④仮名化データ(Pseudonymous data)
GDPRはあらたに「仮名化データ」の概念を持ち込んだ。仮名化されたデータ(pseudonymised data)(それは追加情報の利用によって自然人に結び付けることが可能である)等のデータは、識別可能な自然人に関する情報としてみなされるべきである。 (筆者注9)
仮名化データも、なお個人情報の一形式である。しかしながら、その使用は促進される。例えば、もし処理がもともとの個人情報を収集・処理するという目的と互換性がないと判断されるなら考慮すべき要素となる。
仮名化は、またデザインや初期設定においてプライバシーを実践するという要求条件を満たすことかつデータのセキュリティの保証義務に合致する技術例などが含まれる。
最後に、個人情報を歴史的または科学的調査または統計的に使用することを欲する機関等は仮名化データの使用があらゆる場合において義務付けられる。
⑤データ主体の明確または曖昧な「同意」
この「同意」は明確なものでなければならない。機微個人情報の処理に関する同意は計画でなければならないが、他方でその他の個人情報の処理に関する同意は必ずしも明確であることは必要ない。
なお、この同意は特定化され、情報が提供されかつ能動的なものでなければならない。同意は一定の技術的背景の選択、あるいはその他の承諾を指し示す声明や行動においても示しうる。ただし、沈黙または非反応的なものでは不十分である。
同意は自由に与えられかつ個人に損失がないかたちで同意が引き出されなければならない。契約締結時またはサービスを受けるときに、実際サービスの提供に必要でない個人情報の取り扱いにかかるユーザーの所与の同意とひも付きであってはならない。
団体等は別途の手続きにあっては別途の同意を得ることが求められる。これらの強制または包含的な同意の推定は無効である。すなわち、団体等は同意が現時点で本物かつ細かな点で内容選択が可能となるよう再検討する必要がある。
個人情報の処理は「同意」に基づくことは必要ではない。すなわち、契約上の必要性を含むEU加盟国やEUの法的な義務を遵守するもので、そこでは処理が情報コントローラーまたは別の団体等の合法的な利益にとって必要であり、またこれらの利益は個人の情報保護権により覆されないものであれば処理の根拠となりうる。ダイレクト・マーケテイングやネットワークセキュリティにかかる詐欺を阻止するための処理は、ここで言う合法的利益実行する例として引用可能である。請負グループによる従業員や顧客間の個人情報の共有も、合法的利益の例といえる。
しかしながら、公共団体の場合はこの合法的利益に基づく正当化によることはできない。
⑥子どもは同意は有効な同意が認められるのか?(Can children give consent?)
おそらく可能といえよう。13歳未満の子どもオンライン・サービス(すなわち、emailやフェイスブック・アカウントのセットアップ)で要求される個人データの処理に関する同意を与えることはできないであろう。16歳以上は彼ら自身で同意をなしうるであろう。その間の年齢層については初期値はEU家計国の法律が敷地年齢を下げていない限り親権者の同意がその同意となろう。オフラインのデータ処理に関する親権者の同意権に関する特別なルールはない。すなわち一般的なEU加盟国の意思能力に関するルールが適用される。
⑦説明責任(Accountability)、インパクト・アセスメントおよび情報保護役員(DPOs)の指名
団体等は、遵守任すなわちバランスのとれたポリシーの採用を通じてデータ保護の諸原則を推し進めるべきである。個人情報の管理者(controllers)や処理者(processors)の双方において行動規範の承認にむけたその強力な遵守が法遵守の強化方法として示されている。
個人の高度なプライバシー・リスクを含む新技術(行動モニタリング(monitoring activities)、系統的評価(systematic evaluations))が用いられる場合、または特別なカテゴリーにあたる個人情報を処理する場合等)情報管理者は詳細なプライバシーにかかるインパクト・アセスメントすなわちプライバシー侵害の評価ならびにいかにそのリスクの最小化するかにつき文書化しなければならない。再度となる制定された行動規範の遵守がその助けとなる。インパクトアセスメントの結果においてデータ主体につき実際高いリスクが生じる場合は、情報管理者は情報保護当局に関与させるとともにその見解を得なければならない。
くわえて、情報保護当局やリスト化された機微情報活動に関係する機関等の各情報管理者および処理者は情報保護担当役員(data protection officer:DPO)を指名しなくてはならない。グループ企業では、各情報保護担当役員を併合化しなければならない。
⑧透明性(Transparency)
団体等は個人の情報を処理するにつき広範囲の情報を提供することになろう。GDPRはEU全体にわたリ適用される各種の透明性に関する義務を併合している。それに関しGDPRは6頁にわたる透明化すべき情報リストを提供する、しかし、EU機関はそれを怠った場合また簡潔、透明性をもってかつわかりやすく、かつ簡単にアクセスできる手段を提供しなくてはならない。もし、欧州委員会が後日、委譲された行動においてそれらを選択したときは標準化されたアイコンの使用が可能である。
⑨強化された個人の権利
アクセス権や修正権(rectification)が保持されている。これらはアクセス要求が不合理または過度な場合に情報保護管理者を保護するいくつかの保護項目である。
「忘れられる権利(right to be forgotten)」が認められ、個人情報を公的にしうる情報管理者は情報主体の個人情報の削除要求を第三者に通知すべく合理的なステップを踏むことを義務付けている。
「忘れられる権利」は絶対的なものではない。すなわち、情報管理者は情報主体からの反対があったにもかかわらず、継続して処理を強行しうる合法的な根拠にもとづき個人情報の処理を行いうるのである。
個人はまた特定の種類の処理に反対する権利が与えられる。再度述べるが、この権利は絶対的なものでなく、管理者の利益は個人の利益を上回る。ダイレクト・マーケティング目的に反対する絶対的権利があり、このダイレクト・マーケティングのためのプロファイル化についても同様である。
完全に自動化された意思決定(automated - decision - taking)に関する管理者の能力は、その決定が法的効果や挙げたりまたは同様に個人に重大な影響を与えるときは制限されねばならない。
個人はそのような処理に反対する権利がある。個人に対する適切な保護が導入されねばならない。もし、処理が実行されたり、履行することが必要な場合、次の段階たる契約において個人は処理に反対する権利はなくなろう、しかし、人間の介入権(human intervention)や請願権はある。
新たに「データの移送・携帯性(data portabolity)」の権利を持ち込んだ。個人がサービスプロバーダーの情報を提供する場合、別のプロバイダーにデータを移行(port)を求めたり、技術的に実現可能とすることがある。しかしながら、このなおこの点につきデータ管理者に課されるデザインやデフォルト設定におけるデータ保護の要求をどのように交流させるかという内容は不明である。
⑩データ管理者およびデータ処理者
現行のEUシステムでは管理者は処理者の行動につき責任を負うことが維持されている。しかしながら、情報の移送等特定の分野においては最新時は処理者が直接責任を負う。
処理者の指名にかかる契約はさらに詳細なものでなければならない。すなわち、とりわけGDPRは処理者は下請け処理者の指名およびEEA以外へのデータの移送につき承諾を得るよう明記する。またGDPRは管理者の処理者を監督する権利を正式に定める。
標準化された契約が見込まれる。
⑪損害と罰則
個人は、物質的にまたは非物質的な損害賠償を管理者または処理者に要求する権利を有し、またGDPRに規定がある場合または管理者の合法的な命令の範囲外の行動につき処理者は情報漏洩につき直接責任を負う。
団体等は、損害を引き起こした出来事につき責任を負わないことの証明責任を負う。
複数の管理者や処理者がデータ処理にあたる場合、その中にいずれかの者が損害の責任を負うとするならば、当該個人に対し、すべての損害責任ー他の管理者からのクローバック補償能力(claw back compensation) (筆者注10)にもかかわらずーを負う。
監督当局は、違反されたGDPRの特別な規定に従い罰金刑を課す権能を有する。その罰は一層悪化するまたは軽減する要素に適合しうるものとなる。最高刑は前年の世界的に見た事業の総売上高の4%となろう。GDPRにはより小規模な規定違反に付き総売上高のいうというキャップが定められている。
⑫ワン・ストップ・ショップ(あるいはそうでない?)
GDPRは、データ保護法の監督方法につきプロセスを革命的に見直した。特定の国内法判断以外に主なまたは単一的な体制をもつ団体等が存するEU加盟国にあるリードする立場にある監督機関がGDPRを規制する。
監督当局は他国の当局と連携かつ協調する詳細な構造が定められ、欧州情報保護委員会(GDPB)の創設につき監督機関間で意見の不一致の調整過程にある。
GDPBは、EU加盟国の監督当局の1人の代表と欧州委員会の代表(選挙によらないで)からなることになろう。
⑬ファイリングおよび記録の保持
関係する監督当局に規定通りの通知書を提出する従来のシステムは廃止された。しかしながら、その代わりに管理者と処理者の双方が彼らが実行する内部手続きの記録(処理者、監督者、合同監督者の氏名並びに接触の詳細)が必要となろう。250人以下の中小企業(SMEs)についてはこの文書化要求は例外とされる。
ただし、この中小企業の例外規定は当該団体等がリスキーな処理を行っていたり、機微情報を扱っていたり、刑事事件の有罪判決情報あるいはまれでない処理については適用されない。この最後の規定に関し多くのオンラインスタートアップは引き続き文書で保持されねばならない。
⑭個人情報のセキュリティが破られた場合の監督当局やデータ主体等への通知義務
管理者はセキュリティが破られた場合、次の通り通知義務を負う。
・a.監督当局に対するもの
遅滞なくかつふさわしい場所でセキュリティが破られたことを検知してから72時間以内に行う。
○当該個人にとって結果としてリスクが発生しようがないと判断されるときは報告義務はない。ただし、団体等は破られた記録の保持は行わねばならないし、その結果、監督当局は遵守の有無を調査可能である。
○この通知は漏洩の本質の詳細内容並びに規模(データのタイプ;個人数;影響を受ける記録数)を含む。
○ありうる結果とリスクの軽減手順も提供されねばならない。
・b.個人データ主体に対するもの(ただし、彼らに漏洩が高いリスクを生じると思われる場合のみ)
○通知は遅滞なく、明確な言語によりかつリスクを軽減する手順内容を含み、更なる情報の入手のコンタクト・ポイントを含む必要がある。
○リスクが軽減された場合(すなわち、データの暗号化また管理者のデータの漏洩の郵送通知)
○通知は一定の状況において公的な公表によっても行いうる。
処理者は管理者への通知義務があるが、監督当局や個人に対する通知義務はない。
⑮データの移転(Data Transfers)
現行システムは改善を加えつつ、広く移転を認めている。個人データの移転に関する既存のGDPRにも引き継がれた。欧州委員会は現行の根拠に基づきそれらのステイタスの見直しをすすめているものの、標準的契約条項およびホワイト・リスト国家(white listed countries) (筆者注11) は特別なステイタスを保持している。
拘束的企業準則(Binding Corporate Rules:BCRs) (筆者注12) にもとづく承認もなお有効のままであろう。また、GDPRは管理者や処理者にとって現行の要求内容を法律として記載している。この点は、なおBCRsの未承認の数少ない国々にとって役立つものといえよう。
標準的契約条項に基づく移転の現行手続では通知は義務化されまた保護機関により承認規定は廃止された。
(2)Bird & Bird 「guide to the General Data Protection Regulation」
基本的には、全文で66頁にわたるGDPRのガイダンスである。前述した解説の(1)を基本としつつ構成を見直し、また各項目ごとに「At a glance」「To do list(取扱事業者の取り組み課題のチェック)」「コンメンタール」という構成をとっている。
逐一の仮訳は時間の関係で略すが、大項目と中項目のタイトルのみ訳しておく。
a.適用範囲、予定表および新たな概念
①テリトリーから見た範囲
②新しくかつ重要な変更した概念
b.諸原則
①データ保護の諸原則
②情報処理のおよび更なる処理の合法性
③合法的(正当)な利益
④データ主体の同意
⑤子どもの同意
⑥機微情報および合法的情報処理
c.個人の諸権利
①情報通知を受ける権利
②アクセス権、修正権と個人報を携帯する権利
③反対する権利
④削除および処理を制限させる権利
⑤プロファイリングおよび自動意思決定の制限
d.説明責任、セキュリティおよび情報漏洩時の通知義務
①個人情報の統治義務
②個人情報の漏洩と主体への通知義務
③行動規範とその認定
e.個人情報の移送
f.規制監督機関
①監督当局の任命
②能力(competence)、任務および権限
③監督機関間の協調と一貫性
④欧州データ保護委員会の設置
g.法執行
①救済および民事責任
②行政上の罰金
h.特別なケース
規範の逸脱および特別な条件
i.委任行動と適用行動
(3) GDPRの主要な改正点を一覧でまとめた資料
2016.8.3 Privacy Law Blog「An Overview of the New General Data Protection Regulation 」の一覧を仮訳する。
(4)GDPRの逐条的な解説レポート
2016.5.10 Conflict of Laws net「The EU General Data Protection Regulation: a look at the provisions that deal specifically with cross-border situations」がある。
(5)EUの人権擁護団体である”ENISA”レポート
独自にGDPRについて意見や今後実施時期までの2年間の取り組むべき課題等を整理している。
2016.1 ENISA「ENISA’s Position on the General Data Protection Regulation (GDPR)」(全3頁)
*************************************************
(筆者注9) わが国の改正情報保護法では「匿名加工情報」の概念を持ち込み「一定の制度的保護措置(提供先での本人を識別するための行為の禁止、第三者提供する旨の公表等)を取ることで個人のプライバシーに与える影響を少なくし、本人同意なく第三者提供と目的外利用を可能とした。この点に関し、国際社会経済研究所 小泉 雄介「個人情報保護についての基礎および最新動向」において詳しく論じている。
(筆者注10) クローバック(clawback)とは、一般に、業績連動型報酬において報酬額算定の基礎となる業績の数値が誤っていた場合、又は、エクイティ報酬において株価が誤った情報を反映して不当に高くなっていたために報酬額もそれに比例して高くなったという場合に、水増しされた報酬を会社に返還させることを指して用いられる。このような報酬返還義務を定める報酬契約の条項はクローバック条項と呼ばれる。( 「役員報酬の在り方に関する会社法上の論点の調査研究業務報告書」45頁以下でclaw back 条項につき経緯も含め詳しく解説している。
(筆者注11) 人権(政治亡命への適用は根拠がないと思われる)に対する取るに足らない脅威をもたらすために考慮されるべき国のリストをさす。辞典参照。
(筆者注12) EUからEU域外への個人データの移転(域外移転)に関する解説を一部引用する。「(1) 現行指令の下における規律
まず、現行指令の下では、個人データの保護措置の十分性が確保されていると認定された国等に対して移転する場合を除き、原則としてEU域内からEU域外への個人データの移転は禁止されている(現行指令25条)。なお、日本はこの十分性の認定を受けていない。
例外的に、①データ主体たる個人が、予定されている移転に対して明確な同意を与えている場合などの一定の場合(同26条1項)、②グループ企業内で情報を移転するための拘束的企業準則(Binding Corporate Rules、同条2項)の承認を受けている場合、③標準契約(Standard Contractual Clause、同条4項)を締結している場合には、EU域内からEU域外への個人データの移転が認められる。(2016年2月17日 西村あさひ法律事務所・弁護士 石川 智也「発効が迫るEUデータ保護規則と日本企業にとっての留意点」から一部抜粋。
**********************************************
Copyright © 2006-2016 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます