(E) 一般的な処理 (General Processing)
法案第2部第2章は、GDPR内で利用可能ないくつかの適用除外(derogations)を実行している。2017年4月12日、政府は「EUの一般データ保護規則の適用除外に関する意見募集(Call for views on the General Data Protection Regulation derogations)」を公表し、2017年8月7日には、受け取った各意見への回答を政府の声明と共に発表した。
① 定義
21 GDPRに使用されている主要用語は1998年法とほぼ一致しているが、法案はさらなる一貫性を達成することが可能な場合には例外規定を利用している。GDPR第4条(7)は、個人データの処理の目的と手段を決定する法人または自然人としての「管理者」が何を意味するのかを定義する。これは1998年法と内容が類似しているが、1998年法の第1条(4)は、制定法のもとで処理が要求される場合に、誰が管理者であるかを明確にすることによってさらに進んでいる。この法案は、1998年法第1条(4)の明瞭さが保持されることを保証する。
22 「公的機関」という用語はGDPRに定義されていない。このため法案の明確さと法的確実性のため、この法案は「2000年情報自由法(Freedom of Information Act 2000)」と「2002年スコットランド情報自由法」の定義を採用している。
② 処理の合法性
この法案は、”GDPR”が提供する強化された権利を前提として、既存のデータ処理を原則継続できるようにするために起草されたものである。
24 両親や後見人という個人情報の処理に同意する者は、情報社会サービスを利用する子供のために個人情報処理に同意しなければならないと”DGPR”が規定している理由を、ある程度理解する必要がある。GDPRにより、英国は、13歳から16歳までの任意の年齢の子供にこのようなデータ処理に同意できる最小年齢の閾値を設定することができる。1998年法はこの問題につき言及していないが、ICO委員会のガイダンス は、「12歳未満の子供から個人情報を収集する前に、ある種の親の同意が必要となる」と提案している。この法案では、起草されたとおり、13歳以上の子供が情報社会サービスの提供者によって処理される個人データに同意することを認めている。
明示的な主体の同意が得られない限り、個人情報のうち特別なカテゴリー(前記の人種、政治的意見、健康などに関するデータ)の処理は、一般的に禁止されている。しかし、”GDPR”は、特定の状況において処理を同意せずに行うことを可能にし、場合によっては国内法がこの処理を条件として保護を規定することを可能にする。 個人データの最も慎重な個人情報を確実に保護するための適切な保護手段を使用して、情報の特別なカテゴリおよび刑事告発および犯罪データの処理を行う必要がある。この種のデータとしては、金融サービスにおけるリスクのプライシングやスポーツにおけるアンチドーピングプログラムの運用など、正当に使用される多くの状況がある。
この法案は、この種の情報の処理を可能にする1998年法における現行規定を複製している。この法案は、組織が個人の権利間のバランスを達成しながら情報を合法的に処理し続けることを確実にするために、「実質的な公益」目的のための継続的な処理を可能にするために、この法案は、附則2および附則3の第5項において1998年法ならびに「データ保護(機密データの処理)命令2000(SI 2000/417)」の効果を大部分を維持することを目指している。
個人の明示的な同意なしにこれらの特に機密データの処理を正当化する将来の状況がどのようになるかを予測することは不可能である。例えば、2009年に当時の内務省長官は、1989年4月15日に発生した災害を調査するためヒルズボロー独立委員会(Hillsborough Independent Panel) (筆者注6) (筆者注7)を設立した。ヒルズボローの開示措置の範囲内で公的機関が保有する情報には機密データが含まれていたため、個人または団体がそのようなデータを開示することが適切な場合に可能であることを疑う余地がないことを確実にするために、「2012年データ保護(機密データの処理)命令(SI 2012/1978)」を発布した。今回の法案は、この種の予見できない状況を管理するために必要な権限を国務大臣に与える。
27 ”GDPR”は、個人が、自動化された処理のみに基づいて行われた決定に異議を唱える権利を与えた。これらの決定には、法的またはその他の重大な影響がある。これには、人間の介入がない場合の処理、例えば、個人の金融資産についてデータを収集した後、当該個人の信用力を計算する処理などが含まれる。GDPRは、消費者を不正確な処理から保護し、国内法で提供するための追加のセーフガードを可能にする。本法案は、1998年法の第12(2)項に規定されている追加的な保障措置を適用し続けるべきであり、本法案は適切な規定をコピーし,取り込んでいる。
③個人の権利
個人が個人情報に関連する通常の権利を例外とすることが適切である限られた状況がいくつかありうる。健康、社会保障、教育という文脈では、人に開示されていないという条件でのみ提供される情報が記録されることもある。すべての情報が開示されていれば、情報は提供されず、これにより懸念が払拭される、。1998年法および同法の権限に基づく様々な命令は、個人の権利に対する免除を規定している。例えば、 「データ保護(Subject Access Modification)(Health )Order 2000(SI 2000/413)」は、個人の身体的または精神的健康または状態に関する情報からなる個人データに適用される。これは、裁判所の手続きをカバーし、子供の世話に関係する手続において裁判所に提出された特定の報告書の機密性を本質的に保持するものである。今回の法案は、この種の免除が引き続き適用されることを保証している。
29 1998年法には、無能力(incompetence)、過誤(malpractice)、不正(dishonesty )または著しい不適切(improper)な行為から人々を守る機能を果たす監視機関や慈善団体、ビジネスにおける公正な競争健康安全のための監視機関などが、規制機関が保有する個人情報に関する個人の権利を奪うための例外も含まれる。適切な例外規定がなければ、汚職公務員につき、彼または彼女の汚職がどのように露呈しているかを知ることができないかもしれない。同様に、政府は、司法が彼らの仕事を行うための「安全な空間」を確保するために、裁判官が判断に至るまでそのような記録を自由に作成することができるよう、例外が存在し続けなければならないと考えている(注釈や記録された議論など)は、議事の当事者によって調査されたり、挑戦されたりすることがある。この法案は、この種の例外が利用可能であることを保証している。
30 場合によっては、現在進行中の調査が行われている場合に個人の権利を制限する公共政策という理由もある。法執行機関による調査は”GDPR”の対象外であり、法案は別途規定(下記参照)を置くが、個別の権利を適用する要件の例外から他の調査が利益を受ける場合もある。例えば、1998年法第29条(1)は、歳入関税庁(HMRC)に特定の犯罪や課税の目的を損なう可能性があり、特定の個人データを提供する場合に、主体のアクセス要求を提出する個々の顧客から、特定の個人データをケースバイケースで差し控えることを認めている。また、HMRCは、継続的な税務調査について顧客に謝罪を求める場合に、第三者から個人情報を取得する際に、個々の顧客に特定のプライバシー通知を送信する義務がないことを定める。本法案は同等の条項を定めている。
31 1998年法では、研究、歴史的または統計的目的でのみ処理される個人データは、情報主体のアクセス要求から適用除外されている。本法案は、”GDPR”の第89条(2)および(3)のすべての適用除外を行使して、研究機関および保管サービスはデータ主体のアクセス要求が著しく害するもの又はその目的を阻害するときは対応は不要とする。さらに、法案には、研究機関が是正措置の権利を遵守する必要がなくなり、さらなる処理と処理の妨げとなることがなくなり、作業を完了する能力を著しく阻害するような適用除外を行使するための規定が含まれており、適切な組織の安全対策データを安全に保つために配置されている。 事実、これらの適用除外(例外規定)は現状を維持するものである。
将来的にどのような問題が保護に値する一般公衆の重要な目的と考えられるかを予測することは困難であるため、これらの目的を保護するためにどのような権利と義務を制限する必要があるかを予測することも困難である。したがって、本法案は国務大臣に今後さらに例外を定める権限を与える。
④その他の一般的な処理
”GDPR”の第2条(2)は、EU法の対象外にあるにある活動の過程で個人データの処理につき適用しないと規定している。EU法の範囲内であるか外れているかの評価を情報管理者が行わないようにするため、法案は”GDPR”基準をデータ処理に拡張する条項を含む。情報管理者と処理者が単一の標準を適用できる単純なフレームワークを作成することができる。
34 本法案は、”GDPR”の関連条項を、附則6(適用されているGDPRスキーム)に定められているEU法の範囲外の一般データに適用することによって、これを達成する。 法案は、”GDPR”の条項を適用する際に、EU法が適用されない文脈に関連するように、いくつかの変更を同時に行った。関連する権利と同様にデータ処理に関する制限と保護手段を適用することが適切であるが、EU加盟国とEU機関への言及は関連性がなく、削除されている。
35 英国がEUを離脱するとき、EU法の範囲外と英国内の一般的なデータとは区別されなくなる。政府の意図は、”GDPR”の基準が法案第2編の英国内のデータ処理に引き続き適用されることである。”DGPR”が英国の国内法に導入された場合、欧州連合(撤回)法案の権限を使用して、政府は GDPRのデータ処理基準を適用する国内の法的根拠を単一のものにすることができる。
36 ”GDPR”は国家安全保障データ処理には適用されず、法案はEU法の範囲外のデータ処理に対する国家安全保障への適用除外を提供する。
(F) 国家安全保障や法執行処理時の保護法の適用除外
37 国家安全保障はEU法の範囲外である。その結果、国家安全保障活動に関連する個人データの処理および国家安全保障問題に対処する機関または機関による処理は、GDPRまたは法執行指令の対象外である。
法執行のための個人データの国内処理は、現在、1998年法によって規制されている。欧州経済領域(EEA)の加盟国間における法執行のための個人データの送信は、「2014年刑事司法およびデータ保護(第36号プロトコル)規則(Criminal Justice and Data Protection (Protocol No. 36) Regulations 2014)(SI 2014/3141)(「2014年規則」という)」の第4編の規定に従うものであり、、刑事事件における警察と司法協力の枠組みの中で処理される個人データの保護については、2008年11月27日に英国の「法改革委員会の枠組み決定(2008/977 / JHA 1)」に移行した。2014年規制の第4編は、刑事犯罪の防止、捜査、犯罪刑の執行または刑事罰の執行について、他のEEA諸国の管轄当局に利用可能な個人情報を送信または提供する際に、EEA諸国の管轄当局に適用される法的枠組みを確立した。そのような場合には、その部分によって規定されている場合を除き、1998年法の代わりに2014年規則の第4編が適用される。
38 ”GDPR”は、刑事犯罪の予防、捜査、取り調べ、起訴、または刑事罰の執行の目的で、管轄当局(広範には警察およびその他の刑事司法機関を含む)による個人情報の処理には適用されない。(GDPR第2条(2)(d)を参照)。代わりに、”GDPR”と並行して、欧州議会と欧州連合理事会は、「予防、捜査のために管轄当局による個人情報の処理に関して自然人の保護、刑事罰の執行または刑事罰の執行、そのようなデータの自由な移動、およびCouncil Framework Decision 2008/977 / JHAの廃止に関する法執行指令(Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA)」(EU:2016/680 )を採択した。
39 ”GDPR”とは異なり、この法執行指令(LED)はEU法に直接適用されるものではない。したがって、法案第3編(”GDPR”、”LED”および情報サービス制度に適用される第5編から第7編までの規定とともに)は、”LED”の規定を英国の法律に転用する。
40 LEDの適用範囲は、その第1条(筆者注8)に規定されており、法執行の目的で管轄当局による個人情報の処理に関係している。この管轄機関とは、公安に対する脅威の防止と防止を含む刑事罰の執行、捜査、起訴、取り調べ、刑事罰の執行を管轄する公的機関を指す。さらに、所管機関は、EU加盟国の法律によって、刑事犯罪の予防、捜査、刑事罰の執行または保護の目的で公的権限と公的権限を行使することを委任された他のいかなる団体または団体公安に対する脅威の防止と阻止を目的としている。この定義には、英国のすべての警察官、検察官、その他の刑事司法機関だけでなく、HMRC、安全衛生庁(Health and Safety Executive :HSE) (筆者注9)、ICOなどの法執行機能を持つ組織も含まれる。
41 法令執行上の目的で個人情報の越境処理(パラグラフ57参照)に関してのみLEDが適用されるが、第3条は、そのような目的のための個人情報の国内処理にも適用されると定める。これにより、法執行部門全体の法執行目的で個人データを処理するための単一の国内および国境を越えた体制が確保される。 ”GDPR”の規定は、法案の第2編第2章に記載されている細分化と併せて、社内の人事管理/人事目的など、法執行上の目的以外の目的で法執行機関による個人データの処理にも適用される。
42 EU 加盟国は、2018年5月6日までに”LED”に影響を及ぼす国内法の制定、適用することが義務づけられている。
*****************************************************************************
(筆者注6) ヒルズボロー独立委員会(Hillsborough Independent Panel)報告に関する下記の解説例を参照されたい。
「ヒルズボロの悲劇(Hillsborough disaster)とは、1989年4月15日にイングランド・シェフィールドのヒルズボロ・スタジアムで行われた、サッカー・FAカップ準決勝のリヴァプール対ノッティンガム・フォレスト戦において発生した群集事故である。
「テラス」と呼ばれるゴール裏の立見席に収容能力を上回る大勢のサポーターが押し寄せ死者96人、重軽傷者766人を出す惨事となったことからイギリスのスポーツ史上最悪の事故と評されている。事故原因について当初はフーリガニズムとの関連性が指摘されたが、同年8月と1990年1月に公表されたテイラー・レポートは警備側の観客誘導の不備にあったと結論付けた。同レポートを基にスタジアム観戦のための新たな施策が導入され、イングランドサッカー界を取り巻く環境を一変させたが、その一方で責任を負う立場にある個人や団体に対する追及が積極的に行われることはなかった。
事故から20周年を迎えるにあたり全記録文書の開示を求める機運が高まると同書の調査を目的とした「ヒルズボロ独立調査委員会」が設立され、2012年9月12日に公表された報告書により観客誘導の不備のほか、緊急サービスの遅延や不十分な医療措置、警察関係者により捜査資料の改ざんや意図的な情報誘導が行われたことが明らかとなった。同年12月19日、高等法院は死因審問の評決を破棄し審理のやり直しを命じると、2016年4月26日に警備責任者の過失を認め、犠牲者は不当に亡くなったとする評決を下した。(Wikipediaから抜粋、引用)
(筆者注7) ヒルズボロー独立委員会(Hillsborough Independent Panel)報告が提起した問題は、公文書管理にかかる内閣など行政の透明性、説明責任等に関し、各国共通の課題を投げかけた。
実際、わが国でも平成24年7月30日から24年10月10日の間に内閣官房を中心とする「閣議議事録等作成・公開制度検討チーム」と「同チーム・作業チーム」による検討が行われた。その最後の会合で以下のとりまとめ文が出されているが、その後の検討はどうなったのか。また、最終回で提出された資料のうち資料2「閣議の議事録等の作成・一定期間経過後公開ルール」に関する海外現地調査について」でヒルズボロー独立委員会の実地調査結果を詳しく紹介している。
*閣議議事録等作成・公開制度検討チーム 作業チーム 「閣議等議事録の作成・公開制度の方向性について(修正案)」
閣議の議事録等については、閣僚同士の議論は自由に忌憚なく行われる必要があること、また、内閣の連帯責任の帰結として、対外的な一体性、統一性の確保が要請されていることから、これを作成し公開することは適当でないとされてきた。
昨年4月に施行された公文書等の管理に関する法律(平成21年法律第66号。以下「公文書理法」という。)は、閣議等の政府の重要な会議について一律に議事録等の作成を義務付けるものではない。しかし、原子力災害対策本部を始め東日本大震災に対応するために設
置された会議において議事録等が作成されていなかった問題を契機として、政府の重要な意思決定にかかわる会議については、「行政が適正かつ効率的に運営されるようにする」とともに、「現在及び将来の国民に説明する責務が全うされるようにする」という同法第1条に掲げられた公文書管理制度の目的に照らし、議事録等を作成し、保存していくことが望ましいのではないかと考えられるようになってきている。
なかでも閣議は、内閣の最高かつ最終的な意思決定の場であるため議事録等を作成することが望ましいと考えられるが、その一方で、議事録等が比較的短期間のうちに公開されれば、憲法上の連帯責任を負う内閣の一体性、統一性を確保しつつ自由な意見交換を行うことができなくなるという問題がある。
この点について、我が国と同様に議院内閣制を採用するイギリスやドイツにおいては、記録の作成・保存と公開は分けて考え、閣議の議事録等を作成・保存した上で、一定期間は原則非公開とすることにより、このような問題を回避している。
このため、当作業チームとしては、このような制度を参考にしつつ、以下の方向性により、閣議の議事録を作成し一定期間後に公開する仕組みを制度化することとし、公文書管理法を改正して所要の規定を置くことを提案する。
(筆者注8) LEDの第1条(Subject-matter and objectives)の原文を引用しておく。
1. This Directive lays down the rules relating to the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security.
2. In accordance with this Directive, Member States shall:
(a) protect the fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data; and
(b) ensure that the exchange of personal data by competent authorities within the Union, where such exchange is required by Union or Member State law, is neither restricted nor prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data.
3. This Directive shall not preclude Member States from providing higher safeguards than those established in this Directive for the protection of the rights and freedoms of the data subject with regard to the processing of personal data by competent authorities.
(筆者注9) HSEは新しい安全衛生法や基準を作り、国際的な舞台、特に欧州連合の中で活動しています。 特に次のような仕事に従事しています。
•作業場の監督
•事故や職業病事例の調査
•正しい基準の執行。
そのために普段は法律の順守を人々に助言しますが、改善を命令したり、 必要な場合には訴追などの手段も取ります。
•指針や勧告の公表(publish)
•情報サービスの提供
•研究の実施
•核施設の認可や沖合い施設の安全の認可など、各種の活動
(国際安全衛生センター資料から一部抜粋)
**************************************************************************************
Copyright © 2006-2017 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます