5月17日、筆者の手元に大手ローファーム Fox Rothschild LLP 「GDPRのデータ管理違反に対するリトアニア共和国のデータ保護調査に基づき罰金制裁(Lithuanian Data Protection Inspectorate Levies Fine for GDPR Data Management Violations)」というブログが届いた。(筆者注1)
(1)リトアニア共和国の国家データ保護総局(State Data Protection Inspectorate)は、GDPRのデータ最小化、適切なセキュリティ対策、およびデータ漏洩の報告要件の違反について、支払サービス・プロバイダー”Mistertango” (筆者注2)に対して61,500ユーロ(約755万円)の罰金を課した、というものである。
筆者としては、その内容を単に仮訳するだけでなく、リトニア共和国のデータ保護法や保護機関等についても併せ調査したいと考えていたところ、データ保護に取り組む国際的なNPO団体である「国際プライバシー専門家協会 (International Association of Privacy Professionals.:IAPP)」(筆者注3)の詳しい解説にぶつかった。
すなわち、 (2)「リトアニア共和国におけるGDPR適用1年目を概観(GDPR implementation in Lithuania: Almost a year in review)」というレポートが届いた。また、IAPPは2018年7月16日付けで(3)「リトアニア共和国が新たな個人情報の法的保護法を適応(Lithuania adopts new Law on Legal Protection of Personal Data )」を報じている。
今回のブログは、まず、(1)リトアニアのDPAの制裁内容のブログを仮訳し、次に(3)(2)の順で同国の保護法制の内容を概観したうえ、最後に(4)データ保護影響評価(DPIA)するUE加盟国のWhitelists 、Blacklistsおよびガイダンスの策定状況につきIAPPのレポートに基づき概観する。
特に、わが国では、DPIAに関する詳しい解説自体が極めて少なく、ましてやDPIAが必要となる高いリスクのある処理の解釈に寄するWhitelists 、Blacklistsおよびガイダンスについての解説はわが国では皆無であることから、追加的に書き加えた。(筆者注4)
なお、バルト三国の1つであるリトアニアは人口281万人でEU加盟国の中でも比較的小国であるが、2004年5月にEU加盟し、それまでの対ロシア依存型経済から脱出しつつある。また、1人当たりの名目GDP(USドル)の推移を見ても、まだわが国や英国など主要国比ではなお低いが、成長率は比較的高い。(筆者注5)
2回に分けて掲載する。
1.リトニアのDPAがGDPRおよび保護法にもとづきデータ管理違反に対するデータ保護調査結果に基づき罰金
リトアニアのデータ保護総局は、GDPRのデータ最小化、適切なセキュリティ対策およびデータ漏洩の報告義務要件の違反について、支払サービス・プロバイダーに対して61,500 ユーロの罰金を課した。
*主な法令違反の重要点
① データの最小化:管理者は必要な個人情報だけを収集する。姓名、個人識別コード、銀行口座番号、使用通貨、残高、支払い目的/支払いコードのみが必要な場合は、それを収集する。
② 次のものまでは収集する必要はない:1)未報告の電子請求書の発行日、2)送信者の名前および金額未読メッセージのメッセージテキストの一部、 3)利用可能なローンの目的、性質および金額、4)年金基金の名前、単位および価値、5)クレジットの種類、6)未払い残高、7)発行されたペイメントカードの枚数と金額。
③ 必要以上に長期間、データを保存してはならない:本件では、検査官は216日間データを保持するのは長過ぎると判断した(特に保持期間が10分で適当であると想定されたときにもかかわらず)。
④ データ漏洩/侵害:インターネット上の個人データへの2日間の不正アクセスがあったことは、報告が必要な個人データの漏洩と見なした。
2.リトアニア共和国は個人情報の法的保護に関する新法を制定
リトアニア共和国の議会は、2018年6月30日に個人情報の法的保護に関する新しい法律(2018年7月11日公布、「改正個人情報保護法(Asmens duomenų teisinės apsaugos įstatymo Nr. I-1374)」(以下、「法律」という)を可決、制定した。同法(第3章第7条~第14条)に基づき 2つの監督当局(法律の監督および法執行を担当)、 すなわち、(1)国家データ保護総局(State Data Protection Inspectorate) と(2)ジャーナリスト倫理査察官事務所(OFFICE OF THE INSPECTOR OF JOURNALIST ETHICS)が規制の監視と適用を任じられた。
法律は7月16日に施行された。このため、国家データ保護総局とジャーナリスト倫理査察官事務所(法律の監督および法執行を担当)は、7月15日まで執行命令を定める義務が生じた。
全35条からなる法律はかなり簡潔で、主に監督当局の権限を具体化することを目的としている。その他で注目すべき条項は次のとおりである。
(1) 法適用の領土の範囲(Territorial scope)
法律は、リトアニアで設立された管轄官庁および処理業者、ならびに国際公法によりリトアニア法に準拠する管轄官庁に適用される。 EUで商品またはサービスを提供する事業またはデータ主体の行動の監視を行う事業に関しては、法律はリトアニアの代表者に指定された管理者および処理業者にのみ適用される。これは、例えば、アジアの事業者がリトアニアのデータ主体をターゲットにしているが、ドイツの代表者を指名している、または代表者の指定を免除されている(GDPR第27条2項)(筆者注6)、またはGDPRの第27条に違反した代理人は、法律を遵守する義務を負わない。
(2) 国民識別番号(National identification number)の保護
法律は、GDPRの第87条(筆者注7)の下で加盟国に与えられた手順の違いを利用して、ダイレクトマーケティングのために国民識別番号を処理するか、またはID番号を公表することに関し以前に確立された禁止措置を引き続き維持する。
(3) 個人データと表現の自由(Personal data and freedom of expression)
法律によれば、GDPRの第8条(こどもの同意)、第12条から第23条(データ主体の各種権利)、第25条(実装およびデフォルトにおけるデータ保護)、第30条(取扱活動の記録)、第33条から第39条(データ漏えい時通知、データ保護影響評価(DPIA)データ保護オフィサー(DPO) )、第41条から第50条(行動規範、認証および第三国または国際機関への移転の監視)、第88条から第91条(公益目的、雇用の文脈での処理、秘密保持の義務およびデータ保護の規則)の規定は、個人データがジャーナリスト目的および学術的、芸術的または文学的表現の目的で処理される場合は、その全体をもって適用しない。
(4) 雇用の過程での個人データ処理(Processing in the context of employment)
法律は、雇用の過程における個人データの処理に関してより具体的な規則を定める。これらの規則は、新しい労働法に基づく雇用者の義務と一緒に読む必要があります。法律は、関連する法律に基づく職位の要件を満たすための個人の適合性を判断するためにそのような処理が必要でない限り、刑事有罪判決および犯罪に関する見込み従業員のデータの処理を明示的に禁止している。雇用主はそのような処理について候補者に通知した後に限り、その雇用主から見込み従業員の資格または職業上の資質に関する情報を収集できるが、現在の雇用主から同じ情報を収集するには従業員の事前の同意を得る必要がある。また、雇用主は、GDPRの第13条に準拠して、ビデオまたはオーディオの監視、行動、位置または移動の追跡について従業員に「通知」するという新たな義務を負う。
(5) 子供のデジタル上の同意(Child’s digital consent)
リトアニア(ブルガリア、オーストリア、キプロスとともに)は、「デジタル同意」の年齢として14歳を選択した。14歳の子供は、情報社会サービスの直接提供に関連して自分の個人データを処理することに単独で「同意」することができる。
(6) 監督当局の権限(Powers of the supervisory authorities)
監督と法執行の権限は、国家データ保護総局とジャーナリスト倫理査察官事務所の間で共有される。後者の執行能力は、ジャーナリズムの目的および学術的、芸術的または文学的表現の目的での個人データの処理を監督することに限られる。その権限を行使するとき、ジャーナリスト倫理査察官は、データ保護法の一貫した適用を確実にするためにDPAと協力しなければならない。
法律はさらにDPAの追加権限を規定し、両監督当局が従うべき特定の手続きを規定している。
(6) 認証(Certification. )
法律は、認証機関を認定するためのDPAの新しい権限を規定している。これらの機関は、GDPRの第43条に沿って、データ保護認証メカニズムの下で認証を発行する。認定に関する規則は、DPAによって策定される。
(7) DPAの職権上の調査権(Certification. Ex officio investigations)
DPAは職権上でチェックおよび調査を実施する権利を有する。原則として、そのようなチェックと調査は4ヶ月以内に完了するべきであるが、期間はさらに2ヶ月延長されうる。調査の結果にもとづき、DPAは、行政罰金を科す権限を含む、GDPRの第58条(2)に基づくその是正命令権限を使用することができる。すべてのDPAの決定に対し、行政裁判所への控訴が可能である。
(8) 事前通知なしのアクセス調査権 (Dawn raids.)
法改正前と同様に、調査を行う場合、DPAは、事前通知なしに、自然人(裁判所命令による)および法人に(裁判所命令なし)アクセスする権利を有する。 また、DPAは、自然人および法人に、口頭または書面で情報を提供するよう要求し、またDPAの敷地内で直接証言を提供する権利を有する。
(9) 罰金に関する一般的な考慮事項(General considerations regarding fines.)
制限に関する制定法に関して、法律は、侵害の日から2年以内に、または継続的な違反の場合には侵害が判明した日から2年以内にのみ行政罰金を科すことができると定める。 公的機関および公的機関に対する下限の閾値(しきいち)は、前年度の年間予算および収入の0.5%に設定されているが、上限の閾値は1%に設定されている。 罰金はそれぞれ3万ユーロ(約3,685万円)と6万ユーロ(約7,371万円)を超えることはできない。ただし、機関または団体が商業活動に従事している場合は、GDPRレベルの罰金の対象となる可能性がある。
(10) 罰金を課すための手順(Procedure for imposing fine)
監督当局および提案された罰金の調査結果に対応するために、管理者または処理者には10営業日が与えられる。監督当局は、通常、書面の手続きで、罰金とその金額に関する最終決定を下すために20営業日を与える。場合によっては、監督当局は口頭審理を組織し、すべての当事者を訴訟に招請することを決定することがある。そのような審問内容は、別段の定めがない限り、公になる。
(11) データ主体の苦情申立権 (Representation of data subjects)
法律では、データ主体が非営利団体、組織、または団体に対して、監督当局に代わって苦情を提出することを義務付けることが認められる。 そのような事業体は、それがデータ保護の分野で機能することを証明する文書を提供する必要がある。 法律はどんな文書を提供しなければならないかを示していないが、たぶん、これはケースバイケースで評価されるであろう。法律はまた、データ権利者の義務とは無関係に、個人情報保護団体に苦情を申し立てる権利を与えていない(GDPRの第80条(2)の適用制限)。
明らかに法律はリトアニアの管理者と処理者が求めていたすべての答えを提供していない。義務的なDPIAを必要とする処理業務、DPAとの事前協議の手続き、および認証機関の要件を含む多くの重要な質問は、監督当局によってまだ採用されていない規則で対処されることになろう。
******************************************************
(筆者注1) 5月16日付けのデータ保護総局のリリースデータがある。
そのタイトルは「会社の責任は避けられないーリトアニアでは一般データ保護規則の違反に対する重大な罰金が課される」3つの違反があげられている。
1)個人データの不適切な処理(Dėl netinkamo asmens duomenų tvarkymo)
2)個人データの開示(Dėl asmens duomenų paviešinimo)
3)個人データ侵害を報告義務違反(Dėl pranešimo apie asmens duomenų saugumo pažeidimą nepateikimo)
(筆者注2) Mistertangoの企業自体及び事業内容がなお不透明であるが、ここ数年で急成長した電子決済企業であることは間違いなさそうである。リトアニアのデータ保護総局のリリース文によると「国際的に事業を展開し、リトアニア国内外の住民や企業に支払いサービスを提供している会社である。 ラトビアにも独自の支店を開設し、他の国々でサービスを提供している」とあるが、一方で仮想通貨やギャンブル通貨、さらにはマネロン対策サービスなど、情報保護法以外のコンプライアンス問題があるようである。この問題は機会を改めて論じる。
(筆者注3) Hewlett Packard Enterprise Development LP の解説から一部抜粋する。
*国際プライバシー専門家協会 (IAPP)
今把握している範囲では、IAPPだけが、本格的で信頼できる認定組織として適格であり、GDPRのスキルや知識をさまざまな資格認定 (および、そのカリキュラムと試験) に取り入れています。2000年から活動しているIAPPは、ベンダーとポリシーについて中立的な立場を維持し、自身を「世界最大の国際的情報プライバシーコミュニティ」とうたっています。
IAPPは、6名のメンバーからなる執行委員会によって指揮され、そのうち5名がIAPPの資格保有者です。その諮問機関では、世界中のさまざまな規模の企業、教育機関、業界、研究団体に所属するシニアプライバシーオフィサー、法律家、コンサルタントが、地理的地域の代表を務めています。IAPPの認定を受けた人の数は数千に及びます。そのプログラムは長く続いており、高い評価も得ています。それとともに、GDPRのスキルと知識を追加している点からも検討する価値があると一般に見なされています (おそらくプライバシーが組織にとって重要な問題になっているため)。しかも、IAPPのほとんどの資格認定がANSI/ISO/IEC 17024の基準を満たしています。(以下、略す)
(筆者注4) わが国におけるDPIAの解説としては情報保護委員会がEU指令第29条専門家会議が2017年4月4日に採択後、修正のうえ2017年10月4日に採択され“Guidelines on Data Protection Impact Assessment (DPIA) and determining whether 「Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679データ保護影響評価(DPIA)及び取扱いが2016/679規則の適用上、「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン」(全49頁)を仮訳しているだけである。(同ガイドラインの仮訳はJETROも行っている)
なお、同ガイドライン(仮訳)44頁以下でAnnex 1 –Examples of existing EU DPIA frameworks付録1-既存のEUのDPIA枠組み例が、EU加盟国のDPAが策定しているWhitelists、Blacklists、 ガイダンスにあたるといえる。そこでは、具体的な国としては、ドイツ、スペイン、フランス、英国の枠組み例がとりあげられている。
なお、わが国の解説例としては、 バード・アンド・バード法律事務所(Bird & Bird.com)ブリュッセルオフィスパートナー弁護士杉本武重「GDPRの基礎総点検~今さら聞けないGDPRの基本のキ(ミュンヘン日本人会会員企業様向け2018年7月)のスライド51頁以下(全100頁)で各加盟国のDPAが公表したブラックリストについてDPIA時に参照すべきとしているのみである。
(筆者注5) 筆者も含め、リトアニア共和国の位置さえ正確には知らないというのが現実であろう。筆者自身、本ブログの執筆にあたりあらためて主要情報にあたってみた。
【EU域内での位置】
外務省:EU加盟国と地図
EUの第5次拡大(2004年(10カ国)及び2007年(2カ国))国
キプロス、チェコ、エストニア、ハンガリー、ラトビア、リトアニア、マルタ、ポーランド、スロバキア、スロベニア(2004年)
ブルガリア、ルーマニア(2007年)
以下の地図で分かるとおり、EUの対ロシア囲い込み戦略の一環と言える。
また、リトアニアの国勢を名目GDP比でわが国と比較してみた。「世界経済のネタ帳」から引用
なお、一人当たり名目GDP(USドル) につき、中国とわが国と比較したらどのようになるであろうか。リトアニアのレベルが成長率も含め中国よりに高い。
(筆者注6) 第27条EU域内に拠点のない管理者又は取扱者の代理人
第1項 第3条第2項が適用される場合、管理者又は取扱者はEU域内の代理人を書面で明示しなければならない。
第2項 当該義務は次に掲げるいずれかの場合には適用されない。
(a) 第9条第1項で定める特別な種類のデータの取扱い又は第10条で定める有罪判決及び犯罪に関する個人データの取扱いを大規模に含まず、取扱いの性質、文脈、範囲及び目的を考慮して自然人の権利又は自由に対するリスクが生じそうにない、散発的になされる取扱い
(b) 公的機関又は団体の場合。
(筆者注7) 第87 条 国民識別番号の取扱い:
加盟国は、国民識別番号又はそれ以外の一般に利用されている識別子の取扱いのための特別の条件を別に定めることができる。その場合、国民識別番号又はそれ以外の一般に利用されている識別子は、本規則によるデータ主体の権利及び自由のための適切な保護措置の下においてのみ、これを用いることができる。
***********************************************************************
Copyright © 2006-2019 芦田勝(Masaru Ashida).
All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます