EUの「一般データ保護規則」および「新保護指令」の欧州議会可決の意義と米国との関係見直しおよびわが国の実務等への影響(その1)

 

　2016年4月14日に欧州議会本会議は「一般データ保護規則(正式には「Regulation(EU)2016/679」、以下「GDPR」という)」 (筆者注1)および「新保護指令(正式には「Directive(EU)2016/680」を採択した。さらに4月27日付けで「Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)」および法執行･司法部門の情報保護指令(以下「新指令」という)「DIRECTIVE (EU) 2016/680 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA」

が正式に公布された。 

　翻ってみると、GDPRは2012年1月に欧州委員会が規則案等を提案、幾多の修正、関係機関での審議を踏まえ、今般の欧州議会の可決まで約4年以上かかったことになる。この規則案の制定の背景、意義、経緯、主要な事項等についてはすでにわが国でも解説が加えられている。

 　特に注目すべき点は、GDPR制定の意義は、従来EU加盟国だけでなくEUとビジネスを行って来た多くの関係国の個人情報保護の基礎とされてきた「EU指令(Directive 95/46/EC)」の法的効果、21年間の運用面･裁判上の反省に基づくものであり、今後の世界の主要ビジネスのメルクマールとなると考えるべきことである。

　その意味で、筆者自身、海外の主要ローファーム(筆者注2)の解析内容も含め前述したとおり改めて整理する重要性、意義を優先すべきと考えた次第である。 

　今回のブログは、わが国におけるGDPRの主な解説レポートを概観するとともに、2018年5月25日施行(運用開始)までの間に予定されるより詳細なDPR内容の具体化、各国政府や企業等の対応がいかなる課題を抱えるのか等を整理するものである。特に、わが国におけるマイナンバー制度等にあわせ改正された個人情報保護法の改正ポイントと比較すると、人権保護面から見て多くの課題(とりわけ「匿名化情報」を個人情報からはずした点や現行の業法たる「個人情報保護法」から「プライバシー保護法]への基本的転換問題等(筆者注3)を残している。　 

　最後に、国際的なローファーム 「Bird & Bird」のGDPRがまとめたEU域内で活動する企業等の法遵守に向けた取り組み課題について、主要な点を中心にとりまとめたガイド等に基づく解説内容を概観する。 

　なお、欧州委員会の「GDPR」や「新指令」の専門解説サイトでも引用されているとおり、従来、米国とEU間の個人情報の移送ルールである「セーフ・ハーバー協定」に替わる新ルールたる”EU-U.S. Privacy Shield”が2016年6月2日にEU･米国間で署名され、2016年8月1日に完全実施された点も重要な問題といえるが、その内容、問題点等については、本ブログで別途の機会に取り上げたい。

 今回のブログは、2回に分けて掲載する。 

１．わが国のネット上で公開されたGDPRの経緯、概要、今後の課題等にかかるレポート等 

　筆者が、最近時に閲覧したレポートから注目すべきものを以下あげる。  

(1)オーエスジー総研　水間丈博「EUの一般情報保護法制定の動きとその影響」 

　GDPRの制定に向けた背景、経緯、GDPR内容を中心に簡潔にまとめられている。このレポートは2015年12月の発表されたものであるが、3か月程度経過すれば新たな動きが明らかとなり、続編をレポートしたいとの筆者は述べている。特に大きな変化がないためか続編は出ていないが、是非わが国の保護法法制を含めた本格的なレポートを期待したい。  (筆者注4)

(2)東京大学大学院情報学環客員准教授・情報通信総合研究所研究員　生貝直人「EU一般データ保護規則可決、そして情報社会の民主主義について」

 　これまでのEUにおける検討内容を整理するとともに、今後のGDPRを受けた詳細なルール形成に向けた論点をまとめている。  

(3)情報通信総合研究所研究員　藤井秀之「閣僚理事会によるEUデータ保護規則案の承認と今後の予定」 

　2015年6月に公表したものでタイムラインの解説が中心ではあるが、GDPRのキーワードはフォローされている。また、内外の関係機関の解説記事のURLも紹介している。  

(4)西村あさひ法律事務所・弁護士　石川 智也 「発効が迫るEUデータ保護規則と日本企業にとっての留意点」

　EUのGDPRに基づき域外適用、域外移転、課徴金問題等がわが国の企業の展開にいかなる影響を与えるかなど具体的事例に基づいた解説を行っている。

(5)ZDNet記事「EUの一般データ保護規則と改正情報保護法ー日本企業が気をつけるべきことは」 (その1 )、 (その2) 

　世界的ITローファームで構成する専門家グループ：Deloitte Tohmatsu Risk Services Co., Ltd.が主催した講演会の要旨をまとめている。 

　わが国企業自体が留意すべき点、英国のBrexitによる影響等をGDPRのポイントを中心にまとめている。  

2.欧州委員会のGDPRや新指令の専門解説サイトの内容からみるEUのIT社会の進化の情報保護面からの具体的取り組み課題とこれまでの検討経緯の概要

 　欧州委員会のGDPRや新指令の専門解説サイト(Reform of EU data protection rules)から重要と思われる点のみ取り上げる。  

(1)欧州委員会のEUにおける情報保護改革に関する合意 

　2015年12月15日欧州委員会は、GDPRおよび新指令につき合意したことを踏まえ、次のとおり要約、公表した。 

 A.GDPRの制定目的 

①GDPRは、人々がよりよく彼らの個人データをコントロールすることができるものとする。同時に現代化されたこの統一規則は、企業が官僚主義を改め、補強された消費者信用から利益を得ることによって「デジタル単一市場(Digital Single Market)」の機会を最大限に活用することを許す。 

②警察と犯罪の司法セクターのためのデータ保護指令は、犯罪の被害者、目撃者と容疑者のデータが捜査または法の執行活動の前後関係で順当に保護されることを確実とする。同時により多くが調和した法律は、ヨーロッパの全域でより効果的に犯罪とテロリズムを防止するために警察または検察官の国境を越える協力をも容易にする。 

B.GDPRの主要課題 

　新しい規則GDPRは、以下の点を通じてEU市民の懸念に対処する。 

a. 「忘れられる権利(right to be forgotten)」 ： 個人がもはや彼（彼女）のデータが処理されることを望まないで、またそれを保持するだけの正当な根拠がないと欲したとき、データは削除されうる。 これは単に過去の出来事を削除するか、出版の自由を制限することでなく、これはあくまで個人のプライバシーを保護することである。   

b. 「その人自身の個人データへのより簡単なアクセス権(Easier access to one's data)」： 個人にとって、どのように彼らのデータが処理されるか、またこの情報が明確かつ理解できる方法で利用されなければならない。 データの携帯性に対する権利(A right to data portability )は、個人がサービス・プロバイダー間において個人データを送ることをより簡単にする。  

c. 「データ主体につき自身のデータがハッキングされたかにつき迅速に知る権利(The right to know when one's data has been hacked)」 ： 会社や団体等は、国家の監督機関に個人を危険にさらされているようにするデータ漏洩に事実を通知しなければならず、ユーザーが適切な処置をとることができるように、すべての大きな情報漏洩リスクをできるだけ早く被害者たるデータ主体に通知しなければならない。 

d. 「あらかじめ計画的かつ初期値化されたデータ保護(Data protection by design and by default)」 ：『計画化されたデータ保護』と『初期値化されたデータ保護』は、現在のEUデータ保護規則の必須の要素である。データ保護の安全装置は発展で最も初期のステージから製品・サービスに組み入れられねばならない。そして、プライバシーに配慮した初期値のセッティングは標準となる(たとえばソーシャル・ネットワークあるいはモバイル・アプリ等で)。 

e. 「規則に基づくより強い罰則法の施行(Stronger enforcement of the rules:)」： データ保護当局は、彼らの世界的な年間取引高の4%までEU規則に従わない大手企業にも罰金を課しうる。  

(2)GDPR等に関する主な概要報告(Fact Sheets) 

　ここでは逐一論じないが、標題のみ仮訳しておく。読者は関心のあるテーマごとに、個別に内容を確認されたい。 

a.①データ保護規則はいかなる方法で市民権の強化を図ってきたのか？ 

②EUの情報保護制度改革は新しい技術革新にあわせていかなるルールを採用したのか？ 

③EU内で活動する企業等のとって新規則はいかなる利益がえられるといえるか？ 

④新規則による改革はソーシャルネットワークにいかなる影響をもたらすか？ 

⑤EUの情報保護改革はEU域内市場を強化させるか？ 

⑥EUの情報保護改革は国際協調をより簡易なものにするか？ 

⑦EUの情報保護改革は既存の保護ルールをより単純化するか？ 

⑧EUの情報保護改革とビッグデータ問題　  

b.GDPRおよび新指令の制定に関するインパクト･アセスメント 

  立法にあたりその影響度評価を徹底した解析を行なうべきことは、英国でなくとも当然のことといえ。EUの資料を以下、仮訳する。 

　なお、わが国の保護法のあり方について従来から積極的な取り組みを行っている新潟大学法科大学院教授　鈴木正朝氏の論調等を参照されたい。 

①1995年のデータ保護に関する現在のEU法的枠組み (筆者注5) の採用以来、急速な技術的およびビジネス開発が、情報保護のために新しい挑戦をもたらした。この個人データのデータ共有と収集のスケールは、劇的に増加した。 

テクノロジーは、私企業や公的機関は個人データを先例のない規模で利用することを可能とした。また個人は公的ならびにグローバルに利用できる個人情報（そこに含まれる危険に完全に気づかないまま）をますます公表している。  

オンライン環境への信頼は、経済発展の鍵である。その信頼の欠如は、消費者がオンラインで購入したり、新しいサービス（電子的な公的政府サービスを含む）を採用するのを躊躇させる。その努力を怠ると、信頼不足は新技術による革新的な活用を遅らせ、また公共部門サービスにおいて電子化の潜在的利益を得ることから避けることにつながる。 

②さらに、リスボン条約 (筆者注6)は「欧州連合の機能に関する条約(TFEU)」第16条とともに、データ保護への現代化かつ包括的な取り組みならびに個人情報の自由な移送に関する法的基礎を(刑事問題について警察と裁判の協力をカバーする点も含め)作った。 

c.インパクト(影響)・アセスメントの概要の要訳 

　行ったインパクト・アセスメントは次の３問題分野において提示と分析を行った。 

2.1. Problem 1: Barriers for business and public authorities due to fragmentation, 

legal uncertainty and inconsistent enforcement

 2.2. Problem 2: Difficulties for individuals to stay in control of their personal data  

2.3. Problem 3: Gaps and inconsistencies in the protection of personal data in the

field of police and judicial cooperation in criminal matters 

d.権限委譲および均衡性の分析

e.3つの主要なポリシーとその対象 

　①このように情報の断片化を減らし、一貫性を強化し、規制環境を単純化することによって、不必要な経費を省き、管理上の重荷を減らし、データ保護の内部市場規模を強化することとなるか。 

　②データ保護に対する基本的人権の効率性増すとともに個人データへの当該本人のコントロール権を置くことになるか。 

③犯罪問題につき警察の協調および司法の協調においてリスボン条約を完全に考慮することでEUの情報保護の一貫性を強化できるか。 

f.ポリシーの選択( Policy Options) 

①オプション1:ソフトな処置が中心

 ②オプション2:近代化された法的枠組みが中心 

③EUレベルにおける詳細にわたる法的ルールが中心 

g. インパクト(影響)のアセスメント 

 各オプションの比較を行った。 

h. 結論：最も好ましいオプション(Preferred Option): 

　オプション2の近代化された法的枠組みに次の修正内容を結合させる。 

①オプション3からの通知義務を廃止し、 

②オプション1の中からプライバシー保護を強化させるテクノロジー、認証制度の強化ならびに個人の認識を上げてるためのキャンペーン等『ソフトな処置』を加える。 

　また、最も好ましいオプションは、過剰な法令遵守経費なしにかつ管理費用の重荷の大規模な縮小する点で政策目標を達成することになる。 

3.Bird & BirdのGDPRの主な重要項目の解説 

　前述した内容と重複が生じるが、体系的理解を重視することからあえて仮訳にもとづく解説を行う。なお、筆者の判断で重要と思われる点のみ解説したが、訳語のミスもありえるので、読者はできる限り原典で内容を正確な内容を確認されたい。

　なお、筆者は本仮訳作業に世界的ローファーム「モリソン･フォースター(Morrison & Foerster)」のGDPRに関する解説レポートおよび仮訳を見つけた。本ブログが引用したレポートと重複したり、さらにGDPRの条文引用など詳細な解説も含まれているが、一方で例えば「目的限定とビッグデータ」や「プライバシー・バイ・デザイン及びプライバシー・バイ・デフォルト」として引用している内容は本ブログでいう「仮名化データ(Pseudonymous data」であると思えられるなど、なお比較･検討すべき点もある。読者は双方を比較されたい。 

 (1)2015年12月18日付けの解説記事「Agreement on general data protection regulation」 

　次の各項目につき概要を仮訳する。なお、記事の前書きの最後に数週間また数ヶ月以内に「企業等が取るべき具体的な行動内容についてのガイダンス」を公表すると述べている。同ガイダンスの内容は(2)で詳しく述べる。  

①Long-arm jurisdiction reach： 

　GDPRは、商品またはサービスの提供、あるいはEU域内で個人の行動をモニタリングする場合にEU居住者の情報処理に適用される。その団体･組織の本部がEU域外であっても適用される。 

　この域外適用(extra-territorial reach)の判断・調査に関連する要素としては、EU加盟国で使用される言語または通貨の使用、EU内における発注場所としての能力あるいはEUのユーザーまたは顧客が含まれる。インターネット上でのEU住民のトラッキングにもとづく嗜好並びに行動分析やプロファイル作成の予測行為も含まれる。 

　なお、域外適用を受ける団体･組織がGDPRの域外適用規を遵守する場合は、EU域内にその代表者を任命しなければならない。  

②Continued application to EU based organisations 

　GDPRは、またEU域内ですでに設置された団体･組織の関連で実行される個人情報の処理について、EU内の一種の確実に調整されたものとして適用される。  

③どのようなデータがGDPRによりカバーされるのか(What data is covered？) 

　GDPRは生存する個人の特定または何者かの特定可能なデータに適用される。GDPRは、個人的なオンライン識別子(online identifiers)、端末識別子(device identifiers)、クッキーID (筆者注7) 、IPアドレス等個人に参照されるオンライン・データーの一定の範囲をハイライトとして引用している。 

　IPアドレスに関しては、2016年5月12日、欧州連合司法裁判所の法務官カンポス・サンチェス・ボルドーナ(Campos Sánchez-Bordona)は2016年5月12日に動的IPアドレスに関する意見書を同裁判所の提出した。 (筆者注8) 

　機微情報についての現在の概念は、保持する個人情報の範囲は遺伝子情報や生体認証等範囲は拡がりつつある。現行の保護指令(Directive 95/46/EC)においてさえ、機微個人情報は明確な同意に基づき保有されなければならない。 

 

*******************************************************: 

(筆者注1) GDPRの全文訳は、JIPDEC訳「個人データ保護規則」案 仮訳 (全176頁)参照。 

(筆者注2) わが国の保護法改正につき2015年9月9日公布の「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」の概要を参照されたい。これに関し、に改正保護法に基づき設置された個人情報保護委員会は8月2日「個人情報の保護に関する法律施行令の一部を改正する政令（案）」および「「個人情報の保護に関する法律施行規則（案）」を公表,、8月31日を締め切りとする意見を公募しており、あわせて問題点を理解されたい。  

(筆者注3) わが国の保護法立法論者として独自の見解を展開されている新潟大学法科大学院教授　鈴木正朝「個人情報保護法の課題と立法政策：個人情報保護法制からプライバシー保護法制へ」において重要な立法問題を提起されており、2010年8月6日のTwitter8/6 35で「プラバシ-の権利を軸として法令をもたなければ、第三者機関のPIA(プライバシー･インパクト･アセスメント)の権限を付与することもできない。特定個人が識別できるか否かという対象情報のみをしかも形式的にしかチェックできない中での権限でいったい何が守られるというのか」という厳しい指摘を行っている。鈴木教授が経済産業研究所の2010年9月17日セミナー「共通番号制度、国民ID時代における個人情報保護法改正の論点 -プライバシー情報保護法制への転換と第三者機関の必要性」レジュメで取り上げられているものである。 

(筆者注4)同レポートにおいて「DPO:Data Protection Officer）」をデータ保護官と訳されているが、本ブログやモリソン・フォースター法律事務所の訳のとおり「データ保護責任者」や本ブログでいう「情報保護担当役員」と訳すのが正確であると思う。 

(筆者注5) Directive 95/46/ECおよびFramework Decision 2008/977/JHA をさす。  

(筆者注6) ｢リスボン条約」の解説例 

【EUの"新しい顔″が誕生】 

リスボン条約のポイント リスボン条約は、2007年に調印され、2009年12月に発効したEUの新しい基本条約です。この条約の大きな特徴としてまず挙げられるのが、EUの"新しい顔″の誕生です。EU加盟国の"首脳会議″とも言える欧州理事会の「常任議長」、そして、一国の"外務大臣"にあたる位置付けの「外務・安全保障政策上級代表」の2ポストが新設されました。欧州理事会にはこれまでも議長がいましたが、常任ではなく、EU加盟国の首脳が半年交替で就任していたため、EUの重点課題が半年ごとに揺れ動いたり、本国の国政とのバランスをとるのが難しかったりするなどの課題が指摘されていました。外務・安全保障政策上級代表は、複雑な国際情勢の下でEUの外交政策を強力に推進するために新しく設置する「対外活動庁」(EU版の外務省)のトップに立ちます。こうした機構改革により、民族も言語も多様なEUは、より民主的で力強い政策が展開できるとしています。ほかにも、気候変動、テロ対策、警察・司法分野の段階的な統合、移民・難民政策の共通化、EU拡大など、新たな課題への対応能力も一層強化していくことになりました。 

外務省「わかる国際情勢」から一部抜粋 

(筆者注7)ブラウザの Cookie に保存される固有のIDをいう。 

 (筆者注8) 欧州連合司法裁判所の法務官(AG)の意見書のうち、2014年12月17日にドイツ連邦通常最高裁判所から出された質問書の第1点たる「動的IPアドレス」はEU保護指令（Directive 95/46/EC）やドイツ国内法に規定する個人情報にあたるとしたものである。この問題につき、わが国の関係者による解説は皆無のようであり、解説を試みるにはなお時間が必要なので、ここでは主な解説レポートのURLのみ挙げるにとどめる。 

①2016.5.18 edri「Advocate General: Dynamic IP address can be personal data」 

②2016.5.13 Inside Privacy「EU Advocate General Considers Dynamic IP Addresses To Be Personal Data 」  

************************************************

Copyright © 2006-2016 福田平冶(Heiji Fukuda)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

 

EUの「一般データ保護規則」および「新保護指令」の欧州議会可決の意義と米国との関係見直しおよびわが国の実務等への影響(その2完)

 

④仮名化データ(Pseudonymous data)

 GDPRはあらたに「仮名化データ」の概念を持ち込んだ。仮名化されたデータ（pseudonymised data）（それは追加情報の利用によって自然人に結び付けることが可能である）等のデータは、識別可能な自然人に関する情報としてみなされるべきである。 (筆者注9)

　仮名化データも、なお個人情報の一形式である。しかしながら、その使用は促進される。例えば、もし処理がもともとの個人情報を収集・処理するという目的と互換性がないと判断されるなら考慮すべき要素となる。

仮名化は、またデザインや初期設定においてプライバシーを実践するという要求条件を満たすことかつデータのセキュリティの保証義務に合致する技術例などが含まれる。

　最後に、個人情報を歴史的または科学的調査または統計的に使用することを欲する機関等は仮名化データの使用があらゆる場合において義務付けられる。 

⑤データ主体の明確または曖昧な「同意」

　この「同意」は明確なものでなければならない。機微個人情報の処理に関する同意は計画でなければならないが、他方でその他の個人情報の処理に関する同意は必ずしも明確であることは必要ない。 

　なお、この同意は特定化され、情報が提供されかつ能動的なものでなければならない。同意は一定の技術的背景の選択、あるいはその他の承諾を指し示す声明や行動においても示しうる。ただし、沈黙または非反応的なものでは不十分である。

 　同意は自由に与えられかつ個人に損失がないかたちで同意が引き出されなければならない。契約締結時またはサービスを受けるときに、実際サービスの提供に必要でない個人情報の取り扱いにかかるユーザーの所与の同意とひも付きであってはならない。 

　団体等は別途の手続きにあっては別途の同意を得ることが求められる。これらの強制または包含的な同意の推定は無効である。すなわち、団体等は同意が現時点で本物かつ細かな点で内容選択が可能となるよう再検討する必要がある。

 　個人情報の処理は「同意」に基づくことは必要ではない。すなわち、契約上の必要性を含むEU加盟国やEUの法的な義務を遵守するもので、そこでは処理が情報コントローラーまたは別の団体等の合法的な利益にとって必要であり、またこれらの利益は個人の情報保護権により覆されないものであれば処理の根拠となりうる。ダイレクト･マーケテイングやネットワークセキュリティにかかる詐欺を阻止するための処理は、ここで言う合法的利益実行する例として引用可能である。請負グループによる従業員や顧客間の個人情報の共有も、合法的利益の例といえる。

　しかしながら、公共団体の場合はこの合法的利益に基づく正当化によることはできない。 

⑥子どもは同意は有効な同意が認められるのか？(Can children give consent?)

　おそらく可能といえよう。13歳未満の子どもオンライン・サービス(すなわち、emailやフェイスブック･アカウントのセットアップ)で要求される個人データの処理に関する同意を与えることはできないであろう。16歳以上は彼ら自身で同意をなしうるであろう。その間の年齢層については初期値はEU家計国の法律が敷地年齢を下げていない限り親権者の同意がその同意となろう。オフラインのデータ処理に関する親権者の同意権に関する特別なルールはない。すなわち一般的なEU加盟国の意思能力に関するルールが適用される。 

⑦説明責任(Accountability)、インパクト・アセスメントおよび情報保護役員(DPOs)の指名

　団体等は、遵守任すなわちバランスのとれたポリシーの採用を通じてデータ保護の諸原則を推し進めるべきである。個人情報の管理者(controllers)や処理者(processors)の双方において行動規範の承認にむけたその強力な遵守が法遵守の強化方法として示されている。 

　個人の高度なプライバシー・リスクを含む新技術(行動モニタリング(monitoring activities)、系統的評価(systematic evaluations))が用いられる場合、または特別なカテゴリーにあたる個人情報を処理する場合等)情報管理者は詳細なプライバシーにかかるインパクト･アセスメントすなわちプライバシー侵害の評価ならびにいかにそのリスクの最小化するかにつき文書化しなければならない。再度となる制定された行動規範の遵守がその助けとなる。インパクトアセスメントの結果においてデータ主体につき実際高いリスクが生じる場合は、情報管理者は情報保護当局に関与させるとともにその見解を得なければならない。 

　くわえて、情報保護当局やリスト化された機微情報活動に関係する機関等の各情報管理者および処理者は情報保護担当役員(data protection officer：DPO)を指名しなくてはならない。グループ企業では、各情報保護担当役員を併合化しなければならない。 

⑧透明性(Transparency)

　団体等は個人の情報を処理するにつき広範囲の情報を提供することになろう。GDPRはEU全体にわたリ適用される各種の透明性に関する義務を併合している。それに関しGDPRは6頁にわたる透明化すべき情報リストを提供する、しかし、EU機関はそれを怠った場合また簡潔、透明性をもってかつわかりやすく、かつ簡単にアクセスできる手段を提供しなくてはならない。もし、欧州委員会が後日、委譲された行動においてそれらを選択したときは標準化されたアイコンの使用が可能である。 

⑨強化された個人の権利

　アクセス権や修正権(rectification)が保持されている。これらはアクセス要求が不合理または過度な場合に情報保護管理者を保護するいくつかの保護項目である。

　「忘れられる権利(right to be forgotten)」が認められ、個人情報を公的にしうる情報管理者は情報主体の個人情報の削除要求を第三者に通知すべく合理的なステップを踏むことを義務付けている。 

　「忘れられる権利」は絶対的なものではない。すなわち、情報管理者は情報主体からの反対があったにもかかわらず、継続して処理を強行しうる合法的な根拠にもとづき個人情報の処理を行いうるのである。 

　個人はまた特定の種類の処理に反対する権利が与えられる。再度述べるが、この権利は絶対的なものでなく、管理者の利益は個人の利益を上回る。ダイレクト・マーケティング目的に反対する絶対的権利があり、このダイレクト・マーケティングのためのプロファイル化についても同様である。 

　完全に自動化された意思決定(automated - decision - taking)に関する管理者の能力は、その決定が法的効果や挙げたりまたは同様に個人に重大な影響を与えるときは制限されねばならない。

 　個人はそのような処理に反対する権利がある。個人に対する適切な保護が導入されねばならない。もし、処理が実行されたり、履行することが必要な場合、次の段階たる契約において個人は処理に反対する権利はなくなろう、しかし、人間の介入権(human intervention)や請願権はある。

 　新たに「データの移送・携帯性(data portabolity)」の権利を持ち込んだ。個人がサービスプロバーダーの情報を提供する場合、別のプロバイダーにデータを移行(port)を求めたり、技術的に実現可能とすることがある。しかしながら、このなおこの点につきデータ管理者に課されるデザインやデフォルト設定におけるデータ保護の要求をどのように交流させるかという内容は不明である。 

⑩データ管理者およびデータ処理者

　現行のEUシステムでは管理者は処理者の行動につき責任を負うことが維持されている。しかしながら、情報の移送等特定の分野においては最新時は処理者が直接責任を負う。 

　処理者の指名にかかる契約はさらに詳細なものでなければならない。すなわち、とりわけGDPRは処理者は下請け処理者の指名およびEEA以外へのデータの移送につき承諾を得るよう明記する。またGDPRは管理者の処理者を監督する権利を正式に定める。　

　標準化された契約が見込まれる。 

⑪損害と罰則

　個人は、物質的にまたは非物質的な損害賠償を管理者または処理者に要求する権利を有し、またGDPRに規定がある場合または管理者の合法的な命令の範囲外の行動につき処理者は情報漏洩につき直接責任を負う。 

　団体等は、損害を引き起こした出来事につき責任を負わないことの証明責任を負う。

 　複数の管理者や処理者がデータ処理にあたる場合、その中にいずれかの者が損害の責任を負うとするならば、当該個人に対し、すべての損害責任ー他の管理者からのクローバック補償能力(claw back compensation) (筆者注10)にもかかわらずーを負う。 

　監督当局は、違反されたGDPRの特別な規定に従い罰金刑を課す権能を有する。その罰は一層悪化するまたは軽減する要素に適合しうるものとなる。最高刑は前年の世界的に見た事業の総売上高の4%となろう。GDPRにはより小規模な規定違反に付き総売上高のいうというキャップが定められている。 

⑫ワン･ストップ･ショップ(あるいはそうでない？)

　GDPRは、データ保護法の監督方法につきプロセスを革命的に見直した。特定の国内法判断以外に主なまたは単一的な体制をもつ団体等が存するEU加盟国にあるリードする立場にある監督機関がGDPRを規制する。

　監督当局は他国の当局と連携かつ協調する詳細な構造が定められ、欧州情報保護委員会(GDPB)の創設につき監督機関間で意見の不一致の調整過程にある。 

　GDPBは、EU加盟国の監督当局の1人の代表と欧州委員会の代表(選挙によらないで)からなることになろう。 

⑬ファイリングおよび記録の保持

　関係する監督当局に規定通りの通知書を提出する従来のシステムは廃止された。しかしながら、その代わりに管理者と処理者の双方が彼らが実行する内部手続きの記録(処理者、監督者、合同監督者の氏名並びに接触の詳細)が必要となろう。250人以下の中小企業(SMEs)についてはこの文書化要求は例外とされる。

　 ただし、この中小企業の例外規定は当該団体等がリスキーな処理を行っていたり、機微情報を扱っていたり、刑事事件の有罪判決情報あるいはまれでない処理については適用されない。この最後の規定に関し多くのオンラインスタートアップは引き続き文書で保持されねばならない。 

⑭個人情報のセキュリティが破られた場合の監督当局やデータ主体等への通知義務

　管理者はセキュリティが破られた場合、次の通り通知義務を負う。

・a.監督当局に対するもの

　遅滞なくかつふさわしい場所でセキュリティが破られたことを検知してから72時間以内に行う。

○当該個人にとって結果としてリスクが発生しようがないと判断されるときは報告義務はない。ただし、団体等は破られた記録の保持は行わねばならないし、その結果、監督当局は遵守の有無を調査可能である。

○この通知は漏洩の本質の詳細内容並びに規模(データのタイプ；個人数；影響を受ける記録数)を含む。

　○ありうる結果とリスクの軽減手順も提供されねばならない。 

・b.個人データ主体に対するもの(ただし、彼らに漏洩が高いリスクを生じると思われる場合のみ)

○通知は遅滞なく、明確な言語によりかつリスクを軽減する手順内容を含み、更なる情報の入手のコンタクト・ポイントを含む必要がある。

○リスクが軽減された場合(すなわち、データの暗号化また管理者のデータの漏洩の郵送通知)

○通知は一定の状況において公的な公表によっても行いうる。 

　処理者は管理者への通知義務があるが、監督当局や個人に対する通知義務はない。 

⑮データの移転(Data Transfers)

　現行システムは改善を加えつつ、広く移転を認めている。個人データの移転に関する既存のGDPRにも引き継がれた。欧州委員会は現行の根拠に基づきそれらのステイタスの見直しをすすめているものの、標準的契約条項およびホワイト・リスト国家(white listed countries) (筆者注11) は特別なステイタスを保持している。 

　拘束的企業準則(Binding Corporate Rules：BCRs) (筆者注12) にもとづく承認もなお有効のままであろう。また、GDPRは管理者や処理者にとって現行の要求内容を法律として記載している。この点は、なおBCRsの未承認の数少ない国々にとって役立つものといえよう。 

　標準的契約条項に基づく移転の現行手続では通知は義務化されまた保護機関により承認規定は廃止された。 

(2)Bird & Bird 「guide to the General Data Protection Regulation」 

　基本的には、全文で66頁にわたるGDPRのガイダンスである。前述した解説の(1)を基本としつつ構成を見直し、また各項目ごとに「At a glance」「To do list(取扱事業者の取り組み課題のチェック)」「コンメンタール」という構成をとっている。 

　逐一の仮訳は時間の関係で略すが、大項目と中項目のタイトルのみ訳しておく。  

a.適用範囲、予定表および新たな概念 

①テリトリーから見た範囲 

②新しくかつ重要な変更した概念  

b.諸原則 

①データ保護の諸原則 

②情報処理のおよび更なる処理の合法性 

③合法的(正当)な利益 

④データ主体の同意 

⑤子どもの同意 

⑥機微情報および合法的情報処理  

c.個人の諸権利 

①情報通知を受ける権利 

②アクセス権、修正権と個人報を携帯する権利 

③反対する権利 

④削除および処理を制限させる権利 

⑤プロファイリングおよび自動意思決定の制限  

d.説明責任、セキュリティおよび情報漏洩時の通知義務 

①個人情報の統治義務 

②個人情報の漏洩と主体への通知義務

③行動規範とその認定  

e.個人情報の移送  

f.規制監督機関 

①監督当局の任命 

②能力(competence)、任務および権限 

③監督機関間の協調と一貫性 

④欧州データ保護委員会の設置  

g.法執行 

①救済および民事責任 

②行政上の罰金  

h.特別なケース 

　規範の逸脱および特別な条件  

i.委任行動と適用行動 

(3)    GDPRの主要な改正点を一覧でまとめた資料

　2016.8.3 Privacy Law Blog「An Overview of the New General Data Protection Regulation 」の一覧を仮訳する。

 

 

 

 

 (4)GDPRの逐条的な解説レポート

2016.5.10 Conflict of Laws net「The EU General Data Protection Regulation: a look at the provisions that deal specifically with cross-border situations」がある。

(5)EUの人権擁護団体である”ENISA”レポート

　独自にGDPRについて意見や今後実施時期までの2年間の取り組むべき課題等を整理している。

2016.1 ENISA「ENISA’s Position on the General Data Protection Regulation (GDPR)」(全3頁)      

 *************************************************

(筆者注9) わが国の改正情報保護法では「匿名加工情報」の概念を持ち込み「一定の制度的保護措置（提供先での本人を識別するための行為の禁止、第三者提供する旨の公表等）を取ることで個人のプライバシーに与える影響を少なくし、本人同意なく第三者提供と目的外利用を可能とした。この点に関し、国際社会経済研究所　小泉 雄介「個人情報保護についての基礎および最新動向」において詳しく論じている。 

(筆者注10) クローバック（clawback）とは、一般に、業績連動型報酬において報酬額算定の基礎となる業績の数値が誤っていた場合、又は、エクイティ報酬において株価が誤った情報を反映して不当に高くなっていたために報酬額もそれに比例して高くなったという場合に、水増しされた報酬を会社に返還させることを指して用いられる。このような報酬返還義務を定める報酬契約の条項はクローバック条項と呼ばれる。( 「役員報酬の在り方に関する会社法上の論点の調査研究業務報告書」45頁以下でclaw back 条項につき経緯も含め詳しく解説している。 

(筆者注11) 人権（政治亡命への適用は根拠がないと思われる）に対する取るに足らない脅威をもたらすために考慮されるべき国のリストをさす。辞典参照。 

(筆者注12)  EUからEU域外への個人データの移転（域外移転）に関する解説を一部引用する。「(1)　現行指令の下における規律

　まず、現行指令の下では、個人データの保護措置の十分性が確保されていると認定された国等に対して移転する場合を除き、原則としてEU域内からEU域外への個人データの移転は禁止されている（現行指令25条）。なお、日本はこの十分性の認定を受けていない。

　例外的に、①データ主体たる個人が、予定されている移転に対して明確な同意を与えている場合などの一定の場合（同26条1項）、②グループ企業内で情報を移転するための拘束的企業準則（Binding Corporate Rules、同条2項）の承認を受けている場合、③標準契約（Standard Contractual Clause、同条4項）を締結している場合には、EU域内からEU域外への個人データの移転が認められる。(2016年2月17日　西村あさひ法律事務所・弁護士　石川 智也「発効が迫るEUデータ保護規則と日本企業にとっての留意点」から一部抜粋。 

**********************************************

Copyright © 2006-2016 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.