段で識別する必要があるため、組織・事業体にとって匿名化の基準が容易になる可能性がある。

【DLA Piper のblog】

第1条 は、追加の情報が個人を特定するために使用されるかどうかに応じて、「個人データ」の定義を拡張し、かつ緩和する。この規定は、匿名化の基準に関するICOガイダンス(筆者注8)を反映し、識別可能性の問題に対する「主観的な」アプローチを反映している。法案を一部抜粋する。

 

以下、略す。

② 英国代理人に対する要件を定めない:この法案は、UK  GDPR第27条(筆者注4)に従って英国代理人を指定する必要性を排除する。今回提案された改正は、英国GDPRの域外適用の対象となる英国以外の事業体(例えば、特定の基準を満たすことを条件として、英国に所在する個人の商品またはサービスの提供または行動の監視など)に関連している。

③ データ主体の権利の制限の再考:この法案は、データ主体の要求(アクセス、削除など)が「厄介または過剰」である場合に拒否するための修正された根拠を導入している。さらに、同法案は、組織・事業体が要求に基づいて行動することを拒否するか、またはそうするために「合理的な手数料」を請求することを認めている。この改正案は、訴訟の文脈で戦略的に使用されるデータ主体の要求の数を減らすか、または開示規則を回避するのに役立とう。

④ データ管理者の苦情に対処する新たな義務:この法案は、管理者が個人データの処理に関連して受け取った苦情を30日以内に承認する義務を新たに導入している。さらに、管理者は、苦情に対応し、その結果を苦情申立人に通知するために、適切な措置を講じる必要がある。データ主体が最初にこの権利を利用していない場合、情報コミッショナーズオフィス(ICO)が苦情の調査を拒否する可能性があることは、管理者にとっていくらかの慰めがある。

⑤ 記録保持義務の簡素化:この法案は、UK GDPR第30条(筆者注5)に規定されている記録保持義務を簡素化している。たとえば、データ主体と個人データのカテゴリーの説明を含める管理者の義務は削除されるが、管理者は特別なカテゴリーの個人データおよび/または刑事上の有罪判決および犯罪または関連するセキュリティ対策に関連するデータに関する情報を記録する必要がある。

⑥データ保護責任者(data protection officer ：DPO)から新たな概念である「上級責任者(senior responsible individual SRI)S.14」への責任の移管:この法案は、特定の組織・事業体がDPOを任命する義務を削除し、SRIを(一般的に同様の状況で)任命する新しい要件を設ける。SRIはDPOと同様の機能を持ち、この法案は特定の責任内容を詳述している。

【DLA Piper のblog：管理者/処理者の義務】

　データ保護責任者の役割は、「上級責任者」(s. 14)という肩書きの新しい役割に置き換えられる。上級責任者の任命のしきい値は、DPOの任命のための既存のしきい値とわずかに異なり、新しい要件は、高リスクの処理を行う公的機関および組織に適用される。指定された個人は、単に上級管理職に報告するのではなく、経営陣の上級メンバーでなければならない。しかし、SRIの日々の任務は、①組織のコンプライアンスの監視、②データ保護問題に関する組織への助言、③コンプライアンスを確保するための措置を講じる、④コミッショナーの連絡先として機能するなど、DPOのタスクとほぼ同じように見える。

(2)自動化された意思決定(AAutomated decision-making：DM)と正当な利益(legitimate interests)への依存

  この法案は、正当な利益のためのバランスのとれた(必要ではないが)テストが破棄される可能性があるいくつかの状況を規定しており、「認識された正当な利益(“recognised legitimate interests”)」と定義している。これらの認識された正当な利益は、緊急事態、犯罪、保護などの状況に限定される。しかし、この法案は、国務大臣(Secretary of State)が将来このリストを修正し、バランス・テストを必要とせずに合法的な利益に基づいてより多くの処理活動を行うことができるルートを提供することができると規定している。

【筆者補足説明】レイサム・アンド・ワトキンス法律事務所のみの解説ではいかにも理解しがたい。したがってJETRO「英国一般データ保護規制（UK　GDPR）」実務ハンドブックから該当部分を抜粋、引用する。

英国UK GDPR　 2. 適法に個人データを処理する義務（6 条）

（1）法的根拠の種類

　管理者が個人データの処理を行う場合には、各処理行為について、以下の表 6 のいずれの法的根拠に基づいて処理行為を行うかについて分析を行い、適切な法的根拠を選択する必要がある。

（2）正当な利益の判断基準

「正当な利益（legitimate Interest）」は、3 つのテストに分けられる。

① 目的のテスト：「正当な利益」を追求しているか。

② 必要性のテスト：その目的のために処理が必要か。

③ 比較衡量のテスト：個人の利益が正当な利益を上回るか。

　またこの法案は、「自動化された意思決定(automated decision-making： ADM)」(筆者注6)に関する特定の条項を改正しており、ADMの合法的な範囲を拡大する可能性がある。最も重要な法改正により、ADMの一般的な禁止が取り除かれた(契約上の必要性、法的義務、または明示的な同意の限られた理由がない限り)。

　その代わりに、この法案は、特別なカテゴリーの個人データの処理(契約上の必要性、法的義務、または明示的な同意がない場合)にのみADMを禁止し、そうでなければ、管理者が影響を受けるデータ主体にADMを通知し、そのデータ主体にADMに関する表明、関連する人間の介入の取得、および異議を唱える権利を与えることを要求する。

(3) セキュリティ面の配備に関する改正

　この法案は、「適切な技術的および組織的措置」への言及を「技術的および組織的措置を含む適切な措置」に変更し、データ管理者(例えば、管理者の責任を管理する第24条)と処理者(例えば、データ処理者によって提供される保証に関する第28条(1))の両方に関して、UK GDPRのさまざまな分野でこの変更を適用する。

(4) ICOの改革

　この法案は、組織構造、権限の変更、および規制措置に関する年次報告書を発行する新しい要件を通じて、ICOを改革しようとしている。興味深いことに、法案は「イノベーションを促進することの望ましさと[...]競争」は、英国のデータ保護法に基づく機能に関連するICO義務として使用される。

【DLA Piper のblog：情報コミッショナーズオフィスの改組】筆者が補足

　ICOの改革は比較的多岐にわたり、多くのテーマをカバーしている。たとえば、ICOの作業をより高度な政府(国務大臣)の監督下に置くように見える変更がある。

① 情報コミッショナーは、イノベーション及び競争を促進し、並びに公衆及び国家の安全を保護することに関して有する明示的な義務を負うべきである(s. 27： Duties of the Commissioner in carrying out functions)。

②国務大臣は、情報コミッショナーの「戦略的優先事項(Strategic priorities )」を設定することができる(s. 28)

③情報コミッショナーは、KPIを用いて毎年、自らの業績を評価(Analysis of performance)ければならない(s. 33)。

しかし、同時に、情報コミッショナーには、調査および執行活動を支援するために設計されたいくつかの新しい権限(Codes of practice: panels and impact assessment s.30; Codes of practice: approval by the Secretary of State s.31)が付与される。

（5）クッキーのオプトアウトと罰金の増加

　この法案は、クッキーおよびダイレクトマーケティングに関する規則を規定する英国の法律である2003年プライバシーおよび電子通信規則(PECR)の改正を提案している。この法案は、すべてのクッキーに対するオプトイン同意の要件を削除する。またこの法案は、PECR違反に対する最高罰金をGDPRレベル(最大1,750万ポンド、または前会計年度の全世界の年間売上高の4%のいずれか高い方)に引き上げる。この提案された改正点は、非準拠のマーケティング慣行のリスクを高める。

**********************************************************************************

(筆者注1) 政府サイトの法案概要解説を仮訳する。

本法案は､識別された、または識別可能な生存する個人に関する以下の情報の処理の規制を規定する法案である。

①個人に関する事実を確認および検証するための情報を使用するサービスについて提供すること。

② 顧客データおよびビジネス データへのアクセスに関する規定を作成すること。

③プライバシーと電子通信に関する規定を作成すること。

④ 電子署名、電子印鑑、その他の信託サービスの提供サービスに関する規定を作成すること。

⑤公共サービスの提供を改善するための情報の開示に関する規定を作成すること。

⑥ 法執行目的で情報を共有することに関する協定の実施を規定すること。

⑦出生と死亡の登録簿の保管と維持に関する規定を作成すること。

⑧健康と社会保障のための情報基準について規定すること。

⑨情報保護委員会を設立すること。

⑩生体認証データの監視に関する規定を作成すること、 および接続された目的のために。

(筆者注2) 英国の一般データ保護規則（UK GDPR：General Data Protection Regulation）とは、英国のEU離脱に伴って、EUの一般データ保護規則（GDPR）の内容に基づいて、2021年1月1日に施行された英国の法律である。JETROが「英国一般データ保護規制（UK GDPR）」実務ハンドブック（2022年4月）」を公表している。

(筆者注3) DLA Piper のblogから引用した箇所は“DLA Piper”と注記した。

(筆者注4) 該当する場合、英国代理人の選任義務（27 条）

英国代理人は、UK GDPR の地理的適用範囲に関する 3 条 2 項に基づく UK GDPR の適用がある場合に選任が義務付けられる。3 条 2 項は英国国内に拠点のない管理者、または処理者が英国国内に所在するデータ主体の個人データについて以下のいずれかに関する処理を行う場合に UK GDPR が適用される旨を規定する。

■ 英国国内に所在するデータ主体に対する商品またはサービスの提供に関する処理。

この場合、データ主体に支払が要求されるか否かについては問わない。

■ 英国国内で行われるデータ主体の行動の監視に関する処理。ただし、以下のいずれ

かに該当する場合は、英国代理人を選任する必要はない。

■ 公的機関である場合

■ 処理は、時折行われるだけで、個人のデータ保護権に対するリスクが低く、特別カ

テゴリの個人データまたは犯罪データの大規模な使用を伴わない場合

(JETROが「英国一般データ保護規制（UK GDPR）」実務ハンドブック（2022年4月）」から抜粋)

3 条 2 項の適用範囲については、日本企業が英国国内に拠点を有するとしても、上記(a)または(b)に関して日本本社が行う英国国内のデータ主体の個人データの処理が英国国内の拠点と関連しない場合、英国国内に拠点のない管理者による英国国内のデータ主体の処理行為であると解釈され、3 条 2 項に基づき UK GDPR が適用され、英国代理人の選任が義務付けられる場合がある。（UK GDPR）」実務ハンドブック（2022年4月）」から抜粋)

(筆者注5) 責任に基づいて処理行為の記録を保持する義務（30 条）

　管理者および処理者は、個人データの処理に関する記録を維持する義務を負う（30 条 1項）。ICO からの要求がある場合には管理者および処理者は当該記録を提出しなければならないため（30 条 4 項）、当該記録は UK GDPR の所定の要件に従って作成され、かつ最新の内容にアップデートされている必要がある｡

(筆者注6) 企業法務ナビ「自動意思決定・プロファイリングガイドライン」(以下「本ガイドライン」)の概要が以下の項目につき平易に解説している。主要部を抜粋、引用する。

　なお、原文はARTICLE 29 DATA PROTECTION WORKING PARTY （第29条作業部会）により2017年10月3日に採択後、修正のうえ2018年2月6日に採択された “Guidelines on　Automated individual decision-making and Profiling for the purposes of Regulation”である。

Q1:ガイドラインの基本的認識と目的は?

　インターネット上およびIoT機器からの個人データ取得およびデータ相互間の関連付けが広範かつ容易に可能となったこと, ビッグデータ分析, 人工知能, 機械学習等が進展したこと等により, 個人の性格・行動・関心・習慣等の判断・分析・予測等のプロファイリングおよび自動意思決定(automated decision-making)が容易になった。これらには経済社会的利点もある。

　しかし, プロファイリングおよび自動意思決定は, 個人を特定のカテゴリーに固定しその選択の自由を奪い, また, 場合によっては不当な差別につながるおそれがある等, 個人の権利自由に重大なリスクをもたらす可能性がある。

　本ガイドラインの目的は, そのようなプロファイリングおよび自動意思決定に関し, GDPRの規定内容を明確にすることである。

Q2: 「プロファイリング」／「自動意思決定」の意味・違いは?

①「プロファイリング」：「プロファイリング」とは, 個人に関する一定の事項(業務遂行能力／経済状態／健康／個人的嗜好／興味関心／信頼性／行動／位置・移動等)を評価(evaluate)または分析・予測(analyse or predict)するために, 個人データを利用して行われる全ての形態の自動処理(automated processing)[主にコンピュータによるデータ処理]を意味する。

②「自動意思決定」：「自動意思決定」(automated decision-making)とは, 個人データの自動処理(automated processing) [主にコンピュータによるデータ処理]によりそのデータ主体に対して管理者が何らかの判断・意思決定をすることを意味する。

自動意思決定は, プロファイリングとは別の概念である。「自動意思決定」にはプロファイリングを伴わない場合もある。(例)監視カメラが記録したスピード違反の証拠のみに基づき罰金決定。一方, プロファイリングを伴う場合もある。(例)スピード違反者の運転傾向(過去の違反歴等)に基づき, 罰金額決定。

Q3：プロファイリングの適法性根拠は?

　この適法性の根拠として一般的なものとしては, データ主体の同意(6(1)(a))の他, 処理が管理者または第三者の得ようとする「正当利益(legitimate interest)」(6(1)(f))がある。

　この管理者等の正当利益については, それとデータ主体の権利・自由とを比較衡量し, データ主体の権利・自由を管理者等の正当利益より優先させるべき場合には, 管理者等の正当利益をそのプロファイリングを行う適法性の根拠とすることはできない。この比較衡量においては特に以下の事項を重視しなければならない。

Q4:データ主体への通知は?

　管理者は, プロファイリングを含め, 個人データを自動意思決定に用いる場合は, ①自動意思決定を行うこと, ②自動意思決定の処理のロジック, および, ③自動意思決定の意味および予想される結果に関する, 意味ある(meaningful)情報を, 次の時期に, データ主体に情報提供しなければならない。

Q5：自動処理のみに基づく決定に服さない権利とは?

　データ主体は, 個人データの自動処理のみに基づく決定(decision based solely on automated processing)であって, データ主体に対する法的効果またはデータ主体に法的効果と同様の重大な影響を及ぼす(similarly significantly affects)処理(以下「完全自動意思決定」)に服さない権利を有する(22(１))。

　(以下、略す)。

　また、国際社会経済研究所　小泉 雄介氏が「プロファイリング・自動意思決定とプライバシーに関するEU（GDPR）・英国の動向」で詳しく解説している。以下で、一部抜粋する。

 ○自動意思決定（Automated decision-making）

• EU一般データ保護規則（GDPR）（の第22条）で主に規制対象となっているのは、プロファイリング自体ではなく、プロファイリング等の自動処理のみに基づく自動意思決定である（正確にはそのうち個人に法的効果または重大な影響を及ぼすもの）。
• 例えば個人に対する信用スコア等のプロファイリングに基づいてローン審査を自動化するようなケースが、この「自動意思決定」に該当する。

○自動意思決定とプロファイリングの違い

• GDPRのプロファイリングガイドラインでは、車のスピード違反の例が挙げられている。
• スピードカメラでの測定のみに基づいて罰金額を決める場合：

→プロファイリングを伴わない（自動処理のみに基づく）自動意思決定

• 今後の想定事例として、個人の運転習慣が長期に渡ってモニターされ、「常習的なスピード違反

か」「直近に他の交通違反を起こしていないか」といった要素に基づいて罰金額を決める場合：

→プロファイリング（を伴う自動処理のみ）に基づく自動意思決定

• このように「プロファイリング」と「自動意思決定」の概念は、一部重なる場合もあるが、異なる概念とさ

れる。GDPRなど個人データ保護法制の文脈では、以下の2段階を峻別して捉える必要がある。

(1) プロファイリングなどの自動処理

 (2) プロファイリングなどの自動処理に基づく自動意思決定

「プロファイリング・自動意思決定とプライバシー等に関する主な論点」の引用は略す。

*********************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．