イギリスやアイルランド等における新型コロナウイルス感染拡大に伴う企業等の公衆衛生上の緊急時の従業員等のプライバシー保護とGDPRや国内法遵守問題への取組み(その2)

　

　Last Updated 04/21/2020

　筆者は、本問題につき、すでにイタリアやデンマークの取組みをblogで取り上げた。その後、1)グローバル展開を行う“FieldFisher LLP”が新型コロナウイルスとGDPRの解釈問題を正面から取り上げ、また2)そのほかのローファームがイギリスやアイルランドさらに小国であるルクセンブルグにつき、この問題を国内法とのかかわりを含めた解説を行っており、改めて取り上げることとした。

　この問題は、パンデミックという非常事態の中でややもするとぞんざいな扱いとなりがちの問題であるが、逆にこの時にこそ雇用主等はコンプライアンスの在り方を正しく理解すべきである。

　この両レポートの解説内容はどうしても重複する部分が多いが、あえて主要部を紹介・仮訳する。

　なお、この問題をEU加盟国のプライバシー監督・監視機関を詳細にフォローしている大手ローファーム” Covington & Burling LLP”は最新サイトでEU加盟国の各機関最新動向のURLをリンクさせている。各機関のリリース内容を解釈するにはなお時間がかかるためここでは筆者の責任でⅤ項でリンクのみ貼る。

Ⅰ．2020.3.10 FieldFisher LLPレポート「コロナウイルスとGDPR –冷静を保ち続けられるか？(Coronavirus and the GDPR – keep calm and carry on?)」
　その主な概要を仮訳する。

・・・ほとんどの人（すべてではないが）はすでに多くのニュースを聞いている。季節性インフルエンザに似た厄介な新しいウイルスである新型コロナウイルス（Covid-19）が世界中を浸透している。　　　　　　　　
　しかしながら、Covid-19には別な危険な特性がいくつかある。例えば、感染力が高いだけでなく、感染者は感染初期の段階で症状を示さない場合がある。これにより、公衆衛生上の理由から、このウイルスにさらされた人々は、彼らがさらされたことに気づき、ウイルスの広がりを緩和するための早期措置が取られることが非常に重要になる。
ただし、これはEUの一般データ保護規則（ "GDPR"）と公衆衛生が対立しているように見える場所である。Covid-19に感染した人々のプライバシーをどのように保護しながら、危険にさらされている人々に有用な情報を提供するか？公衆衛生の緊急時に、GDPRは後座席に座るべきではないか？という問題である。

　企業等がCovid-19の潜在的な悪影響に対処するために新しいプロセスを導入するのに苦労しているため、このブログの目的は、EUのデータ保護法(GDPR)がこの異常な状況にどのように適用されるかを強調することにある。新型コロナウイルスの時代にデータ保護コンプライアンスを確保するためのFieldfisherが行う重要なヒントは次の9点である。

1. パニック要因に屈してはならないー法律は依然として法律である
　まさにそうである。企業等は、コロナウイルス・プロトコル(新型インフルエンザ対応手続き)を実施し、従業員の暴露リスクを制限する方法について従業員に最善の助言を与えるために、従業員に関する個人情報を収集して使用する必要がある場合がある。ただし、これは時間に依存する問題である可能性があるが、データ保護法の要件は、企業等がこれらの目的で使用する個人情報にも適用されることを忘れてはならない。

2.健康情報は機密情報である。企業等は何を収集しており、それは何が根拠か？

　EU一般データ規則(GDPR) 第9条では、個人の健康に関する情報は「個人データの特別なカテゴリ」であり、より高度な保護を定めている。これは、従業員の健康に関する情報を合法的に収集して使用するために、会社等はGDPR第9条に基づく根拠を満たす必要があることを意味する。

　英国では、雇用者がコロナウイルスに関連して労働者を保護できるようにするための最も有用な根拠は、GDPR第9条（2）（b）（「雇用、社会保障および社会保護(field of employment and social security and social protection law)」）である可能性が高い。これは、英国では「1974年労働安全衛生法（Health and Safety at Work Act 1974）」に基づいて、企業がスタッフの健康、安全、福祉を守るための合理的な措置を講じる必要があるためである。そのため、企業等は、健康と安全を守るという会社の一般的な義務の一部として、特定の情報（確認された診断に関する情報など）を収集することが合理的である。実際、雇用主がコロナウイルスに関連して果たす役割を持つ概念は、 Covid-19の取り扱いに関する雇用主および企業向けの英国の最近のガイダンス（以下、「英国ガイダンス」）で強調されている。

　ただし、雇用主が従業員または訪問者について健康と安全の目的で収集しようとする情報には制限がある。英国ガイダンスは、雇用主が間違いなくコロナウイルスに関して従業員とやり取りすることを明確にしているが、これは通常、先制的なコロナウイルス戦略のために情報を収集するのではなく、従業員への情報提供と支援に関係している。その代わりに、伝染の事例を特定し、企業が対応するために適切な措置を講じる責任があるのは、NHSと他の医療専門家である。

　この役割の分離は、企業が従業員または訪問者にコロナウイルス症状の存在についての情報を開示することを義務付けられないことを強調するGarante（イタリアのデータ保護規制監督機関）によって発表された最近のガイダンスでも強化されている。代わりに、Garanteは、コロナウイルスの拡散を防止する目的での行動は、これを行うための正しい資格を有する個人（医師や医療機関など）によって実行されなければならないことを強調している。

　このウイルスの進行が続くにつれて、企業は政府からの最新情報に遅れずにとどまる必要がある。政府は、コロナウイルスに関連して事業を許可または期待する方法に関する追加の地方法の要件またはガイダンスを導入する可能性がある。

3.これは、コロナウイルスに関する情報を収集してビジネスを危機に導くことができないという意味か？
　いいえ。企業が従業員の健康、安全、福祉を保護するためにコロナウイルス危機への対応に役立つ情報を収集している場合、これは通常9（2）（b）の根拠の下で受け入れられ、 「最初に行い、後で尋ねる」メンタリティ（上記参照）（または、まれに、第9条（2）（c）（「重要な利益」）に基づく。雇用主は、第9条（2）（h ）GDPR（「健康とソーシャルケア」）は、コロナウイルスに起因する従業員の欠勤を管理するのに役立つが、企業が商業的な観点から、アウトブレイクに対処するための一般的な最適な配置を検討している場合、第9条に基づく他の理由で、その活動を正当化しようと試みるが、これは、ビジネスのコンプライアンスの負担を増やすことにもなる。

　たとえば、コロナウイルスに関する健康関連情報を使用するために、GDPR第9条（2）（g）に基づく実質的な公益的根拠に頼ろうとする場合、企業はその正当な利益が個人の権利と自由によって上回らないようにするため、正当な利益評価（legitimate interests assessment：LIA）およびGDPRガイダンスを実施することが期待されるが、これは理にかなっている。これは安全衛生消防や重要な管理計画ではなく、これは商業的位置付けと見なされる。また、会社はデータ保護影響評価（Data Protection Impact Assessment ：DPIA）を実行する必要がある。企業がLIAまたはDPIAで評価する必要のある要因の一部は、このブログの残りの部分で説明されている。

　さらに、これまでと同様に、企業等が2018年英国データ保護法（Data Protection Act 2018)：DPA 18）の対象であり、GDPRの第9条の特定の規定に依存する場合、ビジネスは以下の条件を満たす必要がある。そのため、これらの根拠を使用して新型コロナウイルス情報の処理を正当化する場合、企業はDPA 18の要件を反映するために、「適切なポリシー文書」および第30条GDPRレコードを最新の状態に保つ必要がある。

4.誰が知る必要があるのか？あなたの従業員の個人情報を保護するべきである

　企業は、保有する個人情報を適切な基準で保護する必要がある。新型コロナウイルスに関連して従業員に関し収集された情報（特に健康情報）が懸念される場合、企業は、従業員について収集および使用する一般的なBAU情報よりも高い基準でこの情報を保護することが期待される。この情報へのアクセスは、「知る必要がある」ベースに制限されるべきであり、より広く共有されるべきではない。厳密に必要でない限り、感染した従業員について「名前」を付けてはならない。

　スタッフに新型コロナウイルスの状態に関する最新情報を提供する簡単なルートを提供する。 「コロナウイルス・ホットライン」を提供することを検討されたい。そのため、スタッフは、コロナウイルスに関する懸念を報告するために電話をかけるために使用できる明確な報告ライン（適切な機密保持の対象となる個人によって作成される）がある。これにより、報告された情報（およびウイルス）の拡散を防ぐことができる。

5.データの最小化原則は依然として最高基準である。必要なものだけを収集するために明確なプロトコルを設定する。
　GDPRの基本原則はデータの最小化である。つまり、指定された目的に必要な情報以上の個人情報は収集してはならない。新型コロナウイルスに関連して、ボートを押し出して従業員に関するあらゆる種類の情報を要求するのは魅力的である。たとえば、心配している場合は、友人の友人が現在、新型コロナウイルスのホットスポットから帰国しているために感染のリスクがある可能性がある。誘惑に負けないでほしい。従業員にリスクの可能性に関する個人情報を提供するよう依頼するときは賢明であり、本当に必要な以上のものを要求してはならない。関連する問題に関係のない個人から情報を受け取った場合は、それを即削除すべきである。

6.透明性が重要
　個人情報の使用と同様に、事業者が情報を収集している理由、それがどのように使用されているか、およびそれに関する従業員の権利が何であるかは、個人に明確でなければならない。特に新型コロナウイルスの問題に対処するために新しいデータタイプを収集する必要があると企業等が判断した場合は、従業員にこのことを通知することを忘れないでほしい。従業員に更新情報を提供して、必要な新しい情報とその使用方法を説明し、従業員が何を期待できるかを把握できるようにすべきである。

　ウイルスに関する社内通信を従業員に送信している場合も、名前で感染した可能性のある個人については言及しないでほしい。感染の危険性があると特定したスタッフに調整された通信を送信する必要がある場合があるが、この電子メール（および受信者）を秘密にすべきである。

7.情報を正確に保つ
　GDPRのもう1つの基本原則は、データの正確性である。新型コロナウイルス情報に関しては、正確な記録を保持するようにすべきである。これはGDPRの要件であるだけでなく、古い情報は、導入しようとしているコロナウイルス手順の有効性を損なう可能性がある。

8.グローバル企業における国際的なデータ転送メカニズムを忘れてはならない（必要に応じて追加すべきである）
　国際的に事業を展開している企業は、従業員とコロナウイルスのリスクについて収集した情報を企業グループ全体で共有し、この病気にどのように対処するのが最適かを総合的に把握することもできる。ただし、GDPRでは、欧州経済領域(EEA)の外部に転送される個人情報を適切な保護手段で保護する必要がある。 EEA外の企業のオフィスへの転送は、引き続き適切に処理されるようにすべきである。さらに、企業グループの本社がEEAの外にある場合、このブログで説明されているのと同じ保護を、本社レベルと全社的な普及に関連して検討する必要がある。

　企業がGDPR国際データ転送メカニズムを導入していない場合（またはこれが目的のコロナウイルス情報をカバーしていない場合）、企業はグループ間で個人情報を共有することを制限される。そのような場合、短期的な解決策として、会社は関連するすべてのグループ企業間でEU標準契約条項を締結して譲渡を許可することを検討する必要がある。

9.不要なものは削除
　GDPRでは、収集された目的のために個人情報が不要になったら即削除する必要がある。このため、企業は、コロナウイルスの脅威が経過した後、コロナウイルスに関して収集した情報を必ず削除する必要がある。
　したがって、このことは私たちをどこに導くか？要約すると、コロナウイルスの大流行に対処する（または先制する）目的で従業員に関する情報を使用する場合、覚えておくべき黄金律は、法の下での地位は変わらないということである。これは新しい事実上のシナリオであるが、同じ考慮事項が適用される。企業は、適切なポリシーと手順が整っていることを確認して、法律に従ってこの情報を処理できるようにする必要がある。別の言い方をすれば、落ち着いて、そして続けてくださいでということである。 

Ⅱ．2020.3.13 Covington Burling LLP 「英国情報保護・監督コミッショナー(Information Commissioner's Office:ICO」)は、データ保護とコロナウイルス(「COVID-19」)に関する声明を発表」
　その主な概要を仮訳する。

　2020年3月12日、英国情報保護・監督コミッショナー(Information Commissioner's Office:ICO」)は、データ保護とコロナウイルス(「COVID-19」)に関する声明を発表した。 この声明は、ICOが現在の健康緊急事態に照らしてGDPRの遵守に関して「合理的かつ実用的な」アプローチを取ることを明らかにしている。

　アイルランドの監督・規制機関と同様に、ICOは英国のデータ保護法(Data Protection Act 2018)がCOVID-19パンデミックがもたらす課題に対処する邪魔をしていないことを強調した。 また、現在の危機の深刻さに照らして、ICOは法執行に関する実用的なアプローチを採用し、「企業など組織にペナルティを課さない、すなわち..他の分野を優先するか、この特別な期間中に彼らの通常のアプローチを適応させる必要がある。 これは、以下のとおり各事項に関するICOの見解に反映されている。

(1) データ主体の情報開示請求の制限：ICOは、法定期限内に情報開示要求に対応できない組織・団体等に対して規制措置を講じないことを表明した。 この点に関し、ICOはパンデミック中に情報開示請求を行う際に理解できる遅延が発生する可能性があることを、通信チャネルを通じてデータ主体に通知する。

(2) 個人データと在宅勤務(home work)のセキュリティ対応：ICOは、データ保護法が在宅勤務においても適用例外ではないことを明らかにし、企業等が通常の状況で使用する在宅勤務に対して同じ種類のセキュリティ対策を検討するようアドバイスした。

(3) 従業員または訪問者に関する健康にかかる個人データの収集：ICOによると、特定の国を訪問したか、またはCOVID-19症状が発生しているかどうかを人々に尋ねるのは合理的である。 これは、スタッフの健康と安全を守ろうとする多くの組織・団体等にとって、頻繁に懸念される問題である。 ただし、企業は必要以上のデータを収集せず、また収集した情報が適切な保護措置で取り扱われるようにすべきである。

(4) 企業内の機密性と情報の共有問題：ICOは、雇用主が注意義務を放棄し、健康と安全を保護するために、組織・団体内にCOVID-19の感染事例、または疑わしい事例があったことをスタッフに知らせる可能性があるとの見解を取った。しかし、影響を受ける個人に名前を付ける必要は「おそらく」ないとアドバイスし、組織・団体等が他人の幸福を守るために実際に人の名前を共有することが厳密に必要かどうかを検討する必要があることを示唆した。

(5)公的機関と従業員の健康情報を共有する問題：ICOは、企業が特定の個人に関する情報を公的機関と共有するよう求められる可能性は低いが、データ保護法はそれを妨げないだろうと述べた。

　他の多くのEU加盟国の監督・規制当局も同様のガイダンスを公開しているが、ICOよりも厳しいアプローチを取っている場合がある。このため、ある時点で欧州データ保護委員会（「EDPB」）の介入を必要とする場合がありうる。　

Ⅲ. 2020.3.11 LexBlog「Irish Supervisory Authority Issues Guidance on Data Protection and COVID-19」
　LexBlogの記事をもとに、その主な概要を仮訳する。

　2020年3月6日、規制・監督機関であるアイルランド情報保護委員会（「Data Protection Commission：以下、DPC）は、COVID-19の拡散を封じ込めてのその影響を緩和するための措置を講じる際に企業等が個人データを処理する方法に関するガイダンスを発布した。

　DPCは、データ保護法が医療の提供および公衆衛生問題の管理の妨げにならないことを明らかにしたが、COVID-19危機のコンテキストで個人データを処理する場合、企業は次の義務に留意する必要があることを強調した。

(1)ガイダンス発布の法的根拠：DPCによると、組織・団体等が管轄当局の指導または指示に従って行動している場合、関連するデータ処理が「公共の利益のために必要である」ことに基づいて合法と見なされる可能性が高いGDPR第9条（2）（i）に基づく公衆衛生の領域である。ただし、適切な保護手段を実装する必要がある。このような保護手段には、①データへのアクセスの制限、②消去の厳密な時間制限、③個人のデータ保護権を保護するための適切なスタッフのトレーニングなどの他の手段が含まれる。

　また、DPCは、雇用主には従業員を保護する法的義務があるため、企業は2005年アイルランド労働安全衛生法（改正）と同様に、従業員の個人データを処理するために、GDPR（「雇用分野の義務」）第9条（2）（b）に依存する可能性があることを明かとした。ただし、雇用主は、この法的根拠に依存する必要がある場合にのみ信頼し、処理されるデータは、以下で詳述するように、機密扱いで処理されるようにする必要がある。

　さらに、DPCは、他の法的根拠が特定できない緊急事態では、企業が個人データを処理して個々のデータ主体または他の人の個人の重要な利益を保護するためにGDPR第9条（2）（c）に依存する立場にある可能性があると考えた。

　上記に照らして、DPCによれば、雇用主は1)従業員と訪問者に、彼らが影響を受けた地域を訪れた、および/または症状を経験している場合、彼らに知らせるよう要求する」こと、および2)「もし彼らが必要な措置を講じるために、COVID-19の医療診断(medical diagnosis)を受けるべきである。それにもかかわらず、「アンケートなどのより厳しい要件の実装する場合は、必要性と比例性、およびリスクの評価に基づいた強力な正当化が必要だと述べた。

(2) 透明性とプライバシーに関する通知：DPCは、個人データを処理する組織・団体等は、COVID-19の拡散を制限するために実装する対策について透明でなければならないことを強調した。特に、関係者に適切で、簡潔で理解しやすい通知を提供する必要がある。この通知には、とりわけ、個人データの収集目的とデータの保持期間を指定する必要がある。

(3)個人情報の機密性とセキュリティ保護：DPCは、雇用主は従業員の個人データをセキュリティと機密性を保証する方法で処理することを確認する必要があると判断した。影響を受けた個人の身元は、特定の正当な理由なしに第三者または同僚に開示されるべきではない。言い換えれば、雇用主は、その組織にCOVID-19のケースまたは疑わしいケースがあったことをスタッフに通知し、自宅で仕事をするよう依頼することができるが、影響を受ける個人は名前を付けるべきではない。

(4) 処理データの最小化：DPCは、COVID-19の拡散を防止または抑制するための対策を実施する目的を達成するために必要な最小限のデータのみを処理するよう企業に警告した。

(5) 記録の保持：DPCによると、コントローラーは、COVID-19を管理するために実装された、個人データの処理を含む意思決定プロセスを文書化することを保証する必要がある。

　なお、アイルランドのDPCのガイダンスの公開は、フランス、デンマーク、アイスランド、イタリア、ルクセンブルク、ノルウェー、ポーランドを含む他のヨーロッパの規制当局による同様のガイダンスの公開に続くものである。ただし、ドイツやスペインのようなヨーロッパの主要な管轄当局は、この問題に関するガイダンスをまだ公表していないが、Ⅴ.で述べるとおりその後、公表した。また、 EUデータ保護委員会（「EDPB」）も、EUの監督当局の見解が必ずしも一致していないことを考えると、ある時点で介入することを決定する可能性がある。(注1)

Ⅳ. 2020.3.10　ルクセンブルグ大公国データ保護国家委員会(CNPD) 「コロナウイルス（COVID-19）：健康危機の文脈における個人データの収集に関するCNPDの推奨事項」
　その主な概要を仮訳する。

　欧州連合は現在、コロナウイルスに関連した例外的な健康危機を経験している。 これに関連して、ルクセンブルクの民間および公的プレーヤーは、日々の業務においてますます複雑な課題に直面している。
　専門家や個人は、医療の外で、従業員/代理人に関するデータ、または外部の人（訪問者、顧客、サプライヤーなど）に関するデータを収集および使用する可能性に疑問を抱く。 コロナウイルスの特定の症状があるかどうかを判断するために、そのウイルスにさらされた可能性が高いか、リスク領域に移動した可能性がある。 健康に関連するデータを含む個人データの収集は私的領域内に収まる可能性があるため、CNPD (Commission nationale pour la protection des données)：はこのコンテキストでいくつかのルールを以下で思い出したいと考える。

(1) 民間および公的機関に対し推奨されること
　職業上の文脈では、民間および公的機関は、職場での従業員/代理人の安全と健康を確保する法的義務を負っている（労働法(Code du travail)第L.312-1条）。リスクを制限するために、彼らはそれ自体、予防措置、情報および訓練措置を実施し、内部指示を確立しなければならない。
　このコンテキストでは、企業・組織等の当事者は次のことがでる。
① 意識を高め、従業員/エージェントに、彼らまたは有能な保健当局への暴露の可能性に関連して、彼らに関する情報の個々のフィードバックを実施するように招待する。
②必要に応じて、データのセキュリティと機密性を保証する専用チャネルを設定することにより、情報の送信を促進する。
③リモートによる作業方法の導入を促進し、産業医学の使用を奨励する。
報告があった場合、事業者は自分の安全と健康の義務の一部として、次のことを記録できる。
(ⅰ)感染された疑いのある人の日付と身元。
(ⅱ)実施された組織的措置（収容措置、テレワーク、産業医学サービスとの接触など）。
　したがって、事業者は、それを要求する保健当局に、感染した人の可能な医療または治療に必要な感染の性質に関連する要素を伝えることができる。
従業員やその代理人の側の問題では、各従業員/代理人は、他者および自分自身の健康と安全を維持するためのあらゆる手段を実行する必要がある（労働法第L.313-1条）。 原則として、ウイルスとの接触が疑われる場合は雇用主に通知してください。
　最後に、健康当局は、状況に適した措置を講じる資格のある健康当局によって収集できる。 新型コロナウイルスの症状に関する情報および特定の個人の最近の動きに関する情報の評価と収集は、これらの公的機関の責任である。

(2)禁止行為
民間および公共の関係者がウイルスの拡散を制限するための措置（例：移動の制限または衛生措置の遵守）を実施する場合、そのような措置は関係者のプライバシーの尊重を考慮に入れる必要がある。
したがって、行動主体は、体系的かつ一般的な方法で、または個々の問い合わせや要求、外部の従業員/人およびその親によって提示される可能性のある症状の検索に関する情報を収集することを控えなければならない。

　たとえば、行動主体は以下の行為を差し控える必要がある。
1)従業員に体温の声明を毎日伝えるか、以前に確立した医療シートまたはアンケートに記入することを要求する。
2)訪問者または他の外部の人に、コロナウイルスの症状がないこと、または最近危険地帯に旅行したことがないことを証明する事前に確立された宣言書に署名してもらう。
3)機密保持の目的で、ウイルスの拡散を防ぐという文脈で実行されるデータ処理は、特に健康データに関して、データのセキュリティを保証するような方法で実行する必要がある。したがって、関係者の身元は、明確な正当化なしに、第三者または同僚に開示してはならない。

　これらの推奨事項は、悪化したシナリオのコンテキストで行われる可能性のある、より制限的な状態の措置を害することなく、CNPDによって伝達されなければならない。
　この目的のために、CNPDはwww.gouvernement.lu / coronavirusのサイトで入手可能な情報も参照することを勧める。

Ⅴ.主要EU加盟国の情報保護監督機関の新型コロナウイルス(COVID-19)の急速な拡散をめぐるGDPRとの関連を含む事業主等の情報管理ガイダンスの策定状況
　Covington & Burling LLPがまとめたEU加盟国の情報保護機関のガイダンスの最新の発布状況URL一覧は以下のとおりである。
　フランス、デンマーク、スペイン、アイスランド、アイルランド、イタリア、ルクセンブルグ、ネザーランド(オランダ)、ノルウェー、ポーランド、スロベニア、スロバキア、英国、ベルギー、ドイツ、チェコ共和国、フィンランド、リヒテンシュタイン、スウェーデン、オーストリア、ハンガリー、ギリシャを含む他のEEA内の情報保護規制当局による同様のガイダンス・声明の公開が行われている。
******************************************************

(注) 2020年3月16日、欧州データ保護会議（EDPB）の議長であるアンドレア・イェリネック(Andrea Jelinek:オーストリア) は、COVID-19の発生に関連した個人データの処理に関する声明を発表した。

Andrea Jelinek

　この声明は、EUデータ保護法(GDPR)が新型コロナウイルスの世界的大流行と戦うための措置の採用を妨げるものではないことを明らかにした。ただし、個人データの処理を伴うパンデミックと戦うための対策を採用する際には、管理者（雇用者を含む）および政府が以下のとおり、いくつかの考慮事項に留意する必要があると強調した。Covington & Burling LLPのブログ「EDPB Chair Issues Statement on Data Protection and COVID-19」を引用、仮訳する。

(1) 法的基盤
　EDPRBは、GDPRが、データ主体の同意なしに、企業および公的機関がCOVID-19パンデミックのコンテキストで個人データを処理できるいくつかの法的根拠を提供していることに注意する。この声明では、現在の状況に関連する以下の法的根拠に特に言及している。「公衆衛生の分野での公共の利益のために必要な」処理（GDPR第9条（2）（i））。 「データ主体または他の自然人の重大な利益を保護する必要がある」処理（GDPR第6条（1）（d）および9（2）（c））; 「法的義務の遵守に必要な」処理（GDPR第6条（1）（c）および9（2）（b））。これは、EDPBが、少なくともこれが比例的に行われた場合、病気のDP延を防ぐために、企業が従業員や健康データを含む他者の個人データの収集に従事する可能性に開かれていることを示唆する。

(2) 電子通信データ（モバイル・ロケーションデータなど）の処理と緊急立法の内容
　Jelinek議長は、EUのePrivacy Regulation(ePrivacy 規則)を実装する加盟国の国内法では、データが匿名化された場合にのみ関連サービスプロバイダーがロケーション・データを使用できることを規定している（たとえば、集約によるまたは影響を受けた個人の同意を得て）。これにより、公的機関は、通常集計データに基づいて、特定の場所でのモバイル・デバイスの集中に関するレポートを生成できると説明した。
　この匿名の位置データのみでは処理できないモバイル・デバイス等の追跡問題につき、ePrivacy規則により、EU加盟国は、緊急法の下で影響を受ける個人の同意なしに識別可能な電子通信データの処理を提供できる。ただし、そのような内容をも持つ法律が必要であり、適切であり、バランスが取れていなければならない。特に、司法救済の権利を個人に付与するなど、適切な保護手段を提供する必要がある。この点に関して、いくつかの加盟国が新型コロナウイルスと戦うための緊急法を採用するか、またはすでに採用していることに留意すべきであり、新型コロナウイルスの拡散の制限の手段としてモバイル・デバイスの追跡を許可するためにその裁量権を利用することを決定することが必要である。

*************************************************************
Copyright © 2006-2020 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

「EU域内のCOVID -19の急速なパンデミック化の中で企業が取り組むべき従業員や家族等の収集や周知などに関しイタリアやデンマークの個人情報監督機関がガイダンスを発布」(その1)

　新型コロナウイルスのグローバルな拡散が続くなかで3月4日、大手ローファーム“Covington .& Burling LLP”のニュース「イタリア情報保護監督機関(以下、“Garante”)は、新型コロナウイルス感染症(「COVID-19」)の蔓延を防ぐための取り組みの文脈で、企業がイタリアの従業員等の個人データをどのように処理すべきかを明確にする「声明」を発表」が届いた。 

　また、Lexblog (注1)は3月5日、「デンマークのデータ保護局(Datatilsynet：Danish Data Protection Agency:以下”GDA”) (注1)は、コロナウイルス（「COVID-19」）危機の状況で企業が従業員の個人データを処理する方法を明確にするガイダンス文書を発行した」を報じた（GDAのリリース原本(デンマーク語)参照） ）。 これは、イタリアの監督当局（「Garante」）による同様のガイダンスの公開に続くものである（以前のLexblogブログ参照）。

今回のDatatilsynetのアプローチは、イタリアのGaranteのアプローチよりも柔軟に思える。すなわち、 Datatilsynetによれば、雇用主は、状況が必要に応じて、従業員に関する情報を大幅に収集および開示することができ、そのような収集または開示が雇用法または健康法の下で禁止されておらず、問題の情報が 非常に詳細で具体的でなければ認めあられるように読める。

　今回のブログは、この両国の対応の比較の上で紹介する。

１．イタリアの情報保護監督機関(Garante)の声明の内容
(1) “Covington .& Burling LLP”の解説文の仮訳
　2020年3月2日、イタリア監督当局(以下、“Garante”という)は、新型コロナウイルス病(「COVID-19」)の蔓延を防ぐための取り組みの文脈で、企業がイタリアの従業員と他の人の個人データをどのように処理すべきかを明確にする「声明」を発表した。(イタリア語の声明を参照)。
Garanteは、企業が従業員(またはその家族)が感染した可能性のあるCOVID-19症状や所在に関する体系的かつ一般化された方法で収集してはならないことを明らかにした。 Garanteによると、そのような情報の収集は医療当局に委ねるべきであり、法律で特に要求されたり、管轄当局から要求されたりしない限り、従業員の健康データの自発的な収集に取り組むべきはないとする。

　しかし、一方、Garanteは、従業員は通常、伝染病のリスクを含め、彼らが認識している職場で健康と安全上のリスクを雇用主に知らせなければならない旨を強調した。したがって、企業は、従業員が最近疫学的リスク領域にさらされた場合や、伝染の可能性に関するその他の関連情報を持っている場合は、企業に通知するよう従業員に周知することができる。

　同「声明」は、今後続くGaranteのこの問題に関する推論についてあまり詳しく述べていないが、GaranteはEUデータ保護一般規則(GDPR)の下で健康データを処理するための条件をむしろ厳密に解釈すべきであることを示唆している。

 　したがって、企業は、イタリアにおける現在の公衆衛生危機の深刻さを踏まえて、COVID-19の拡散を防ぐための健康データの処理が、データ主体または他の自然人の「重要な利益を保護するために必要な」場合、または実質的な公共の利益の理由で必要な」場合または「予防または職業医学の目的のために必要な場合」は、単に合法的に行われた判断される可能性があると単に仮定すべきでない。

　いずれにせよ、企業は、イタリアでのCOVID-19のさらなる拡大の可能性に応じて、情報保護の管轄権をもつイタリア監督当局(Garante)が採用する可能性のある緊急措置を注意深く監視し、遵守する必要がある。 雇用主を含むより多くの企業や組織等が、COVID-19がもたらす公衆衛生上の脅威に対応し、政策を実施し、拡散を防ぐための保護措置を導入することで、他のEUのプライバシー監視・監督当局が関連するガイダンスを採用するかどうかは不明である。グローバルな法律事務所である Covington & Burling LLPは引き続きこの分野の動向を監視する。

(2) 2020.3.2 イタリア情報保護庁「コロナウイルス関連：情報保護庁(Garante)の声明文」の公表
Garanteのリリース文を仮訳する。

・・・・・・・

・・・・・

　新型コロナウイルスに関し、日曜大工(DIY)的な個人情報の収集や開示等を行ってはならない、とイタリア情報保護庁(Garante)は言う。

　民間機関と公的機関は、保健省と管轄機関からの指示に従わなければなりません
Garanteは、収集の可能性に関する官民の利害関係者から、訪問者やユーザーを登録する際に、コロナウイルスによる症状の存在に関する情報と伝染からの予防措置等の最新の動きに関するニュースとして、いくつかの質問を受けている。同様に、公的および民間の雇用主は、イタリアのGaranteに、インフルエンザの兆候の欠如、および私的な領域に関する事項について、従業員から「自己申告」を得ることができるかどうかを尋ねられた。

　この点に関連して、我々は、ここ数週間で採択された緊急法では、疫学的リスクの分野だけでなく、最新の規制によって特定された自治体で過去14日間滞在している人を提供することを指摘する規定は、かかりつけ医の機関によって、地域の保健当局に通知しなければならない。その権限は、特別な隔離措置を含む必要なチェックを行う責任がある。

　一方、雇用者は、個々の労働者への特定の要求や無許可の調査、インフルエンザの兆候の存在に関する情報を含め、作業者と最も近い連絡先、または作業環境外の領域に関する任意の方法等につき、事前かつ体系的かつ一般化された方法で収集することを控えなければならない。

　コロナウイルスの拡散を防ぐことは、専門的な方法でこのミッションを排出する任務を負っている事業体によって追求される目的です。

　コロナウイルスの典型的な症状と各個人の最近の動きに関する情報の調査と収集は、医療従事者と市民保護システムの責任であり、これは、最近採用された公衆衛生規則の遵守を確保する任務を負う団体でもある。

　職場での健康と安全に対する危険を雇用主に知らせる従業員の義務は、偏見を持たないままである。この点に関して、行政大臣は最近、彼らは危険区域に旅行することに関し、各公務員と行政で様々な方法で働く人々がそれぞれの行政に報告する義務に関する運用上の指示を提供した。

この文脈において、雇用者は、専用のチャネルを含め、経路を通して経路を促進することによって、必要に応じてそのようなコミュニケーションを行うよう従業員に勧告することができる。コロナウイルスから生じる職場における健康への「生物学的」リスクの変化を的確な団体に知らせる義務は、有能な労働者の健康監視に関連する他のタスクと共に偏見を持たないように残されて最もリスクにさらされた労働者が極めてまれな医療訪問を受ける可能性など管轄権を持つ医師,を通じて行われる。 
　一般の人々と連絡を取る職務を遂行する従業員(例えば、フロントオフィス、サービスデスクなど)が、仕事の過程でコロナウイルスの疑いのあるケースに遭遇した場合、その従業員は雇用主を含む的確な保健サービスに通知され、また相談した医療専門家によって提供される予防指示に従う。

　さらに、管轄当局は、採択されたに緊急条項が従って一般に公開されているすべての施設への訪問者のアクセスを可能にするために、各コントローラが実施しなければならない一般的な予防措置を既に定めている。
したがって、そして、コロナウイルス関連の処置の全国的な調整のための要求にかなう施設の招待に応じて、厳しく、また、ユーザーの健康に関するデータの収集を狙う自主的なイニシアティブとそのようなイニシアティブが法律によって管理されないか、要求にかなう組織体によって命じられない労働者を保証することなくコロナウイルスの拡散を防止するようにという保健省と権限を持つ機関により提供される指示に従うよう、Garanteはすべてのコントローラに要請する。

２．デンマーク・データ保護局(Datatilsynet)の新型コロナウイルス(COVID-19)危機の状況で企業が従業員の個人データを処理する方法を明確にするガイダンス文書
(1)Lexblogニュース「デンマークのデータ保護局(Datatilsynet：Danish Data Protection Agency:以下”GDA”)は、コロナウイルス（「COVID-19」）危機の状況で企業が従業員の個人データを処理する方法を明確にするガイダンス文書」を発布
以下で、仮訳する。

　2020年3月5日に、デンマークのデータ保護局（以下、“Datatilsynet”）は、コロナウイルス（「COVID-19」）危機の状況で企業が従業員の個人データを処理する方法を明確にするガイダンス文書を発行した（デンマーク語の原文参照 ）。これは、以前に取り上げたイタリアの監督当局（「Garante」）による同様のガイダンスの公開に続くものである。（以前のLexblogブログ参照）。

　Datatilsynetのアプローチは、Garanteのアプローチよりも柔軟に思える。 Datatilsynetによると、雇用主は、状況が必要に応じて、従業員に関する情報を大幅に収集および開示することができ、問題となる個人情報が非常に詳細で具体的でない場合はそのような収集または開示が雇用法または健康法の下で禁止されていないとするものである。
　たとえば、Datatilsynetは、COVID-19危機の状況において、雇用主は次のことを合法的に記録および開示できると考えている。（i）従業員が疫学的リスクエリアを訪問したかどうか。 （ii）従業員が自宅に隔離されている（理由を述べることなく）; （iii）従業員が病気であること（理由を述べることなく）。これはデンマークのガイダンスでは明示的に言及されていないが、問題の開示は主に会社内部の開示として理解されるべきであると仮定することは論理的であると思える。

　ただし、Datatilsynetは、情報の収集と開示は必要なものに限定する必要があると強調した。したがって、データを処理する前に、雇用主は、(ⅰ)問題の情報を収集または開示する正当な理由があるかどうか、(ⅱ)開示の目的が「少なく話す」ことによって達成できるかどうか、および(ⅲ)名前を言及することが本当に必要かどうかを慎重に検討する必要がある（たとえば、検疫で自宅にいる従業員の名前等）。

　これが特に法律によって必要とされるか、所管官庁によって要請されない限り、Datatilsynetが従うアプローチはGarante（それは雇用主たる会社がCOVID-19危機に関連して彼らの従業員に関する情報の自然堆積に従事するべきでないと最近考えた）のそれより厳しくない。
　現在、ヨーロッパの多くの組織、団体等がポリシーを実施し、COVID-19の拡散を防ぐためのセーフガードを導入しているため、他のEU情報監督当局が同様のガイドラインを採用する可能性がある。 EUの監督当局が当面の問題について異なる見解を持っていると思われる場合、欧州データ保護委員会（「EDPB」）がこの問題に関するガイドラインを発行する可能性もある。

(2) Datatilsynetのガイダンス「GDPRと新型コロナウイルス対応」の内容
　デンマーク語のガイダンスを読んだが、前述のLexblogの内容とほぼ同一であることから、ここでは省略する。
***********************************************************************
(注1) 米国を中心とするグローバルはブロガーや弁護士の法律共同発表サイト“Lexblog”サイトについてわが国ではほとんど紹介されていない。同サイトのAbout usを仮訳する。なお、筆者自身このサイトを日頃活用しており。今後ブロガーとしてチャレンジする予定である。

「2004年、16年の弁護士を務めた技術系起業家のKevin O’Keefeは、弁護士にはブログを作成するべきだという考えを表明した。彼は、この新しい技術を活用することで、弁護士は以前には存在しなかった方法で自分の名前を築くことができると信じていた。このビジョンに触発され、O’Keefeは弁護士向けのブログを作成することでガレージからLexBlogを開始した。
LexBlogは、小さなスタートアップから法律業界の評判の良いブランドに成長したため、同社はRSS、SEO、ソーシャルメディアツールなど、クライアントのニーズを満たすブログを強化するSaaSテクノロジー(注3)を開発した。
しかし、技術を超えた何かが、世界的な出版ネットワークとしてのLexBlogの評判を固めた。これは、法律業界内の優秀な人材の努力を強調するエンパワーメント環境の開拓に揺るぎない焦点である。
今日、LexBlogのネットワーク内には25,000人を超えるブロガーがおり、その中には米国のトップ200の法律事務所の約1,000のブログの半分以上が含まれている。しかし、もっと重要なことは、LexBlogは、法務コミュニティが提供するリアルタイムのニュースと洞察を提供するという同社の使命を中心に構築されたグローバルネットワークの強化に専念している点である。
LexBlogは、数千人の法律思想家からのニュースと解説の集約とシンジケートにより、弁護士向けの出版ソリューション以上のものにし、1)アイデアの交換、2)機会の共有、そして3)一緒に学ぶことに情熱を傾けるコミュニティの出発点といえる。

 (注2) デンマークのデータ保護局(Datatilsynet)に関しては、筆者ブログ「GDPR違反に基づきタクシー会社に対し120万DKK(約2,011万円)のはじめての罰金の告発を受け、裁判所命令が下る (その1)」、同(その2完)等を参照。

(注3) サービスとしてのソフトウェア（Software as a service ：SaaS）は、サードパーティ・プロバイダーがアプリケーションをホストし、インターネット経由で顧客に提供するソフトウェア配布モデルである。 SaaSは、サービスとしてのインフラストラクチャ（IaaS）およびサービスとしてのプラットフォーム（PaaS）と並んで、クラウドコンピューティングの3つの主要なカテゴリの1つである。 
***********************************************
Copyright © 2006-2020 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

ドイツの連邦・州の個人情報保護コミッショナーが非EU国への個人情報移送の新たな許可の一時停止を決定

　2ヶ月前の話になるが、7月24日、ドイツ連邦情報保護・情報自由化委員(Bfdi) (ペーター・シャール：Peter Schaar )や各州(Länder)の情報保護委員が、共同して標記措置の実施を決定した旨リリースした。 (注1)

　今回の措置は、言うまでもなく米国NSA(国家安全保障局)のPRISMプログラムへの対抗措置として行ったものであるが、ドイツにおけるこの問題を正面から取り上げたわが国のメディアやブログもないように思われるので、改めてその内容につき概観する。

　また、NSAへの対抗措置の問題は欧州委員会、欧州議会にも広がっている。9月5日の議会司法委員会の市民的自由・司法および域内委員会(Civil Liberties, Justice and Home Affairs：LIBE)は第1回公聴会で「 EU市民に対する電子的マス監視の実態、事実の公表にかかるジャーナリズム、エシェロン通信傍受システム(ECHERON interception system) (注2) 」問題を取り上げているし、また議会は世界的かつ独占的な金融メッ セージサービス・プロバイダー(Society for Worldwide Interbank Financial Telecommunication：SWIFT)に関し、2010年に多くの論議を呼んだ米国とEU間のテロ情報の共有協定(Terrorist Finance Tracking Program：TFTP) (注3)の即時停止を求めるなど米国との関係は緊張感が増している。

　さらにこの問題は2012年7月4日に行われた欧州議会総会おける主要会派による決議案(JOINT MOTION FOR A RESOLUTION)と関係してくる。
　 決議案の内容は米国の監視プログラムや加盟国の監視機関およびEU市民のプライバシー権への影響に対する抜本改善決議案といえるものである。その中身は採択決議文などで確認されたいが、たとえば、EU米国間の停止措置として起こりうるものとしては、「テロ資金追跡プログラム(Terrorist Finance Tracking Programme：TFTP)」や「Passenger Name Records：PNR)」(などのように重要なEUと米国の2大陸間の協定の停止、さらには「大西洋貿易投資パートナーシップ( Trans-Atlantic Trade and Investment Partnership：ITTP)」についての議論を中断等が指摘されている。

　本議案につき、投票の結果は総数646,賛成483票、反対98票、棄権65であった。この決議は「拘束力のない決議 (non-binding resolution)」であり、議会は欧州連合理事会などEU政府や欧州委員会の幹部の支援なしに協定を取り消すことはできないし、実際そうはならないといえる。欧州議会の強硬派はEUが取りうる選択肢の1つとして大西洋をはさむ2大陸において何十億ドルの価値があると考えらる「大西洋貿易投資パートナーシップ( Trans-Atlantic Trade and Investment Partnership：ITTP)」についての議論を中断させることである。この論議は欧州議会や欧州政府などに対し、きわめて難しい問題を投げかけている。

　今回のブログは、これらの重大課題について公的資料等に言及しつつ最新情報を提供する。

１．ドイツ連邦情報保護・情報自由化委員(bfdi)のリリース内容
　7月24日のリリース文を仮訳する。なお、リンク、注記に関しては筆者の責任で行った。(リリース「Datenschutzkonferenz: Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten」

＊外国諜報機関とりわけ米国NSAによる特別な悪行の疑いがないにもかかわらず大規模な監視対体制にかかるレポート・プログラムの暴露情報に対応して、ドイツ連邦、州の情報保護・情報自由化委員（共同会議:議長はブレーメン州の保護委員イムケ・ゾンマー(Imke Sommer)氏） (注5)は連邦情報保護法(BDSG)およびEU情報保護指令が定めるドイツと非EU国の会社間での国際的な個人の移送に関し保護機関に与えられた監督権能を思い起こした。

　多くの決定において欧州委員会は「2000年セーフ・ハーバー原則(2000年)」ならびに「EU以外の国への個人情報移送に関する標準モデル契約条項(2004年・2010年)」を定義した。これらの原則は情報保護の適切な規格が米国やその他の国に送られる際の保証となりうるものである。
　
＊しかしながら、欧州委員会はこれらの解釈につきセーフ・ハーバー原則や標準モデル契約条項に違反すると「実質的に見込める」時、監督機関は当該国への個人情報の移送を中断させうるということを強調した。
　現在がまさにその状況にあたる。欧州委員会がいう委員会決定の原則が違反されている「実質的に見込める」といえる。最新情報によると、NSAやその他の国の情報機関は大規模なかたちで悪行の疑いもなく、また必要性、適正および目的上の制限原則を無視したかたちでドイツ国内の会社から米国内への個人情報をアクセス可能にしている。

＊「セーフハーバー協定」は、国家の安全または、法律がそのような権限を新たに認めた場合にセーフハーバー原則を遵守するという限定的規定内容を含む。しかしながら、効果的なプライバシー保護を提供する目的から見て、これらのアクセス権限実際に必要でありかつ過度でない範囲のみで使用されるべきである。民主主義国家では、国家安全問題は合理的な疑いがない限り包括的なアクセスを正当化できない。」
　標準モデル契約条項にもとづき個人情報を米国に移送するとき、個人情報の輸入者は彼らが知りうる限り最大限の努力を払い、彼らの国では重要な意味で条項の内容を保証することを妨げる法律がないことを述べねばならない。
　このような一般的承認は米国に存在するように思われる。すなわち、米国情報機関が決まりきって標準的的な契約条項に基づき移送する個人情報にアクセスすることが唯一の方法であるからである。

＊ドイツ共同会議は、連邦政府に対し、ドイツ内で人々の個人情報をどのように効率的に標準条項の線に沿いつつ限定して外国情報機関による無制限なアクセスを認めるかにつき、もっともらしい(plausible)説明を行うよう求める。
　これが保証されるまで、BFDIは非EU国への新たな個人情報の移送許可を発行しないし、またそのような情報の移送がセーフハーバーの枠組みならびに標準契約条項に基づき中断すべきかにつき検証することになろう。

＊最後に、共同会議は欧州委員会に対し、同委員会が行った「セーフハーバー協定に関する2000年決定(2000/520/EC)」 (注6)および「標準契約条項に関する2010年決定(2010/87/EU)」 (注7)につき外国の情報機関の過度の監視にの視点からの追って通知があるまで中断するよう求める。

２．ドイツの保護機関の代表的意見
(1)共同会議議長イムケ・ゾンマー氏(Imke Sommer)のコメント内容
　イムケ・ゾマー氏は、「共同会議は、連邦情報保護法およびEU保護指令に基づき保護機関に付与された権能を尊重するよう求める。個人情報をEU加盟国から米国に送る会社はこれらデータについての重い責任を負う。ドイツの関係者と同様に個人的なデータのフローにつき情報機関による大規模な監視をうけることがないよう関心を持つ必要がある。」

(2)ペーター・シャールのコメント内容
　ドイツの監督機関は、連邦政府に対し欧州や非欧州の包括的かつ正当な理由を欠く監視行為を阻止すべくハイレベルの交渉を行うよう強く求めてきた。

３．欧州委員会による「セーフハーバー」の下における情報保護の安全性に対する懸念や取り組み課題

　2013年7月19日、副委員長ヴィヴィアン・レデイングはPRISM問題につきリトニア共和国の首都ヴュリニュスで開かれた非公式司法委員会の場で、概要次のような所見を述べている。
＊個人情報保護について
　本日の評議会は説得力ある合図をEU市民の送った。すべてのEU機関、団体はわがヨーロッパ大陸の強固な情報保護法を持つためには力を合わせなければならないことに同意する。フランスとドイツのモニタリングがないとそれらは機能しない。

　フランスとドイツの大臣が再度ヨーロッパの情報保護ための自由とセキュリティの間の正しいバランスを取るためにハイレベルの情報保護が必要であるとの共同宣言で確認したことはきわめて好ましいことである。
　また、欧州委員会が2012年1月に検討のテーブルに乗せた情報保護規則の改正 (注8)の迅速な採択が必要としている点も好ましいことである。PRISMは緊急の注意を促すべき問題であり、情報保護制度改革はEUの答えである。

＊セーフハーバー問題
　セーフハーバー協定は結局のところそう安全ではないも知れない。米国の情報保護の規格はEUのレベルより低く、EUから米国に個人情報の移送を認めること自体抜け道であるかもしれない。
　私は、加盟国の大臣等に対し、年内に明らかにすべくセーフハーバーに対する確たる精査結果を報告できるよう進めている旨報告済である。

＊今回の委員会提案の背景
　2012年1月に欧州委員会が提案した情報保護規則最終案 (注8)の内容につき、概要のみ記している。

４.欧州議会・市民的自由委員会の欧州委員会に対する質疑と9月5日公聴会の模様
(略す)


５．欧州議会におけるSWIF等に関し米国とEU間のテロ情報の共有協定の即時停止を求める具体的動き
　議会予備セッション(2013年7月1日～4日)における各議員の発言趣旨

　各会派の代表議員や欧州議会司法委員ヴィヴィアン・レディングの発言要旨は後述するし、またさらに動画による確認も可能である。




(この写真はいかなる意味？ ドイツの議員アクセル・フォスの発言時の動画を見てほしい。どこかのファンが左下の人形を女史にプレゼントしている。以外とおおらかな雰囲気の本会議である。)

(2)7 月4日の議会総会決議
　欧州議会主要会派による決議案(JOINT MOTION FOR A RESOLUTION)の動向は、次のとおりである。その内容を含め、ZDnet記事をベースに仮訳する。なお、メディア記事が故の宿命であるが、表現全般がはしょっている。筆者の判断で補筆した。

＊停止議案につき、投票の結果は賛成483票、反対98票、棄権65であった。この決議は「拘束力のない決議 (non-binding resolution)」であり、議会は欧州連合理事会などEU政府や欧州委員会の幹部の支援なしに協定を取り消すことはできないし、実際そうはならないといえる。
　しかし、この投票結果は同盟国に対する米国の電子盗聴行為に対する怒りの深さを表わすものであり、実際7月中旬の予定されていた米国との自由貿易に関する会談の呼び出しは何人かの議員から拒絶された。

＊今回問題となっているテロリスト資金追跡プログラム(TETP)と「旅行者名記録(PNR)」の情報共有協定は、EU議会におけるEU市民の個人情報への米国の過度のアクセスを懸念にもかかわらず過去10年以内に締結されてきたものである。

＊欧州議会は測定の上で国家安全保障局によって行われた大規模監視作業に関して米国政府に対して決議を採択する7月4日に投票を行った。
　欧州議会の予備セッションで、欧州議会の多数のメンバーは米国の情報活動の活動を囲む絵がより明確になるまで、現在進行中のEU米国の貿易交渉の停止を求めた。

＊EU米国間の情報移転の停止措置として起こりうるものとしては、テロ資金追跡プログラム(TFTP)や旅行者名記録(PNR)などのように重要なEUと米国の2大陸間の協定の停止がある。

　米国政府は諜報機関が外国人を見張る上の国際的な外交危機に巻き込まれた。 前NSAの職員エドワード・スノーデンは米国がヨーロッパ連合を含む世界中の市民に関する多くのデータを取得するのに使う多くのプログラムを止めた。

＊Temporaというコード名を付けたとき,チェルトナムを拠点とする受信基地GCHQが稼働中であり、海の下の光ファイバーケーブルを叩いたために見つけられた後、イギリス政府はNSAのスパイ伝説問題に巻き込まれた。

＊欧州委員会・司法委員ヴィヴィアン・レデイング(Viviane Reding)は、彼女はTemporaの明確化を求める書簡を英国の外務大臣ウィリアム・ヘイグ(William Hague)あてに送ったと議会で述べた。

＊その一方で、ロイターは、欧州委員会が、かりに英政府に対してイギリスに対する訴訟につながることができるEU法違反があるかどうかを調べていると報告した。これは欧州司法裁判所により科される金融制裁に通じるかもしれない。

　イギリスのEU議会議員サラ・ラッドフォード(Sarah Ludford)、他のEU加盟国が「また、NSAとの彼らの協力を見ることが必要である」と警告して、ウェストミンスターがその件で「聾して静かであった」と述べ、また英国のセキュリティと情報に関するイギリスの議会委員会が「より良い仕事をすること」を望むと発言した。

＊PNRの停止はEUと米国の間の飛行禁止措置をおこすことになるかも知れない。

　7月4日に議会に提出された決議案では、さまざまな政党からのゆうに2ダースにのぼる多くのEU政治家は米国のスパイ行為は「外交関係に関するウィーン条約の重大な違反」と呼び、PNRの停止措置を求めた。

　現在、空港をはなれる前に、航空会社は乗客データとして氏名、出生年月日、クレジットかデビットカードの詳細や席番号とともに、以前犯罪容疑者かテロリストとして疑われたことが一度もないと言う顧客評価を行わねばならない。

　もし、旅客者がPNRシステムで疑いがもたれるなら、その席はヨーロッパの加盟国からの米国行きのフライトの停止をもたらすことになる。

＊EU議会議員は米国との自由貿易議論の停止に混乱させられる。

　EUが取りうる選択肢の1つが大西洋の各端で両方の大陸において何十億ドルの価値があると考えらる「大西洋貿易投資パートナーシップ( Trans-Atlantic Trade and Investment Partnership：ITTP)」についての議論を中断させることである。

　 ITTPは、貿易の関税を排除するのを支援するとともに、大西洋横断のパートナーシップと恩恵や、その他技術と科学産業ほかの分野へのドアを開けることになるものである。

　ドイツの議員アクセル・フォス(Axel Voss)は、オバマ政権が「適切に説明すべきである」と述べ、フランスの議員マリー・クリスティーヌ・ヴェルジエット(Marie -Christine Vergiat)とともにTTIPの上の代表団が中断するべきであるのを要求したフランスの議員。(なお、ヴェルジエットは、EUが28加盟国がスノーデンの亡命施設に与えるよう呼びかけた2人議員のひとりである)。

　また、スペインの議員ホアン・フェルナンド・ロペス・アギラール( Juan Fernando López Aguilar)(欧州議会の司法・域内問題委員会、市民的自由委員会の議長を務める)は米国との自由貿易協定交渉(TTIP)の停止を呼びかけた。

　しかし、7月5日に議会のその他の議員は、代わりに2つの大陸の間の個人情報交換システムの停止案を勧めた。

　イタリアの議員サルヴァトーレ・ラコリーノ(Salvatore Iacolino )は「米国は系統的に私たちの家、私たちの大使館、および私たちの団体に入っている。ちょうど始まったEUと米国の交渉を妨げるのは、二度繰り返しEU市民を罰するだろうことになり間違っている」と述べ、かわりに米国との「個人情報の交換」の停止を意図すべきと述べた。

　オランダ人の議員ソフィー・イン・ヘルト(Sophie in't Veld)(EUの、プライバシーと情報保護権の強い支持者)は、貿易交渉を中断させることに反対したが、EUがそれを「私たちが完全に信じることができるというわけではないパートナー国とは約定書に署名できないことを絶対に明確にするべきである」と断言した。
　彼女は同僚議員に「私は、それ以上、国家安全保障の議論を聞きたくはありません」と、言い足した。
　多くのEU議会議員が、米国大統領バラク・オバマが彼の政府の行動について説明するために議会で会うよう明確に呼びかけた。 9月11日のテロリストが米国を攻撃した後に、PRISMプログラムはジョージ W. ブッシュ大統領政権の間に始まった。

＊EUの司法委員: 市民を救済すべきである、そうでなければ、同意はできない。

きたるべき欧州議会の決議の準備態勢にもかかわらず、レディングは米国とEU(欧州委員会の副委員長にとって大きな拍手と迎えられた決定である「かさの協定(umbrella agreement)」にサインしないでしょう。(この協定交渉の責任者は、EUはレディング、米国はDHS長官エリック・ホルダーである)

この協定は、2つの大陸の間で米国・EUが反テロ捜査のための今後の移送調整に関する目的で銀行業務データや乗客名簿データを共有するのをはるかに簡単にするように設計されている。

2つの大陸、「条項の約半分ではいくつかの進歩が見られました」の間の相互関係を引用して、レデイングは述べている。
「しかし、現在は、EU、米国の市民および有効な法的救済の平等の権利に関する主要な問題を記述するべき時である。私は、米国の国民にはEU内で保護される権利があるが、EU市民では米国で保護される権利ががなぜないのかを理解できない」 「私たちがその権利をあきらめたなら、とっくに協定に調印したであろう。」と述べた。

「そして、両大陸にとって相互関係がない限り、また我々がEU法によるデータ保有など難しい問題で解決策を見つけていない限り、私はこの協定に調印するつもりはない。」 と述べている。

(3)その後のEUと米国間の共同専門家グループの議論の経過
　EU議会などの怒りは強まる一方の用であるが、他方欧州委員会の姿勢は米国に対し手段、目的等明確な情報提供を求める方針であることは間違いない。

(4)2013年8月13日、 EU指令第29条調査委員会が欧州委員会に対する意見書「EU: WP29 questions PRISM compatibility with Safe Harbor principles」原文を提出した。


　　*************************************************************************************************************

(注1) ドイツの情報保護制度に関しては筆者ブログ「Googleのストリートビューをめぐる海外Watchdog の対応とわが国の法的課題 （その５）(4)ドイツの例」ほか参照。

(注2)エシェロン通信傍受システムにつきわが国で正確に論じたレポートは限られる。たとえば、山口敏太郎氏のサイトなどがあげられよう。
一方、欧州議会のこの問題に関する2001年の報告書の取りまとめ経緯を見ておく。
2001年5月4日「 欧州議会のエシェロン通信傍受システム臨時委員会(Temporary Committee on the ECHELON Interception System)」が「作業報告書WORKING DOCUMENT(全92頁)」を公表し、また、同年7月11日「 REPORT on the existence of a global system for the interception of private and commercial communications (ECHELON interception system) (2001/2098(INI))最終報告書(194頁)」を公表している。

　今回、LIBEが改めてこの問題を取り上げ精力的に公聴会などを行っていることから見ても、再度議会での議論が高まる可能性が強いと考えられよう。(LIBEの審議内容・議題は公開されており、また、第三国の学生、研究者、ボランテア団体、トレイニー、オペア《AU pairs：外国の家庭で滞在させてもらう代わりに手伝いをしながら語学を学ぶ人》の傍聴参加を認めている)

（注3) 筆者は2010年2月9日の本ブログで 「EU議会が未承認のまま暫定発効したEU米国間のSWIFTテロ資金追跡 プログラム利用協定（その1）～(その6)」におけるEUと米国間のテロ資金追跡プログラムの内容と多くの論議につき取り上げた。今回、この問題が再度、EU議会でクローズアップされたといえる。

(注4)2012年4月19日、 駐日欧州連合代表部は「欧州議会、航空旅客の個人情報提供に関する米国との合意を承認 」をリリースした。欧州議会は4月19日（木）、欧州連合（EU）の航空旅客個人情報の米国当局への提供に関する新しい合意を承認した。同合意は、情報の保管期間、使用、データ保護措置、行政上および法的な救済（賠償）等の問題に対応し、法律上の諸条件を設けている。新合意は、2007年に結ばれた暫定合意を置換する、という内容である。

(注5)イムケ・ゾンマー女史は、2009年4月に自由ハンザ都市ブレーメン州の保護委員選任された。

(注6) 「セーフハーバー協定に関する2000年決定(2000/520/EC)」は、 欧州議会と欧州連合理事会の保護指令(Directive95/46)に従った保護の妥当性における2000年7月26日に採択されたもので、「Safe Harbour Privacy Principles」に関し、2000年8月28日(7頁もの)に米国商務省によって発行されたよく出る質問と関係づけている。

(注7) 「標準契約条項に関する2010年決定(2010/87/EU)」については、2010年3月7日の筆者ブログ「欧州委員会が非EU/EEA国のデータ処理者への個人情報移送に関する 改正標準契約条項を決定（その１）、(その2)」で詳しく解説している。
　
(注8) 2013年7月14日 筆者ブログ「欧州司法裁判所AGがGoogleを巡るEUデータ保護指令(95/46/EC)等の 解釈につきスペイン裁判所に意見書(その１) 」：２．「データ主体による削除請求権」に関する2012年12月EU委員会による「データ保護一般規則(案)」で詳しく解説している。

***************************************************************************************************************
Copyright © 2006-2013 星野英二(Eiji Hoshino)．All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

ドイツのサイバーセキュリティ機関(BSI)の概要及びサイバーセキュリティ戦略を概観

　
　Last Updated: April 30,2024

なお、本ブログをgooで読みも込もうとすると一部URLはドイツ連邦情報機関等からアクセス(リンク)拒否になる。原因は不明であるが、筆者は同じ原稿をWordpressも投稿しているので、そちらで閲覧してほしい。

１．BSIの概要

　ドイツ政府(連邦内閣)は、2005年7月「IT基盤保護に関する国家計画(Nationaler Plan zum Schutz der Informationsinfrastrukturen(NPSI)」(全25頁)(注1)を採択・公表した。このような計画を発表したのはEU加盟国では最初といわれているが、次回にその概要を紹介することとして、まず今回はわが国ではあまり紹介されていない同国の情報セキュリティの連邦中核機関である”BSI”について解説する。　

(以下URLでリンク可)

https://www.innenministerkonferenz.de/IMK/DE/termine/to-beschluesse/05-12-09/05-12-09-anlage-nr-16.pdf?__blob=publicationFile&v=2

　ドイツ政府の情報セキュリティに関する取組みの歴史を概観すると、1986年中央暗号化機関（Zentralstelle Fur das Chiffrierwesen：ZfCH）(注1-2)がコンピュータセキュリティ問題を扱う機関としての任務を託され、1989年には連邦政府の情報セキュリティ関連機関として、名称は「Zebtralstelle fur Sicherheit in der Informationstechnik,ZSI」となった。リスク、防御、各種手段の情報提供とメーカー、法執行機関、警察、ユーザーなどと連携すべく1990年にIT方針に基づく連邦法に基づく現在の機関「情報セキュリティ庁（Das Bundesamt für Sicherheit in der Informationstechnik ：BSI）」となった。(BSIの組織図参照)URL:

https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/BSI/org_chart_IFG_pdf.pdf?__blob=publicationFile&v=6

　BSIの基本的機能は次のとおり列記されているが、詳細に読むと技術先進国らしく独自の対応が見られる。

①消費者への情報提供（セキュリティ認証に関するQ&A形式の解説）、②メーカーへの情報提供、③Windows用の暗号化プログラム（Chiasmus）の説明とそのインストール方法などの図解入りで説明、なお、Chiasmusについて詳しく知っている方はぜひお教えいただきたい。④認証技術、⑤セキュリティに関する一般的評価方法論、⑥Larry Wall 氏が作成したプログラミング言語であるペール（Perl）による分散コンピューティング・モジュールのダウンロード方法など、⑦情報技術機密保護評価マニュアル、⑧情報技術セキュリティ評価基準、⑨情報技プロトコルに関する基本的なツール、⑩非公式のグループではあるが会員各国（フランス、ドイツ、フィンランド、オランダ、スェーデン、英国）による大規模や、地域をまたがるセキュリティ事故に対する共同対策（measuresto）、違法なプログラム・脆弱性に関する情報の共有と対策技術の研究などである。

　また、BSIはe-Governmentマニュアルを策定し、ドイツの「2005年連邦オンライン（BundONline 2005）」を見ると①e-Government、②連邦政府のオンラインサービスの内容、③ITに関するコンサルティングサービス内容、④毎年度実現したサービス内容、⑤政府としての計画の管理・チェックリスト、などが列記され、それぞれについて、一覧性に配慮しつつ国民が全体像を学習できるようになっている。(注1-3)

　最後にBSIの研究テーマを見ておく。これらの内容はいずれも専門家による研究の成果であり、また筆者の知識の範囲を超える点も多く含まれており、今回は項目のみ掲げる。ただし、いずれの項目もIT国家・IT社会と取り組むために今後わが国でのさらなる研究が重要なものであり、機会を見て再度取り上げることとしたい。

①バイオメトリックスの意義と利用目的、種類（指紋、虹彩、顔相が対象）、バイオ認証の有効性
②電子パスポート（生体認証にもとづくもの）2005年2月に欧州委員会が技術面の特定化を行い、各国が立法を含め先行的に取り組んでいる。これと関連して、BSIは連邦犯罪捜査局と協力している。
③デジタル基本OS（BOS）に関する暗号化要素（Kryptkomponente）
④IT分野における安全性基準
⑤安全性の基礎となるIT保護原則(IT Grundschutz)。今日のITシステムの構成において一般的に必要となる安全予防への手段、実装に対する忠告、援助など。
⑥ドイツにおける重要基盤（交通運輸、エネルギー、化学・バイオ技術、情報技術・通信、金融・保険、健康・怪我、食料・水の供給、行政活動・法律執行など）の保護(critical infrastructure protection：CIP)
⑦コンピュータ・ウイルスなどに関する最新情報
⑧連邦政府によるコンピュータ緊急対応チーム(Computer Emergency Response Team)の強化

　なお、NPSI等に基づき2007年には連邦内務省(Bundesministerium des Innern und für Heimat:BMI)およびBSIならびにドイツ内の約30の基幹インフラ運営企業や業界団体の代表からなる集まり「CIP実施計画(Umsetzungsplan KRITIS)」がまとまり連邦政府により採用された。また、ガイドラインとなる「連邦行政機関の実施計画(Umsetzungsplan für die Bundesverwaltung, or Umsetzungsplan Bund )」も採択された。 (注2)(注3)

２．国レベルでの法的措置の経緯概要につきドイツインターネット信頼セキュリティ研究所(DIVSI)解説の仮訳

　連邦政府は2005年にこれらの新しいITセキュリティへの脅威に対処すべく「情報インフラストラクチャ保護のための国家計画(NPSI)」で対応し、ITセキュリティを法的政策アジェンダの焦点に置いた。2007年には、ドイツの約30の大規模インフラ企業および利益団体と国家間の協力のために開発された「実施計画KRITIS (UP-KRITIS)」(以下が６頁のパンフ)が、重要なインフラの分野についてこの計画を設計するために追跡された。関係する組織による自発的な取り組みにより、政府はITセキュリティの最低レベルを保証することができた。

　NPSIの後には、2009年6月17日に「重要インフラ保護のための国家戦略：Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) 」(全20頁)が続いた。これは、連邦政府の目的と政治的戦略的アプローチを要約し、これまでに達成されたことを統合ベースで継続し、新たな課題を視野に入れてさらに発展させるための出発点となった。

URL:https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/kritis.pdf?__blob=publicationFile&v=3

　国家戦略の最も重要なコンテンツ関連の目標は、すべての関係者と調整される適切な手段によって、ドイツの重要なインフラストラクチャの保護レベルを既存の予想されるリスクに適合させることであり、リスクが事前に認識され、深刻な混乱と障害が回避または最小限に抑えられる(防止)。緊急管理による誤動作と障害の結果, 冗長性と自助能力は可能な限り低く保たれ(反応)、継続的に更新されるリスク分析とインシデントの分析を使用して、保護基準(持続可能性)を改善する。重要なインフラストラクチャの大部分は個人所有であるため,国家と経済からの関係者の協力が国家戦略の焦点となる。

 ****************************************************************************************
(注1)ドイツの重要インフラ防護における情報基盤保護のための包括的戦略を示した文書(全25頁)。2005 年に連邦内務省(BMI) から公表されたが、執筆はBSI が行っている。情報基盤保護の戦略目標として以下の視点と個別目標が示されている（平成20 年度内閣官房情報セキュリティセンター委託調査「各国の情報セキュリティ政策における情報連携モデルに関する調査」から引用 ）

なお、同計画のドイツ語版はBSIからは入手できないが、別サイトで閲覧可である。

(注1-2) ZfCHについてドイツ最大の財団のHNFブログ(2017.3.14)が詳しい。このブログの運営主体である2つの財団について補足する。
ミュンヘンのハインツニクスドルフ財団( Heinz Nixdorf Stiftung, München)とノルトライン＝ヴェストファーレン州パーダーボルンのウェストファリア財団(Stiftung Westfalen)は、1986年に亡くなった起業家ハインツニクスドルフの財産から生まれた民法に基づく2つの独立した非営利財団である。この財団の資産は元々、ハインツ・ニクスドルフが保有するニクスドルフ・コンピューターAGの普通株式で構成されていた。現在の基礎資産は、会社のこの株式の売却によるものである。ハインツニクスドルフ財団とウェストファリア財団は、今日のドイツで最大の民間財団の1つである。
両方の財団は法的に独立しているが、共通のルーツ、ほぼ一致する財団の目的、および並行管理のために、密接に関係している。

(注1-3) ”BundONline 2005”についてはドイツのIT関連出版社Heinz Heiseが解説　Bundesregierung sieht Initiative "BundOnline 2005" am Ziel | heise onlineしている。

(注2) 本文の説明はBSIサイトの「ドイツにおける基幹インフラの保護」に関するサイト説明から引用した。

(注3)「連邦実施計画 2017-連邦政府における情報セキュリティに関するガイドライン」参照。

〔参考URL〕
・http://www.bsi.de/english/documents.htm BSIの歴史、役割、機能など

・https://www.bsi.bund.de/EN/TheBSI/Functions/functions_node.html

・https://www.bsi.bund.de/EN/Topics/Industry_CI/CI/criticalinfrastructures_node.html

・https://www.bsi.bund.de/EN/Topics/Industry_CI/Industry_CI_node.html
・https://www.bsi.bund.de/EN/Topics/Criticalinfrastructures/criticalinfrastructures_node.html
・http://www.bsi.de/themen/index.htm　BSIの取り組みテーマ

*******************************:*************************************************

（今回のブログは2005年8月28日登録分の改訂版である)
　　　　　　　　　　　　　　　　　　　　　　　　　　　　
Copyright © 2005-2010芦田勝(Masaru AShida )．All Rights Reserved．No reduction or republication without permission．