[Part Ⅱ] 英国データ保護法案:主要条項の検討
この記事では、パートⅠにもとづき、法案の特定の重要な条項をさらに深く掘り下げる。
(1)匿名化と「個人データ」:範囲の確認
この法案は、情報が「識別可能な生存する個人」に関連しているため、主に2つのケースで「個人データ」を構成することを提案している。
(A)生存する個人が処理時に合理的な手段によって管理者または処理者によって識別可能である場合。
(B)管理者または処理者が、(a)処理の結果として他の人が情報を取得する、または取得する可能性が高いことを知っている、または知るべきである場合。
(b)生きている個人は、処理時に合理的な手段によってその人によって識別可能であるか、またはその可能性が高い。
特に、この法案は、処理時にデータが個人データであるかどうかの合理性と評価を非常に重視しており、特にデータを匿名化しようとする際に、組織・事業体にとって有用であることが証明される可能性がある。EU GDPRは、注目度の高いケースを通じて開発された識別可能性と匿名化のための高い「しきい値」を設定している(詳細については、2016年CJEUのBreyerの決定に関するこのレイサム・アンド・ワトキンス法律事務所のブログ記事“Anonymous or Not: Court of Justice Issues Ruling on IP Addresses”(筆者注7)を参照されたい)。法案の提案は、英国政府が専門家諮問結果「データ:新しい方向」(諮問書)で取った立場、すなわち政府が「匿名化のために信じられないほど高い基準を設定することを避けるつもりである」という立場と一致している。(専門家への諮問の詳細については、このレイサム・アンド・ワトキンス法律事務所のブログ記事“UK Data Protection Reform: Examining the Road Ahead”を参照されたい。
【筆者補足説明】
1.わが国では本格的に論じられていない問題として匿名化、仮名化などとプライバシー強化にかかる技術面からの検証である。2021.11.17 BRISTOWS法律事務所「データの匿名化:ICOの改訂ガイダンスに関する考慮事項」が簡潔にまとめているので、主要部を抜粋、仮訳する。(筆者注8)
データの匿名化は、二次的な目的でデータセットを保持しようとしている企業にとって効果的なツールであるが、「特効薬」と考えたり、EU一般データ保護規則 (GDPR) 外でデータを使用する簡単な方法と見なすべきではない。
個人データとは異なり、匿名化されたデータは、識別された、または識別可能な自然人に関連するものではない。したがって、匿名化されたデータの処理はGDPRの範囲外で行われる。
GDPR の下でデータが匿名と見なされるかどうかの法的テストは絶対的ではないことを理解することが重要である。組織・事業者等は、データセットが匿名であると結論付けるために、再識別の可能性のあるリスクを排除する必要はない。代わりに、GDPR はリスクベースのアプローチを採用している。そのルールブックは、データセットが匿名であるかどうかを判断する前に、組織・事業者は「処理時に利用可能な技術と技術開発を考慮して、識別に必要なコストや時間などのすべての客観的要因」を考慮する必要があると述べている。
また、匿名化のプロセスは永続的なものであるという一般的な誤解である。ほとんどのデータセットでは、データを再識別できる可能性が常にあり、再識別技術が時間の経過とともにより洗練されるにつれて、識別可能性のレベルは変化する傾向がある。
匿名データとは異なり、仮名データは依然としてGDPRの下で個人データと見なされます。ただし、これらのカテゴリー間の境界が曖昧になる可能性があり、識別可能性はスペクトルとして見なされるべきであることに注意することが重要です。
英国の情報コミッショナーズオフィス(ICO)は、データが匿名と見なされるべきかどうかは、組織・事業者にとってこれまで以上に困難で重要であるという疑問を認識している。ICOは現在、法律の変更を反映し、組織に明確さを提供するために、2012年に発行された以前の法的ガイダンスである匿名化行動規範に対する提案された変更を検討している。
2.ICOの意見公募:匿名化、仮名化、プライバシー強化技術ガイダンス案の諮問の動きを引用する。(筆者注8)
2021年5月28日意見公募を開始した。提案したガイダンス案はここにある。
また、欧州データ保護委員会(EDPB)は、2021/2022年の作業プログラムにおいて、匿名化と仮名化に関する改訂ガイドラインの作成も盛り込んでいる。
(2)自動化された意思決定と正当な利益への依存
法案の下での「認められた正当な利益」は、特に、英国が時間の経過とともに、EUで広く採用されているアプローチとは実質的に異なるアプローチを正当な利益に依拠しようとする場合、開発の興味深い分野となろう。
EUでは、処理に関するこの根拠についてもいくつかの議論がある。 - オランダでの最近のガイダンスと法執行例は、純粋に商業的利益は正当な利益にはなり得ないというオランダ当局の見解を強調している。しかし、欧州委員会はこの見解に異議を唱えており、欧州データ保護委員会(EDPB)は近い将来、この分野でさらなるガイダンスを発表する予定である。
(3)セキュリティの取り決めとICOの役割
この法案は、「適切な技術的および組織的措置」への言及を「技術的および組織的措置を含む適切な措置」に改正している。この提案された改正は、契約上の制限などの非技術的/組織的措置をより強調していることを示す可能性がある。この提案された改正の実際的な解釈によっては、例えば、EDPBによる国際的なデータ転送に関するこれまでに取られた立場(契約上の措置だけではそのような移転のセキュリティに関して不十分であることを示す)または実用的な検証を伴う契約上の制限を強化する必要性に関する情報コミッショナーズオフィス(ICO)の意見(例えば、 アドテク(筆者注9)の文脈で)である。
法案の導入は、「イノベーションを促進することの望ましさと[...]データ保護法の下での機能に関連するICO義務としての競争」は、責任あるイノベーションへの障壁を減らすという英国政府のコミットメント姿勢を示している。
コンサルテーションの一部の貢献者は、この義務を導入すると、独立したデータ保護規制当局としての主要な役割に関してICOの利益相反を引き起こす可能性があるという懸念を表明した。しかし、英国政府は、ICOの役割を「競争、革新、経済成長にとってますます重要になっている」とみなしているため、ICOがこれらの分野を考慮する必要があることを保証する意向を示した。競争やイノベーションとは異なり、政府はICOが考慮しなければならない義務として「成長」を明示的に強調しておらず、利益相反が実際にどのように解決されるかはまだ不明である。
さらに、この法案は、ICOの「オフィス」の廃止を規定しており、すべての権限と機能は新しく設立された情報コミッショナーに移管される。
歴史的に、ICOは「プライバシーおよび電子通信規則2003(PECR)」の施行、特に未承諾マーケティングに関する違反のために積極的に取り組んできた 。PECRの下での最大ペナルティは£500,000に制限されているが、この法案では、PECR違反に対する最高罰金をEU GDPRレベル(前会計年度の全世界の年間売上高の4%または1,750万ポンド)に引き上げる。これらの強化された制裁権限がICOのアプローチの何かを変えるかどうか、そして実際にこれらのより高い罰金が実際に活用されるかどうかはまだ分からない。
【DLA Piper;情報コミッショナーの改組、権限の見直し】筆者が仮訳補筆
ICOの改革は比較的多岐にわたり、多くのテーマをカバーしている。たとえば、ICOの作業をより高度な政府・国務大臣の監督下に置くように見える改正がある。
①情報コミッショナーは、イノベーション及び競争を促進し、ならびに公衆および国家の安全を保護することに関して有する明示的な義務を負うべきである(s. 27)。
②国務大臣は、情報コミッショナーの「戦略的優先事項(Strategic priorities)」を設定することができる(s. 28)。
③情報コミッショナーは、重要業績評価指標(key performance indicators:KPI)(筆者注10)を用いて毎年、自らの業績を評価しなければならない(s. 33)。
しかし、同時に、情報委員会には、調査および執行活動を支援するために設計された以下の新しい権限が付与される。
④管理者または処理者に、管理者または処理者の費用負担で報告書の作成を手配するよう要求する(s. 35)。
⑤ある場所に出席し、質問に答えること(「面接通知」と呼ばれる)(s. 36)。
(4)国際個人データ転送
この法案は、国際移転と十分性評価に対する英国のアプローチの両方に関する修正案を提出する(法案の別表schedule 5)。
まず、UK GDPRの第44条が削除される予定である。これは、「この規則によって保証された自然人の保護のレベルが損なわれないことを確実にするために、この章[V]のすべての規定が適用されなければならない」という包括的な要件である。理論的には、これを削除することで、データ転送の煩わしさが軽減され、英国の個人データ輸出業者に柔軟性がもたらされる。
以前の妥当性評価基準は、必要な基準が「実質的にそれより大きく低くない」新しい「データ保護テスト」に置き換えられる予定であり、これは「本質的な同等性」というEUのドクトリンから一歩離れているように見える。
(5) クッキー
この法案は、厳密に定義された状況におけるクッキーの同意要件を緩和し、「厳密に必要な」免除(s. 79)に含まれるものを明確にしようとしている。
① 統計およびプリファレンス・クッキー(筆者注11)は、厳格な基準に従って、同意/「オプトイン」要件から「オプトアウト」標準に移行する。
② 改正法では、ユーザーのデバイスのセキュリティがサービスによって悪影響を受けないようにする、詐欺を防止または検出する、ユーザーを認証するなど、「厳密に必要な」免除に該当すると考えられる特定の活動が規定される。
(5)議会での法案審議の次のステップ
法案の第二読会は2022年9月5日に行われる予定であり、その規定は、法案が議会のプロセスを通じて進行するにつれて、今後数週間から数ヶ月にわたって発展する可能性が高い。将来の法律がいつ採択されるかは不明だが、将来の英国政府と新首相の立法上の優先事項は重要な要素となるであろう。
*****************************************************************
(筆者注7)2016年10月19日付けレイサム・アンド・ワトキンス法律事務所 blog「匿名か否かどうか:司法裁判所がIPアドレスに関する判決を発布(Anonymous or Not: Court of Justice Issues Ruling on IP Addresses)」を以下、仮訳する。
2016年10月19日、欧州連合司法裁判所(CJEU)は、IPアドレスが個人データを構成するかどうかの問題に関する判決8/20(43)を出した。この判決は、データが匿名とみなされ、データ保護法の範囲外になる場合の一般的な問題に直接影響する。多くの統計アプリケーションは、オンライン行動ターゲティング広告、Web 分析、セキュリティ監視、健康調査など匿名データのみを使用するという前提に依存している 。CJEUは、この特定の事案ではIPアドレスを使用して個人を特定できるという結論に達したが、匿名化されたデータの「鍵」が問題のプロセッサーの手に渡る可能性が実際にない他のケースでは有用なガイダンスを提供する。
裁判所の判決(第二院) ケース( C-582/14)
■2016年10月19日
(予備判決の参考資料 — 個人データの処理 — 指令 95/46/EC — 第2条 (a) — 第7条 (f) — 「個人データ」の定義 — インターネットプロトコルアドレス — オンラインメディアサービスプロバイダーによるデータの保管 — 管理者が追求する正当な利益を考慮に入れることを許可していない国内法)
2014年10月28日の決定(原告:パトリック・ブライヤー v 被告:ドイツ連邦共和国、)によりなされたドイツ連邦司法裁判所(Bundesgerichtshof)からのTFEU第267条に基づくCJEUに対する予備判決の要請は、2014年12月17日にCJEU裁判所で受領された。
1 この予備的裁定の要求は、個人データの処理に関する個人の保護およびそのようなデータの自由な移動に関する1995年10月24日の欧州議会および理事会の指令95/46/ECの第2条(a)および第7条(f)の解釈に関するものである(OJ 1995 L 281、 p. 31)。
【CJEU決定文の要旨】
これらの理由により、本裁判所(第二院)は、ここに以下のことを裁定する。
1.個人データの処理に関する個人の保護およびそのようなデータの自由な移動に関する1995年10月24日の欧州議会および理事会の指令95/46/ECの第2条(a)は、オンライン・メディアサービスプロバイダーが登録した動的IPアドレスが、その規定の意味の範囲内で、そのプロバイダ-―に関連して、後者がインターネット・サービスプロバイダーがその人について持っている追加のデータでデータ主体を識別することを可能にする法的手段を有する場合、プロバイダーが一般にアクセス可能にするWebサイトにアクセスしたときに登録された動的IPアドレスが個人データを構成することを意味すると解釈されなければならない。
2.指令95/46の第7条(f)は、オンライン・メディアサービスプロバイダーが、そのユーザーによるこれらのサービスの特定の使用を容易にし、料金を請求するためにそのデータの収集および使用が必要である限りにおいてのみ、これらのサービスの一般的な操作性を確保することを目的とした目的が、それらのウェブサイトの協議期間後にそれらのデータの使用を正当化する可能性があるとしても、それらのサービスのユーザーに関する個人データを彼の同意なしに収集および使用することができるという加盟国の法律を排除するものと解釈されなければならない。
2 この要請は、パトリック・ブライヤー氏とドイツ連邦共和国(ドイツ連邦共和国)との間の手続きにおいて、ブライヤー氏がドイツ連邦機関が運営する複数のインターネットサイトにアクセスした際にブライヤー氏に割り当てられたインターネットプロトコルアドレス(「IPアドレス」)の後者の登録と保存に関するものである。
**********************************************************
CJEU決定以前の事件では、ドイツ連邦政府の機関は、攻撃を防ぎ、「海賊」を訴追することを可能にするために、インターネットWebサイトのユーザーのログファイルを保存した。ログファイルは、ユーザーがセッションを終了した後も連邦政府の機関によって保持された。ドイツのデータ保護活動家パトリック・ブライヤー氏は、そのような保管を阻止する目的で連邦政府を訴えた。彼は、活動家が使用するインターネット・サービスプロバイダーが彼の身元と彼が使用した動的IPアドレスに関する知識を持っていたので、ログファイルは、インターネット・サービスプロバイダーが第三者としてユーザーを特定できたため、データは個人データと見なされるべきであると主張した。
CJEUは、第三者がデータを識別できるという単なる事実は、データを識別可能なものとして扱うのに十分ではないことを判決において明確にした。欧州データ保護指令(European Data Protection Directive)(その後の一般欧州データ保護規則(General European Data Protection Regulation)では、第三者の知識が身元を特定するために使用される「合理的で」ある場合にのみ、第三者の知識を考慮に入れる。CJEUは、データ主体の識別が法律で禁止されている場合、または不均衡な努力を必要とするという事実のために事実上不可能である場合、これは当てはまらないというCJEU法務官(Advocate General)の意見を参照した。
ドイツ連邦政府によって保存されたログファイルの場合、CJEUは、サイバー攻撃が発生した場合に、政府が所管官庁に個人を特定するために必要な情報のインターネット・サービスプロバイダーによる開示を要求する法的チャネルが存在するかどうかを検討した。この場合、CJEUは、インターネット・サービスプロバイダーの記録に基づいて個人に接続できるため、ログファイルデータは個人データであると見なした。
CJEUによるこの査定評価は、データを保存する目的が攻撃者を特定して起訴することを可能にすることであった場合の文脈にあることを強調すべきである。したがって、CJEUが、そのような攻撃に対する所管官庁の行動の過程でデータが識別可能であることを「おそらく合理的に」考えたことは驚くべきことではない。ただし、これにより、匿名データの他の形式の処理とは大幅に異なる。
オンライン行動ターゲティング広告、ウェブ分析、健康調査などでデータが処理される場合、識別子を使用して(未知の)個人にデータを割り当てることができる。そのような個人を潜在的に特定できる第三者(インターネット・サービスプロバイダ-や医師など)が存在する可能性がある。しかし、CJEUによって適用されるテストの下では、そのような第三者の知識は、この知識が個人を特定するために使用されることが「おそらく合理的に」ある場合にのみ関連する必要がある。それが違法である場合、またはそうするために不釣り合いな努力を必要とする場合、データは匿名であると見なされなければならないと主張することができる。
さらに、IPアドレスを格納する公的機関が、IPアドレスの背後にある身元を開示することをインターネット・サービスプロバイダーに合法的に要求する可能性のある理由がないような使用である場合、IPアドレスに関して議論を行うことができる。
反対の意見は、識別を可能にする第三者の知識がデータを識別可能にするというものであり、これはCJEUによって明確に拒否されている。一般欧州データ保護規則(GDPR)は、識別が「おそらく合理的に」でなければならないという要件を繰り返して明記しているため、2018年5月25日にGDPRが施行された後も同じ考慮事項が適用される必要がある。
(筆者注8) EU GDPR 第 89 条 (1) に基づく匿名化(anonymisation)、仮名化(pseudonymisation)およびその他の保護措置。
データセット内の個人を再特定するためのキー/コードを含まないデータは、それを受け取る当事者にとって匿名化または偽名化されたデータと見なされる (データ管理者のそれぞれの義務を伴う)。
欧州データ保護委員会(EDPB )は、GDPR の下でのデータの法的地位に対するデータの匿名化または仮名化の技術の使用/適用の影響は異なることを指摘している。データの仮名化技術が適用された場合でも、これらのデータは GDPR の下では個人データと見なされる (GDPR の第 4 条 (5) を参照)。第 89 条 (1) では、GDPR の仮名化は、データ最小化の原則を確実に尊重するために科学研究のコンテキストで採用されるべき追加の保護手段と見なされている。匿名化されたデータは、GDPR の範囲内または範囲外であると見なされる (GDPRの前文(Recital) 26 を参照)。したがって、データの匿名化または仮名化の概念は明確に区別する必要がある。情報が匿名であるかどうかの決定は、GDPR の 前文(Recital )26 で概説されている識別可能性のテストを適用して行う必要がある。自然人を直接的または間接的に識別するために、管理者または別の人物によって出力される。自然人の識別に手段が合理的に使用される可能性が高いかどうかを確認するには、処理の時点で利用可能な技術と技術開発を考慮して、識別のコストや所要時間などのすべての客観的要因を考慮する必要がある。
(筆者注9) 「アドテク」は「アドテクノロジー」の略称で、インターネット広告のシステムにおける仕組みや技術全体を指す。広告を掲載できるWebサイトを集めて配信用のネットワークを構築し、広告配信の簡略化を実現したのが特徴である。
(筆者注10) KPIとは、組織の目標を達成するための重要な業績評価の指標を意味し、達成状況を定点観測することで、目標達成に 向けた組織のパフォーマンスの動向を把握できるようになる。仮に、目標値からギャップが生まれた場合には、組織行動が当初想定の方向に向かっていないことを意味し、活動の修正が必要となる。(野村総合研究所の解説)
(筆者注11) クッキーまたはその他の形式のローカルストレージには、機能と目的がある。機能は、クッキーが持つ特定のタスクである。したがって、機能は「IPアドレスを格納する」ことができる。目的は、機能の背後にある理由として見ることができる。したがって、IPアドレスは統計に必要であるために保存されているか、マーケティング/追跡目的で使用されるために保存されているか、機能的な目的で必要であるために保存される。
クッキーには、①統計/ 匿名クッキー(Statistics-Anonymous Cookies)、統計/分析クッキー(Statistics/analytics Cookies)、マーケティング/追跡クッキー(Marketing/Tracking Cookies)、機能クッキー(Functional Cookies)、および好みクッキー(Preferences Cookies)の5つの目的カテゴリーがある。
「好みクッキー(Preferences Cookies)」とは、Cookie またはその他の形式のローカル ストレージで、匿名、統計、マーケティング、機能などの統計とは見なされず、設定を保存する正当な目的のために技術的なストレージまたはアクセスが必要な場合をいう。(Get Compliant today!サイトから引用、仮訳)。
*********************************************************
Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserve.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます