7月16日、米国商務省ウィルバー・L.ロス長官は、この欧州連合司法裁判所(CJEU)のシュレムスⅡ事件に関する7月16日判決についての声明を発表した。
Wilbur L.Ross氏
その内容は本文で詳しく述べるが、わが国内でこのCJEU判決の解説を代表的なものを読んでみたが、果たして原告が指摘した問題点等が明らかになっているようには思えない。
つまり、2015年6月欧州司法裁判所判決により米国とEU欧州委員会が協議を重ねた「セーフ・ハーバー決定」が無効と判断され、これを受けてさらなる協議を行い作成したプライバシー・シールドの枠組みも再度無効とされた点である。
この2つの裁判は申立人がオーストリアに居住するオーストリア国籍のマクシミリアン・シュレムス(Maximillian Schrems:通称Max Shrems)氏(筆者注1)である点、申立て内容もほぼ同じである。
このような点のほかGAFAなどの活動をめぐる各国のDPAの厳しい締まりの実態が明らかとなる中でさらなる疑問がわく。
すなわち、(1)CJEU判決を受け、欧州データ保護会議(European Data Protection Board:DPB)は加盟国の監督機関からの照会に対応したりCJEU判決のさらなる解析を目的とするFAQを7月23日に公表したが、その内容は如何、(2)この判決はGDPRの解釈、運用の一層の迅速な厳格化を求めるものである(SCCsやBCRといえども無条件での運用継続は不可である)が果たして企業実務から見たら具体的な対応の中身は如何(最大規模のローファームのレポートが恰好の材料を提供している)を次回以降取りあげる予定である。
また、関連テーマとしては、(3)プライバシー・シールドの枠組み(筆者注2)や運用の実態は如何、特にCJEUが大きな懸念を指摘するオンブズ・パーソン・メカニズム(Ombudsperson mechanism)の法的有効性や恒久オンブズ・パーソンである米国務省国務次官キース・J.クラック(Keith Krach)氏とはいかなる人物か, その現政権や議会からの独立性は保証されているか(筆者注3)、、(4)CJEUが最も問題視する米国FISA(Foreign Intelligence surveillance Act)第702条や1981年大統領令(Executive Order)12333号 (筆者注3-2)の内容は如何、(5)同制度に参画している米国企業の利用規約や透明性報告の実態が原告が指摘している問題点を本当にクリア―しているのか、(6)21015年9月のアンブレラ協定 (筆者注4)とプライバシー・シールド決定との関係、(7)2016年ころ以降 GAFA(Google、Apple、Facebook、Amazon)等は最新の透明性報告書に国家安全保障書簡(National Security Letter)を介し FBI等の命令への対応を公表し始めた。果たして透明性報告書の内容は真に情報主体が満足できるものか、(8)欧州委員会の「十分性決定」の中身は本当に司法から見て有効か、(9)CJEUの本判決と法務官のopinionの内容比較は如何、(10)今回の裁判はGDPRに基づく保護強化に向けたEU主要国の情報保護機関やnoyb等人権擁護団体の手分けしての裁判戦略の一環であることが明確である、日本とEU間の越境データ移転についての合意内容は今後とも十分か(筆者注5)、等多くの疑問がわいてきた。
これらの疑問を極力解決するよう、取り組んでみた。とても内容から見て1回でまとめきれないが、順次取り上げて公表したい。
1.ロス長官の声明文の仮訳
商務省は、同裁判所がEUと米国の間の根拠となっている欧州委員会の妥当性の判断を無効にしたことに深く失望している。プライバシー・シールドについては、その実際的な影響を完全に理解するための決定については引き続き検討中である。我々は、この問題に関して欧州委員会および欧州データ保護会議(European Data Protection Board) (筆者注6) (筆者注7) (筆者注8)と密接な関係を維持しており、今回の負の結果を、それぞれの市民、企業および政府にとって非常に重要である7.1兆ドルの大西洋横断経済関係に限定できることを願っている。米国とEU間のデータ・フローは、テクノロジー企業だけでなく、あらゆるセクターのあらゆる規模の企業にとっても不可欠である。我々の経済がCOVID-19以降をめざし回復を続ける中、企業(現在5,300社以上のプライバシー・シールド参加企業等を含む)が、プライバシー・シールドによって提供される強力な保護と一貫して、中断なくデータを転送できることが重要である。
米国は、米国の国家安全保障データアクセスの法律と慣行、およびそのような措置がどのようにしてヨーロッパを含む外国の管轄区域におけるそのようなアクセスを管理する規則に適合し、ほとんどの場合それを超えるかを裁判所に完全に理解させることを目的として、訴訟に積極的に参加してきた。
商務省は、このプライバシー・シールド・プログラムの管理を今後とも継続する。これには、プライバシー・シールド・フレームワークへの自己認定(self-certification)および再認証(re-certification)のための申請の処理やプライバシー・シールド・リストの維持が含まれる。本日の決定は、参加組織・団体のプライバシー・シールドの義務を緩和するものではない。
2.欧州司法裁判所(CJEU)の判決プレスリリースとその内容
CJEUの判決に係るプレスリリースをもとに補足、リンクを張りながら仮訳する。
なお、前書きで述べたとおり、この内容を理解するだけでは企業対応を進めるうえで不十分であり、各ローファームなどが指摘しているとおり、英国にローファーム「Pinsent Masons LLP」の弁護士Andreas Carney氏が指摘しているとおり、最近時の欧州委員会のGDPRレヴューやそれを踏まえたSCCsやBCRの内容とGDPRの解釈の厳格化、近代化の取り組みやEBPBのガイダンス更新動向等十分にウォッチすべきであることは言うまでもない。
【判決要旨】欧州司法裁判所は、「EU-USデータ保護シールドによって提供される保護の妥当性に関する欧州委員会決定2016/1250」を無効と判断した。ただし、欧州委員会の標準的契約条項(Standard Contractual Clauses, SCCs)に関する委員会決定2010/87(Commission Decision 2010/87)については、第三国に設立された処理業者への個人データの移送は有効であると判示する。
情報保護に係るEU法である「EU一般データ保護規則(GDPR)」(注9)は、第三国へのデータの移転は、第三国が適切なレベルのデータ保護を保証する場合にのみ、原則として行われる可能性があることを規定している。 GDPRによると、第三国は、国内法またはその国際的コミットメントの理由によって、十分な保護レベルを保証する可能性がある。適切な決定がない場合、EUで設立された個人データの輸出者が適切な保護措置を提供した場合にのみ、そのような移転が行われうる可能性がある。データ主体が、執行可能な権利と効果的な法的救済策を有する場合、 GDPRは、適切な決定または適切な保護措置がない場合に、そのような移転が行われうる条件を詳述する。
オーストリアに居住するオーストリア国籍のマクシミリアン・シュレムス(Maximillian Schrems:通称Max Shrems)は、2008年からフェイスブック・ユーザーである。欧州連合(EU)に居住する他のユーザーの場合と同様に、シュレムス氏の個人データの一部または全部は、Facebook Ireland によって米国に所在するFacebook Inc.に属するサーバーに転送され、そこで処理が行われる。シュレムス氏は、本質的にこれらの移送を禁止するよう求めるアイルランドの情報保護監督当局である「情報保護委員会(「Data Protection Commission:以下、DPC)」に苦情を申し立てた。彼は、米国の法律と慣行は、その国に転送されたデータへの公的機関によるアクセスに対する十分な保護を提供していないと主張した。
その苦情は、決定2000/520(いわゆる「セーフ・ハーバー決定」) で、とりわけ、アイルランド保護委員会は、米国が十分なレベルの保護を確保していることを明らかであるという理由でセーフハーバーを理由に却下した。2015年10月6日に提出された同裁判所判決では、アイルランド高等裁判所(High Court)が付託要請した先行(予備)判決::preliminary ruling)(注10)の内容を受けた司法裁判所判決は、欧州委員会のセーフ・ハーバー決定が無効であると宣言した(「シュレムスI判決」)。
シュレムスⅠ判決とその後の関連裁判所の無効決定に続いて、アイルランド監督当局(DPC)は、2000/520委員会決定は無効であるという本裁判所の宣言に照らして、彼の告訴内容を再構築するようシュレムス氏に求めた。同氏の再構築された苦情の中でも、シュレムス氏は、米国がその国に転送されたデータの十分な保護を提供していないと主張している。 彼は、EUから米国への個人データの将来の移送の停止または禁止を求めている。 Facebook Irelandは現在、2000/520決定の附属書に定められた標準的データ保護条項に従って移送を実施している。
シュレムス氏の告訴の結果は、特に欧州委員会決定2010/87の妥当性に依存するとの見解を持って、DPCは、CJEUの先決(予備)判決(preliminary ruling )のために裁判所に質問を参照するために高等裁判所(Hight Court)に対する手続きをとった。これらの手続きの開始後、欧州委員会はEU-Uが提供する保護の妥当性に関する決定2016/1250(プライバシー・シールド決定)を採択した。
標準的なデータ保護条項に従って個人データの移送に適用されるかどうか、(2)そのような移転に関連してGDPRによって必要とされる保護のレベル如何、および(3)そのような状況で監督当局にどのような義務が義務付けられているかを司法裁判所に照会した。また高等裁判所は、(4)「委員会決定2010/87」および「委員会決定2016/1250」の両方の法的有効性の問題を提起した。
今日の判決では、司法裁判所は、欧州基本的権憲章(Charter of Fundamental Rights)に照らして2010/87決定の審査は、その決定の妥当性に影響を与えるものは何もないと判断する。しかし、司法裁判所はDecision2016/1250は無効と宣言する。
第一に、司法裁判所は、EU法(特にGDPR)が、加盟国に設立された経営運営者による第三国に設立された別の経営運営者への商業目的の個人データの転送に適用されることを考慮した。 その転送時またはその後、その個人データは、公安、防衛、および国家の安全の目的で、問題となる第三国の当局によって処理される場合がある。司法裁判所は、第三国の当局によるこの種のデータ処理は、GDPRの範囲からそのような転送を排除することはできないと付け加える。
このような移転に関する必要な保護のレベルに関して、欧州基本的権憲章の下で司法裁判所は、越境移転目的で、適切な保護措置、執行権および効果的な法的救済に関するGDPRによってそのような目的のために定められた要件は、標準的なデータ保護条項に従って個人データが第三国に転送されるデータ主体が、本質的にGDPRによってEU内で保証されるレベルの保護を与えられなければならないことを意味すると解釈されなければならないと考える。
そのような状況において、司法裁判所は、そのレベルの保護の評価は、EUで設立されたデータ輸出者と第三国に設立された移転の受領者との間で合意された契約条項の両方を考慮に入れなければならないことを指し、第三国の公的機関による第三国の移転に関するアクセスに関しては、第三国の法制度の関連する側面を考慮する必要があると考える。
次に、司法裁判所は、決定2010/87(標準的契約条項決定)の有効性を調べた。裁判所は、同決定の標準的なデータ保護条項が本質的に契約上の契約であることを考えると、データが転送される可能性のある第三国の当局を縛らないという事実によって、その決定の妥当性が問題に呼ばれるものではないと考える。しかし、その有効性は、同決定がEU法で要求される保護レベルの遵守を確保するために、実際には可能にする効果的なメカニズムを含むかどうか、およびそのような条項に従って個人データの転送が中断または禁止されているか、またはそれらを尊重することが不可能であるかどうかに依存すると付け加える。
司法裁判所は、決定2010/87がそのようなメカニズムを確立していることを認める。この点に関して、特に司法裁判所は、この決定はデータの輸出者とデータの受信者において、転送の前に、関係する第三国でそのレベルの保護が尊重されているかどうかを確認する義務を課していることを指摘し、 この決定により、受信者は標準のデータ保護条項に準拠できないことをデータ・エクスポーターに通知する必要があり、後者の場合、データの転送を一時停止するか、前者との契約を終了する必要があると考えた。
最後に、司法裁判所は、私生活と家庭生活の尊重を保証する憲章の規定、個人データ保護、効果的な司法保護の権利に照らして、GDPRから生じる要件に照らして、決定2016/1250の有効性を精査した。その点に関し、司法裁判所は、決定2000/520と同様に、米国では国家安全保障、公益、法執行機関の要件が優位性を持ち、データがその第三国に転送される個人の基本的権利への干渉を容認するという立場を定めている点に留意する。
司法裁判所の見解では、欧州連合加盟国から第三国に転送されたそのようなデータの米国の公的機関によるアクセスと使用に関する米国の国内法から生じる個人データの保護に関する制限は、 欧州委員会が決定2016/1250の交渉で評価したものは、比例の原則によるEU法の下で本質的に要求されるものと同等の要件を満たす方法で制限されておらず、これまでのところこれらの規定に基づく監視プログラムは厳密に必要なものに限定されていない。
その明らかとなった点に基づいて、司法裁判所は、米国の特定の監視プログラムに関して、これらの規定は、彼らがそれらのプログラムを実施するために与える法執行力の制約、または潜在的に標的にされた非米国人に対する保証の存在を示していないと指摘する。司法裁判所は、これらの規定は、問題の監視プログラムを実施する際に米国当局が遵守しなければならない要件を定めているが、規定は米国当局に対する裁判所でのデータ主体対象者が実行可能な保護される権利を与えていないと付け加えた。
さらに司法面からの人権保護の要件に関しては、司法裁判所は決定2016/1250の欧州委員会が取った見解に反して、その決定において言及されたオンブズ・パーソン・メカニズは、そのメカニズムによって提供されたオンブズ・パーソンの独立性とオンブズパーソンに米国諜報機関に拘束力のある決定を採用することを可能にするルールの存在の両方を保証するなど、EU法で要求されるものと実質的に同等の保証を提供する司法機関の前でのデータ主体に対する訴訟原因(cause of action)を提供しないと定めている。
以上の理由から、司法裁判所は決定2016/1250を無効と宣言する。
3.Schrems Ⅱ裁判の欧州司法裁判所大法廷判決全文などのURL
欧州司法裁判所の判決データベースは関係資料も含め非常によく整備されている。
わが国ではあまり一般的に公開されていない情報なので、ここであえて引用する。
(1)判決文全文:JUDGMENT OF THE COURT (Grand Chamber)16 July 2020
(2) 判決要旨(abstract):Case C‑311/18
Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems
(Request for a preliminary ruling from the High Court (Ireland))
Judgment of the Court (Grand Chamber), 16 July 2020
(3)CJEU法務官の意見( OPINION OF ADVOCATE GENERAL): Henrik Saugmandsgaard Øe (デンマーク出身))
Henrik Saugmandsgaard Øe氏
delivered on 19 December 2019 (1)
Case C‑311/18
Data Protection Commissioner v Facebook Ireland Limited,Maximillian Schrems,
Interveners(仲裁意見陳述人):The United States of America,Electronic Privacy Information Centre(EPIC),BSA Business Software Alliance, Inc.,Digitaleurope
(4)予備判決の要請に係る参考資料 Reference for a preliminary ruling from the High Court (Ireland) made on 9 May 2018 – Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (Case C-311/18)
**********************************************************************************************************::
(筆者注1) Schrems氏は、オーストリア人権擁護NPO“noyb”の代表でもある。
Maximillian Schrems氏
このNPO団体は個人データを処理する法的根拠として同意に頼る場合、企業はGDPRに含まれる厳しい要件を遵守する必要があるとし、2018年5月、noybは4件の各国の保護機関や人権擁護団体と連携して4件の苦情を申し立てた。フランスではグーグルに対して、オーストリアではフェイスブックに対し、ベルギーではインスタグラムに対して、ドイツではWhatsappに対して申し立てたのである。申立ての理由は、これらの大手IT企業が「利用するかまたは利用しないで去るか、選択肢は1つ(“take it or leave it”)」アプローチ(強制的同意手続き)を採用し、ユーザーがサービスを引き続き使用するためにはプライバシーポリシーと利用条件の両方に完全に同意することを余儀なくされている、とするものである。
また、この共同作戦の結果としてフランスの情報保護監督機関CNILは2019.1.21の米国Googleに対するEU一般データ保護規則違反にもとづく5000万ユーロ(約63億円)の罰金命令を行っている。筆者ブログ2019.1.26(その1)、同(その2完)参照。なお、グーグルを当局に告発したのは、仏NGOのLa Quadrature du Net(LQDN)とオーストリアNGOのNone Of Your Business(NOYB)の2団体。LQDNは1万人の署名を集めた。
(筆者注2) 2019.6.25 Inside Privacy「Privacy Shield Ombudsperson Confirmed by the Senate」から引用する。
2019年6月20日、米国務省国務次官キース・J.クラック(Keith Krach)は米国上院から国務省でトランプ政権初の恒久的なプライバシー・シールド・オンブズパーソン(Privacy Shield Ombudsperson)になることが承認された。 プライバシー・シールド・オンブズパーソンの役割は、データがEUまたはスイスからEU-米国プライバシー・シールド・フレームワークの下で米国に転送されるすべてのEUデータ主体のための追加の是正手段として機能することである。
Keith J.Krach氏
オンブズパーソンとして、クラック氏は、EUまたはスイスから米国に送信されたデータへの米国の国家安全保障アクセスに関連して、EUおよびスイスの個人からの苦情や要求に対処する責任がある。オンブズパーソンは、他の政府当局者や独立した監督機関と協力して、要求を見直し、対応する。オンブズパーソンとしてのクラック氏の役割は、経済成長、エネルギー、環境担当次官(Under Secretary for Economic Growth, Energy and the Environment)としての任務の一部を形成する。クラック氏は諜報機関から独立しており、国務長官に直接報告する責務を負う。
今回の恒久的なプライバシーシールド・オンブズパーソンの正式な承認は、EUレベルでも歓迎された。 グローバルなCovington & Burling LLPのサイト「Inside Privacy」が以前に報告したように、欧州データ保護委員会は、プライバシーシールドの第2回年次レビューに関する2019年1月の報告書で恒久的なオンブズパーソンの任命を賞賛した。 さらに、委員会は、オンブズパーソンは「米国当局による個人データへのアクセスに関する苦情に対処することを保証する重要なメカニズムである」と強調している。 この任命は、EUと米国のプライバシーシールドと標準契約条項の両方が欧州司法裁判所で精査されている時期にあわせて行われた。
(筆者注3) 筆者はこれまでExecutive Orderの訳語に戸惑っており、「大統領行政命令」等を使ってきた。しかし2つのレポートがあるので引用する。この問題は単なる訳語の問題では済まない三権分立の基本に係る問題である。
①国立公文書記録管理局の定義では以下の通りである。「大統領令は連続番号が付けられた公的文書であり、それを通じて合衆国大統領は連邦政府の運用を管理する」
このように定義されているものの、大統領令は合衆国憲法に明確な規定はない。現在のホワイト・ハウスの公式ページを見ると、「大統領決定Presidential Actions」の下に「大統領令Executive Orders」、「大統領覚書Presidential Memoranda」、「布告Proclamations」、「行政管理予算局関連資料Related OMB Material」の四つが置かれている。つまり、大統領令は大統領決定の一部だと考えられる。(西川秀和「大統領令」から一部抜粋)
②アメリカ合衆国憲法は、大統領に外交と安全保障を担うことを認めるとともに、法律を誠実に執行することを義務づけている。法律によって政策を変更できるのは連邦議会であり、大統領は立法に関して拒否権を行使する、署名する、署名しつつ署名時声明を付与するという選択肢を持つに過ぎない。・・・政策を形成する議会は、あらゆる政策について隅々まで詳細に法律の文言で定めることはできず、法執行を担う大統領に裁量を与える。この裁量の範囲内で、具体的にどのように法執行をすべきかを、行政組織に命令する手段が行政命令である。・・・行政命令は本来的には、議会による授権の範囲内で大統領が具体的な法執行手段を行政組織に命じるためのものであるが、議会が長年をかけて認めてきた裁量の範囲が広範であるために、現在の議会の意図に反する形の命令さえ下しうるというのが現状である。(以下、略す) 梅川健「アメリカ大統領権限分析プロジェクト:トランプ大統領と「大統領令」:とくに行政命令について」から一部抜粋。
(筆者注4) 筆者ブログ「EU-米国の個人情報移送に関する協定(「アンブレラ協定」)に見るプライバシー保護の抜本見直し(その1)」および「同(その2完)」参照。
(筆者注5) 日EU間の越境データ移転について
欧州委員会は2019年1月23日、EUと日本が個人データに関する保護レベルについて、相互に同等と認める決定を採択したことを歓迎すると発表した。欧州委は、EU「一般データ保護規則(GDPR)」の第45条に基づいて日本に対する十分性を認定し、日本の個人情報保護委員会もEU側に同様の対応を行うことで合意した。EUと日本の間で、相互の円滑な個人データ移転を図る枠組みが発効する。欧州の情報通信技術(ICT)関連産業団体のデジタルヨーロッパは同日、日EU経済連携協定(EPA)の2月1日発効を控え、「国際的な個人データ移転のための重要なモデル」になるとし、支持を表明している。(JETROビジネス短信https://www.ppc.go.jp/enforcement/cooperation/cooperation/sougoninshou/ ~抜粋。
(筆者注6) 欧州データ保護会議(European Data Protection Board :EDPB)は、EU加盟国各国のデータ保護機関の代表、欧州データ保護監督官(European Data Protection Supervisor: EDPS)で構成され、EU内のデータ保護に関する規則の統一的な適用を促し、データ保護機関間の効果的な協力を保証する。2018年5月25日をもってこれまでの「EUデータ保護指令第29条専門家会議(WP29)」がEDPBに改組された。
EDPB議長Andrea Jelinek 氏
EDPBは、欧州連合における「一般データ保護規則(GDPR)」と「管轄権を有するEU域内公的機関の法執行時の情報保護指令(EU Enforcement Directive)」 (筆者注7)の一貫した適用を確実にすることを目的とする。欧州のデータ保護法の条件を明確にする一般的なガイダンスを採用して、利害関係者に権利と義務の一貫した解釈を与えることができる。
また、GDPRにより、一貫した適用を確実にするために国家監督当局に対して拘束力のある決定を下す権限も与えられている。EDPBは、EDPBの「手続規則(Rules of Procedure)」と「指導原則」(筆者注8)に従って行動する。
(JETRO 「EU 一般データ保護規則(GDPR)について」から一部抜粋、一部筆者なりに補筆した)。
また、EDPBサイトの解説を引用、仮訳する。
EDPBは、欧州連合(EU)全体のデータ保護規則の一貫した適用に貢献し、加盟国の監督当局間の協力を促進する法人格を持つ独立した欧州機関である。EDPBは、全加盟国の監督当局(Supervisory Authorities :SA)と欧州データ保護監督者(EDPS)またはその代表者の長で構成されている。特定の個々の要求に応答する代わりに、EDPB は一般的なガイダンス等を発行する。すなわち、2018年5月25日、EDPBは従来WP29が提供してきたGDPRに関するガイダンス(Guidelines,)、勧告文(Recommendations)および最善の実践慣行 (Best Practices)を承認7/17(60)した。また、EDPBはここで利用可能な追加のガイダンスを作成している。
EDPBは、個々のコンサルタントサービスを提供しない。データ保護法に関する質問がある個人または組織・団体等は、その拠点国の監督機関のウェブサイトに相談することを勧める。
(筆者注7) わが国でほとんど解説がない「法執行指令(Directive (EU) 2016/680(EU Enforcement Directive)」の内容を概観する。
2016年4月27日欧州議会および欧州連合理事会の指令(EU)2016/680は、刑事犯罪の防止、捜査、取り調べまたは訴追または刑事罰の執行、およびそのような個人データの自由な移動に関する管轄当局による個人データの処理に関し自然人の権利保護に関する指令である。
(筆者注8) EDPBの指針となる原則は以下の7原則である。
①独立性と公平性
②優れたガバナンス、整合性、優れた管理行動
③親密さ
④協力
⑤透明性
⑥効率性と近代化
⑦先を見越す(proactive)
(注9) GDPR第46条( 適切な保護措置に従った移転)の個人情報保護委員会の仮訳文を引用する。
- 第45条第3項による決定がない場合、管理者又は処理者は、その管理者又は処理者が適切な保護措置を提供しており、かつ、データ主体の執行可能な権利及びデータ主体のための効果的な司法救済が利用可能なことを条件としてのみ、第三国又は国際機関への個人データを移転することができる。
- 第1項で定める適切な保護措置は、監督機関から個別の承認を必要とせず、以下のいずれかによって講じることができる。
(a) 公的機関又は公的組織の間の法的拘束力及び執行力のある文書
(b) 第47条に従う拘束的企業準則
(c) 第93条第2項で定める審議手続に従って欧州委員会によって採択された標準データ保護条項
(d) 監督機関によって採択され、かつ、第93条第2項で定める審議手続に従って欧州委員会によって承認された標準データ保護条項
(e) データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な第三国の管理者又は処理者の約定を伴った、第40条による承認された行動規範 又は、(f) データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な第三国の管理者又は処理者の約定を伴った、第42条による承認された認証方法
3.所轄監督機関から承認を受けることを条件として、第1項で定める保護措置は、特に、以下の方法によっても講じることができる。
(a) 管理者又は処理者と第三国又は国際機関内の管理者、処理者又は個人データの取得者との間の契約条項;又は、
(b) 公的機関又は公的組織の間の取決めの中に入れられる条項であって、執行可能かつ効果的なデータ主体の権利を含むもの。
- 監督機関は、本条第3項で定める場合において、第63条で定める一貫性メカニズムを適用する。
- 指令95/46/ECの第26条第2項に基づく加盟国又は監督機関による承認は、その必要に応じて、監督機関によって改正され、差し替え、又は、廃止されるまで、その有効性が維持されなければならない。指令95/46/ECの第26条第4項に基づき欧州委員会によって採択された決定は、必要に応じて、本条第2項に従って採択される欧州委員会決定により改正され、差し替え、又は、廃止されるまでその有効性が維持されなければならない。
(筆者注10) CJEU の先行(予備)判決(preliminary ruling)に関する詳しい解説を引用する。なお、法律とのリンクは筆者が行った。なお、“preliminary ruling”の訳語は区々である。予備判決、先行判決、先行裁定、先行裁断等である。法的意義を踏まえ統一訳語を考えるべきと思う。
EU加盟国の裁判所は「欧州共同体設立条約(Treaty establishing the European Community: TEC)」第 234 条および「欧州連合の機能に関する条約(Treaty on the Functioning of the European Union: TFEU))第 267 条に基づき、EU の法律や規則の解釈または有効性について CJEU に予備判決(preliminary ruling)を照会・請求することができる。この照会制度は、上記の垂直的な控訴制度と対照をなす水平的な協力体制であり、EU 全域にわたって法・規則の統一的な適用を促進・担保するものである。
予備判決の照会は事件の一方の当事者が請求することができるが、照会の適否を決定するのは加盟国の裁判所(court or tribunal of a Member State)である。ただし、上記 TFEU第 267 条の後段により、事件を審理する裁判所が最終審であって、その決定に不服を申し立てることができない場合、当該裁判所は一方の当事者の請求により予備判決の照会をしなければならない。また、法・規則の適用について疑義がある場合、照会は義務づけられている。
照会を求めた裁判所は、予備判決がなされるまで審理を中断する。当事者、各加盟国、欧州委員会等は、利害関係人として、書面による意見書(observations)を提出する機会が与えられる。審理に当たっては、照会の内容について専門的知識を有する法務官(Advocate-General)が任命され、原則として書面により自己の見解(opinion)を提出するが、CJEU の裁判官は当該法務官の口頭による説明のみをもって判決を下すことができる。予備判決は中間的な決定であるから、本案判決は照会を求めた加盟国裁判所が行うが、予備判決は具体的な事案に即したものであり、本案判決の内容に直結する場合が多い。
予備判決において示された解釈は既判力(force of res judicata)を有し、照会を求めた裁判所のみならず、加盟国の全ての裁判所を拘束する。しかし、当該解釈が十分に合理的な(sufficiently enlightened)ものであるか、または、さらなる照会を要するものであるかを判断するのは当該加盟国裁判所であると判示され、一事不再理の原則は採用されていない。(以下略す)。(日本弁理士会 鈴木康裕「欧州連合司法裁判所への予備判決の照会制度」から一部抜粋)
*************************************************************************************************
【DONATE(ご寄付)のお願い】
本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。
◆みずほ銀行 船橋支店(店番号 282)
◆普通預金 1631308
◆アシダ マサル
◆メールアドレス:mashida9.jp@gmail.com
【本ブログのブログとしての特性】
1.100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。
2.本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。
このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。
3.上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。
このような経験を踏まえデータの入手日から最短で1~2日以内にアップすることが可能となった。
なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。
本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。
4.他にない本ブログの特性:すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。
その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。
他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。
5.内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。
【有料会員制の検討】
関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。
Civilian Watchdog in Japan & Financial and Social System of Information Security 代表
*****************************************************************************************************************************:
Copyright © 2006-2020 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます