Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

英国政府のEUのGDPR等の国内法化に向けた新情報保護法案の公表およびICOの契約ガイダンス(案)の意見公募等保護法制強化の動向(その5 完)

2017-10-11 10:47:44 | 個人情報保護法制

(H) 情報保護コミッショナーの法執行権と刑事罰

 48 英国の情報保護コミッショナー(ICO)は、英国の情報保護監督当局の責任者である。コミッショナーは、もともと「1984年データ保護法(Data Protection Act 1984)」によって提供されていた情報保護登録機関であった。1998年法では、情報保護コミッショナーに改称され、2000年法によってコミッショナーの現在のタイトルが確立された。本法案は1998年法を廃止し、GDPRは監督当局の存続を規定しているが、1998年法には引き継がれる必要がある事項がいくつか存在するため、法案は関連する条項を含む。  

 49 個人情報を含むすべての種類のデータは、30年前とは劇的に異なる方法でアクセス、分析、送信、保存されるため、責任者を調査し、制裁する権限は時間とともに変化し、成長した。1998年法の下では、ICO監督者は執行通知のみを提出することができ、罰金を科す権限は「2008年刑事司法および移民法」にのみ当てはまり、コミッショナーは最も重大な違反行為に最高50万ポンドを科すことができた。GDPRはこれを拡大して、コミッショナーは最も重大な場合に最大の罰金18百万ポンド(2,000万ユーロ)または総売上高の4%を課すことができるようにした。本法案は、告発の形態、控訴権および控訴権の行使方法に関する情報を含む、一定の保障措置が課されることを裁判官に罰金を科す権限があることを保証する。 

50 英国の情報保護法には、情報管理者の同意なしに個人情報を取得、開示、販売することに関する犯罪行為や、令状の遵守や一般市民の不正行為に関する一般的な犯罪が含まれている。 大半の訴追は、データ管理者の同意なしに個人情報を故意または無謀に入手または開示または調達に関する1998年法第55条に基づいている。最大の刑罰は金額無制限の罰金刑である。法案は、1998年法の刑事犯罪の多くを再現し、”GDPR”によってもたらされた法的枠組みの変更を説明するための変更を加え、新たな脅威に対処するための新たな犯罪を導入する。  

 51 2016年6月、英国の「市民の健康・保健機密情報の安全性と適正化にかかる諮問・監視機構(National Data Guardian:NDG:(トップは Dame Fiona Caldicott)」は、保健省とともに、個人情報が匿名化されたデータに含まれている個人の意図的な再認証を犯罪行為とすべきとする勧告を内容とする「データセキュリティ同意(Data Security Consent)」および「オプト・アウト(Opt-Outs)」に関するレビュー」を発表した。

  2017年3月1日、政府は政策方針書「英国デジタル戦略(UK Digital Strategy)」を公表し、NDG勧告に沿って新たな犯罪を創出することを約束した。本法案はそのような犯罪を規定している。  

3.EU指令EU2016 / 680(EU法施行指令)に関する英国ICOの解説

 これまでの解説内容と一部重複するが、EU指令EU2016 / 680(EU法施行指令)に関する英国ICOの解説を、以下、仮訳する。

  本指令は、犯罪防止のための個人情報の処理とそのようなデータの自由な移転を対象としている。 

(1) それはなんのための指令か? 

 本指令は、個人情報が、刑事犯罪の予防(prevention)、捜査(investigation)、取り調べ(detection)、訴追(prosecution)、または刑事罰の執行の目的で当局によって処理された場合に、個人を保護するものである。 

 新しい指令の下では、犯罪防止と取り調べを取り巻く活動に関連して、特定の目的のためにのみ、すべての個人情報を妥当かつ公正に処理する必要がある。 

 この指令は、これらの文脈におけるEU全体の個人情報処理が合法性、均整がとれてかつ必要性原則に従うことを保証するものである。また、国家のデータ保護当局による独立した監督および効果的な司法救済をも保証する。 

(2) この指令は誰がいつまでに遵守しなければならないのか? 

 この指令は、2018年5月6日までに国内法に移行する必要があるEU加盟国(英国を含む)に適用される。 

 英国政府は、この遵守期限を守るために英国での指令効果を与えるための措置に取り組んでいる。英国の指令の範囲内で個人情報を処理する影響を受ける機関は、その日以降のこれらの条項を遵守しなければならない。 

4.ICOのGDPRに基づく情報管理者と処理者間の契約に関するGDPR契約および法的責任に関するガイダンス草案の概要

 9月18日のHunton & Williams LLPの解説「GDPR Contracts and Liabilities Between Controllers and Processors」の内容を以下、仮訳する。 

 9月13日、英国情報コミッショナー事務局(ICO)は、「GDPRに基づく情報管理者と情報処理者間の契約に関するGDPR契約および責任に関するガイダンス(草案)(以下、「ガイダンス」という:28頁)」諮問文書(Consultation)(7頁)を発表した。ICOは10月10日までガイダンスの意見公募を行っている。 

 以下が、ガイダンスの主な内容である。 (筆者注19)

 (1) GDPR契約

 ”GDPR”の下では、情報管理者が処理者を使用するときは常に書面による契約が必要である。これは、当事者が役割責任と法的責任を理解するための重要事項である。 データ処理契約の必須要件は、GDPR第28条に定められている。すなわち、 GDPRが定める要件は、(i)取扱者が処理者の指示に従ってのみ活動し、(ii)個人データを安全に保つための適切な措置を講じるという、データ保護指令の一般要件に基づいている。 2018年5月25日以降のこれら契約は新しい”GDPR”要件を満たさなければならず、ICOは既存のこれら契約やひな形の条件を見直し、”GDPR”に準拠するよう改定することを推奨する。 

 データ処理契約の文言・条件に関して”GDPR”が定める主な要件は次のとおりである。 

(ⅰ)処理者(管理者または処理者が補助処理者を任命する場合を含む))を任命する際に書面による契約を行うこと。

(以下の事項につき契約を締結する必要がある。

  ① 処理の主題および処理の持続時間;(the subject matter and duration of the processing)

  ② 処理の性質と処理目的(the nature and purpose of the processing)

  ③ 個人情報の種類と情報主体のカテゴリー(the type of personal data and categories of data subject;  

  ④情報管理者の義務と権利( the obligations and rights of the controller.)  

() 契約には、処理者に関して次の最小の条件が含まれていなければならない。

  ① 管理者の書面による指示にのみに従う。(only act on the written instructions of the controller;)

  ② データを理扱う人々につき信頼の義務を負うことを保証する。( ensure that people processing the data are subject to a duty of confidence;)

  ③ 処理の安全を確保するため適切な措置を取る。(take appropriate measures to ensure the security of processing;)

  ④ 書面による契約の下でのみ、管理者の事前の同意を得て補助処理者に従事させる。(only engage sub-processors with the prior consent of the controller and under a written contract;)

  ⑤ 管理者が対象アクセスを提供し、情報主体が”GDPR”の下で権利を行使できるよう支援する。(assist the controller in providing subject access and allowing data subjects to exercise their rights under the GDPR;)

  ⑥ 管理者が処理のセキュリティ、個人情報の漏えい時およびデータ保護影響評価の通知に関して”GDPR”上の義務を果たすことを支援する。(assist the controller in meeting its GDPR obligations in relation to the security of processing, the notification of personal data breaches and data protection impact assessments;)

  ⑦ 契約の終了時に要求された通り、すべての個人情報を削除または返却する。( delete or return all personal data to the controller as requested at the end of the contract; and)

  ⑧ 監査および検査に服従し、もし”GDPR”またはEU加盟国の他のデータ保護法を侵害しているときは、第28条義務を遂行していることを確認するために必要な情報を管理者に提供する。( submit to audits and inspections, provide the controller with whatever information it needs to ensure that they are both meeting their Article 28 obligations, and tell the controller immediately if it is asked to do something infringing the GDPR or other data protection law of the EU or a Member State.)

  上記のICOのガイダンスの多くは”GDPR”自体を反映しており、管理者および処理者はICOのが定める次の事項に注意する必要がある。

① ICOは、管理者が上記の2番目の項目(ⅱ)に記載されている処理の詳細を当初から非常に明確にする必要があり、一般的な汎用的用語に頼ることはできないことに留意して、明確に設定することを推奨する。このアプローチは、処理の性質がサービスの性質から自明である場合には、やや厳格なもの(heavy handed)であると見られる。 

処理者の個人データを機密とする義務は、すべての従業員、パートタイム労働者(temporary workers)、派遣労働者(agency workers)に適用される。 

GDPR第32条 に基づく適切なセキュリティを確保するための処理者の義務は、セキュリティ上の問題に関する個別の指針の対象となり、現在はデータ保護法に基づくICOの既存の指針で十分である。 

    第28条(3)(f) (筆者注20)に基づいて管理者を援助する処理者の義務は、「無限ではなく」、処理内容の性質と管理者が利用可能な情報を考慮して制限される。  

 ICOは、GDPRに準拠したデータ処理条項の交渉中にしばしば論争になる以下の事項に関する重要なガイダンスを提供していない。

 ①下請け業者の変更に異議を申し立てる権利はどのように明示すべきか? 契約を終了させるしかないか?

 ②データ処理者を監査する管理者の権利を制限することは可能か? 

 処理者がこの要件に準拠するためにどのような実用的なコントロールを使用できるか(例えば、監査の期間と範囲の制限、第三者の認定が第三者の認定の代用となるかどうかなど) ICOのガイダンスは、処理者が第28条(3)(h)の要件を満たすために情報を提供したり監査に提出できることを示唆しているようである。  

 ”GDPR”は、欧州委員会または監督当局(ICOなど)が発行した情報処理に「標準契約条項(standard contractual clauses )」を使用することを認めているが、まだ同条項は発行されていない。 (筆者注21)

 (2) 情報管理者の責任と法的責任

 ”GDPR”の下では、管理者は”GDPR”の要件を満たすことを十分に保証している処理者のみを使用することができる。すなわち、そのような保証は、通常、契約によって行われる。そこでの「承認された行動規範(approved code of conduct)」または「認証スキーム(certification scheme」の明記は、”GDPR”に従って個人データを処理する十分な保証を提供する処理者を選択したことを管理者が証明していることを示すために利用可能であるといえる。

 本ガイダンスは、”GDPR”に従って個人データが処理されることを保証するために管理者が最終的に責任を負うことを指摘している。すなわち、管理者が「損害を引き起こす事象に責任を負わない」ことを管理者自身が証明できる場合を除き、情報主体が効果的な補償を受けることを保証するために、契約の非遵守処理によって生じた損害については完全に責任を負う。 

 重ねて言うが、本ガイダンスは、”GDPR”に基づく共同賠償責任および個別賠償責任に関連するリスク配分規定を適用し、以下のように困難な側面のいくつかを回避している。

 ① 責任と法的責任の制限や排除が、共同責任および個別責任制度の下での当事者の損失につき権利を取り戻すことを防止することができるかどうか。 

 ② ”GDPR”の下で、どのような防衛および関連する規定が許されるのか?  

(3) 取扱者の責任と法的責任

 本ガイダンスは、処理者の責任と法的責任の概要を説明する。 

(ⅰ) 処理者は、文書化された管理者の指示にのみ従わなければならない。 

(ⅱ) 処理者が(管理者の命令にのみ作用するのではなく)処理の目的と手段を決定する場合、処理者は管理者とみなされ、管理者と同じ責任を負うことになる。

(ⅲ) 管理者に対する契約上の義務に加えて、GDPRの下では、処理者は次のような直接的責任も有する。 

  ① データ管理者の事前の書面による許可なしに補助処理者を使用しないこと。

  ② 情報保護監督当局(ICOなど)に協力すること。( to co-operate with supervisory authorities (such as the ICO);)

  ③ その処理のセキュリティを確保すること。( to ensure the security of its processing;)

  ④ 処理活動の記録を保持すること。(to keep records of processing activities;)

  ⑤ 個人データの漏えい違反等をデータ管理者に通知すること。( to notify any personal data breaches to the data controller)

  ⑥ データ保護担当役員を採用すること。

  ⑦ 必要に応じて、EU内の代理人を書面で指定すること。  

(ⅴ) もし、処理者がこれらの義務のいずれかを満たしていないか、または管理者の指示に従わずに行動した場合は、訴訟手続に損害を与えたり、罰金またはその他の罰金または是正措置を受ける可能性がある。 

(ⅵ) 処理者が補助取扱者を使用する場合、本来の処理者として、補助処理者の義務の実行のために管理者に直接責任を負う。 

  契約上の責任については、ICOは次のことを指摘している。

(ⅰ) 契約ではデータ処理に関する特別な賠償責任を指定することができ、この時点で専門的な助言を得るべきである。 

(ⅱ) 契約の下で、処理者は、管理者との関連契約の条件を満たしていない場合は直接的な責任を負うことがある。 

(ⅲ) 補助処理者が使用される場合、データ主体に向かって、GDPRの下で3つの当事者(管理者、処理者、補助処理者)が潜在的に責任を負う可能性がある。 

 上記は有用な出発点であるが、データ管理者および処理者は、データ処理条件が、表現、保証、補償、制限、免責除外および保険を含む契約においてより広いリスク配分の枠組み内でどのように適合するかを評価する必要がある。 

*****************************************************************************

(筆者注19) EUのGDPRやSCCSCC(Standard Contractual Clauses:標準契約条項)に関する訳語については、IIJ(Internet Initiative Japan)の解説サイトの訳語等を参照した。 

(筆者注20) 第28条(3)項f.を以下、仮訳する。

 処理者の処理は、EU加盟国の法律のもとでその契約またはその他の法律上の行為により規制される、すなわち管理者に関する処理者に拘束力を持ち、処理の主体および処理期間、処理の性質と目的、個人データの種類(type)、データ主体のカテゴリー、管理者の義務と権利を含む内容を明らかにされねばならない。特にその契約またはその他の法律上の行為は次のとおり明記されなければならない。

(f) 処理の性質および管理者が利用可能な情報を考慮して、管理者が第32条から第36条に基づく義務の遵守を確保するのを支援する。 

(筆者注21) GDPRにおける「標準的なデータ保護契約条項」の解説を仮訳する。

 標準データ保護契約条項の要件の変更により、管理上の負担が軽減される。 GDPRの下では、これらの条項は、監督当局の事前の承認を必要とせず、そのような条項は、欧州委員会および国家監督当局によって採択されることができる。 既存の標準契約条項は有効なままであるが、GDPRは廃止の可能性を残す。

 暫定的な契約条項は、GDPR遵守のためにも使用されるかもしれないが、監督当局の事前承認を受けなければならないため、管理者にとっては魅力的ではない可能性がある。 

**************************************************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

英国政府のEUのGDPR等の国内法化に向けた新情報保護法案の公表およびICOの契約ガイダンス(案)の意見公募等保護法制強化の動向(その4)

2017-10-11 10:00:04 | 個人情報保護法制

(G) 英国の情報機関の情報処理とGDPRとの関係

 43 英国の情報局保安部(Security service:MI5)情報局秘密情報部(Secret Intelligence Service:SIS :MI6)、および政府通信本部(Government Communications Headquarters)からなる情報サービスによる個人データの国内処理は、現在、1998年法によって規制されている。 国家安全保障は各加盟国の唯一の責任であると述べる欧州連合条約第4条(2)(筆者注10)により、国家安全保障はEU法の範囲外である。したがって、国家安全保障活動に関連する個人データの処理および国家安全保障問題に対処する機関または機関による処理は、”GDPR”の範囲内ではない。その結果、”GDPR”の規定は加盟国の情報機関の特別な性質がゆえに適用されない。したがって、法案の第4編は、欧州評議会に基づく情報サービスによる個人データの処理のためのデータ保護体制規定を置く。  

 44 1998年法は現在のEU条約108(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (“Convention 108”))と合致している。この法案の第4編は、現代化された「条約第108号」を採用し、情報サービスによって実施される個人情報の処理が将来の予測される国際基準と整合することを目指して、既存の体制を構築するものである。英国の諜報機関が既存の新興国家の安全保障上の脅威に対処できるようにする一方で、国家安全保障の背景において個人情報を処理するための規則を規定している。 

45 現在、1998年法に基づいており、かつ同法と整合的をとって、法案第4編の体系は、国家安全保障を確保するために必要なときにのみ適用できる、適切かつ比例した手続の適用除外規定を置く。また、1998年法と合致して、国家安全保障を目的とした特定の要件の適用除外がその事実の決定的証拠となることを証明する、国王が任命する大臣の署名した証明書を必要とする規定がある。  

46 英国の情報機関は従来から情報処理義務を遵守している。これらは2016年11月26日に施行された「調査権限法(Investigatory Powers Act 2016 )」 (筆者注10-2)に基づき、「法執行および情報機関監督コミッショナー(Investigatory Powers Commissioner )」 (筆者注11)により監督され、また内閣府改革政府安全保障審査に合わせた物理的、技術的および手続的統制によって支えられる。これには、人事面の吟味、データの分類に基づく制限の処理、内部ITのファイアウォールとエアギャップ(筆者注12)、アクセス制限などが含まれる。  

 47 英国の情報機関に適用される規制の構造は、他の立法にも見られるようになっており、データ処理の実践に関わるものを含め、すでにその活動に制限を課している。これには、 「1989年国家安全保障法(Security Service Act )」、「1994年諜報機関法(Intelligence Services Act 1994)」 「2000年調査権限規制法(Regulatory of Investigatory Powers Act 2000)」 (筆者注13)、および「2016年調査権限法」(以下、「2016年法」という)が含まれる。たとえば、2016年法の第7編では、情報機関がバルク個人情報のかたまり(datasets)をどのように保持、使用するかに関係する機関固有の令状を用意している。また、法律の権限を使用して取得したデータを誤って使用または公開した場合は、2016年法は多数の犯罪を作り出すと定める。 

【筆者の追加解説】

 議会上院事務局の法案注釈と一部重複するが、わが国ではほとんど正確に触れたものが少ない点でもあるので、筆者が当局のサイトをもとに行った追加的仮訳で補足する。 

 英国議会「国家情報・安全保障委員会(Intelligence and Security Committee of Parliament (以下、ISCという))」、「1994年情報サービス法(Intelligence Services Act 1994 )」にもとづき、情報保安部(MI5)、情報局秘密情報部(SIS)、および政府通信本部(GCHQ)の政策、管理、支出を調査するために初めて設立された。

 「2013年司法および安全保障法((Justice and Security Act 2013)」は、ISCを次の点で改革した。①議会の委員会にする。②より大きな権限を持たせる、③業務活動の監督、政府のより広範な情報およびセキュリティ活動を含む)委員会への付託権限を含む。

 ISCは、これら3つの情報機関と治安当局以外に、④内閣の合同情報委員会(Joint Intelligence Committee :JIC) (筆者注15) の「評価スタッフ(Assessments Staff)」や「国家安全保障事務局(National Security Secretariat)」といった内閣府の情報関連業務を検証している。さらにJICは、国防省の国防情報参謀部(Defence Intelligence Staff)9/17(107) (筆者注16) (筆者注17)や内務省の安全保障及び対テロリズム局(Security and Counter-Terrorism in the Home Office:OSCT) (筆者注18) の情報活動も監視している。 

 ISCのメンバーは議会によって任命され、委員会は議会に直接報告する。また、委員会は、国家安全保障上の問題について、英国首相に報告することができる。  

 ISCのメンバーは1989年公務情報機密法(Official Secrets Act 1989) 第1条(1)(b)の対象となり、職務を遂行する際に高度に分類された資料にアクセスすることができる。ISCは、内閣閣僚および高官からの証拠を入手し、そのすべてが報告書を作成するために使用される。 

 *****************************************************************************

(筆者注10) EU条約(TEU:マーストリヒト条約(THE MAASTRICHT AND AMSTERDAM TREATIES)第4条2項(いわゆる加盟国の主権にかかる条項である)の原文を引用する。

  1. The Union shall respect the equality of Member States before the Treaties as well as their national identities, inherent in their fundamental structures, political and constitutional, inclusive of regional and local self-government. It shall respect their essential State functions, including ensuring the territorial integrity of the State, maintaining law and order and safeguarding national security. In particular, national security remains the sole responsibility of each Member State.

 (筆者注10-2) 国会図書館「外国の立法214(2002.11)」横山潔「イギリス『調査権限規制法』の成立―情報機関等による通信傍受・通信データの取得等の規制―」参照。 

(筆者注11) 

1.2017年3月3日テレサ・メイ首相は、調査権限法第227条にもとづきエイドリアン・フルフォード高等法院判事に任期3年の初代「法執行および調査機関監督コミッショナー(Investigatory Power Commissioner)」(以下「コミッショナー」という)に任命した。同判事の任命は直ちに発効する予定である。 

 テレサ・メイ首相は、次のとおり述べた

「フルフォード判事の指名を最初の調査監督官として発表することを嬉しく思う。 彼は、世界的な監督体制の一環として、捜査権限の使用を精査する重要な役割を担う重要な法律問題につき司法と専門知識について豊富な経験を持っている。」 

【エイドリアン・フルフォード判事の略歴 】

エイドリアン・フルフォード判事( Rt Hon Sir Adrian Fulford)は、1978年に弁護士として資格を得て、1994年に勅選弁護人に就任、1995年に刑事裁判所(Crown Court)のレコーダーに任命された。2002年11月21日に高等法院女王座部Queen's Bench Divisionの裁判官に任命された。 2003年3月11日に国際刑事裁判所の18人の裁判官のうち1人として就任、9年間の任期を務め、審理部に任命された。彼は2013年5月10日に高等法院判事に任命された。 

 2015年1月1日から、エイドリアン卿はイングランドとウェールズの高等法院の副上級裁判長を務め、201611日に上級裁判長に就任した。 現在はIT担当裁判官であり、また「王立裁判所・審判所サービス(Her Majesty ’s Courts and Tribunals Service) 」改革についての司法当局の指導者である。 

 なお、コミッショナーの任命を維持する一方で、フルフォード卿は控訴院判事のポストにもとどまる。 

2.英国内務省と初代ICPO(Investigatory Powers Commissioner ‘s Office)コミッショナ―に任命されたフルフォード判事は共同で次のリリースを行った。

「2017年9月1日から、エイドリアン・フルフォード(Sir Adrian Bruce Fulford) 控訴院裁判官は、捜査権の使用を監督する新しい役割を開始した。

 フォルフォード・コミッショナーは、警察、法執行機関、諜報機関の捜査権限の使用を監督する上で新たな役割を開始した。

これは、2016年に国王の裁可(Royal Assent)により与えられた「調査権限法(Investigatory Powers Act)」に定め強力な監督体制を確立する際の大きな道しるべとなった。その役割は、単一の独立した機関で検査と監督の両機能を確立することによって、以前は「チーフ・サーベイランス・通信傍受および情報サービス監視委員(Chief Surveillance, Interception of Communications, and Intelligence Services Commissioners) 」によって行われた法執行や情報機関への監視の役割を置き換えたことになる。

・フォルフォード・コミッショナーは、「調査権限法は、犯罪を調査し、国民を守るために警備諜報機関や法執行機関が責任を持って比例的に使用する権限を確実にするための世界的な監督体制を提供している。

・フォルフォード・コミッショナーは、監督責任を開始する際に、私たちが法律で定めた

本日から、IPCOは、以前のコミッショナー事務局が実施した監督機能を引き継ぎ、1997年警察法の下で許可された特定の警察活動の事前承認の責任を負う。

さらに、法務委員たるコミッショナー (筆者注13)の承認を得るために国務長官が発行する令状を必要とする司法の「ダブルロック」を含むコミッショナーのさらなる権限が、正式に導入される予定である。 

詳細な情報は、 「法執行および情報機関監督コミッショナー事務局(Investigatory Powers Commissioner’s office)」のウェブサイトで入手できる。  

3.英国メディアDaily Mail Onlineは、2014.3.8の記事で「高等法院の裁判官であり女王の法律顧問フォルフォード判事が、かつて犯罪者を刑務所から守るための「児童性愛情報交換センター(Paedophile Information Exchange)」の創設・支援者であった」と報じている。

 筆者としては、事実関係は確認できないし、本ブログとは直接関係ないので簡単に記事内容のみ引用する。(わが国でも、最近、児童ポルノ問題が社会問題化してきていることは事実であるが、この問題は別途取り上げたい)

   •  フォルフォード大統領は昨年、女王の顧問に任命された 

 •  彼は、悪名高い児童性愛情報交換センター(Paedophile Information Exchange)」Pedophile Information Exchange の創設メンバーであった。

•  警察は、「産業規模」で子供の虐待グループを注視している。 

•  彼はPIEを擁護するキャンペーンの創設メンバーとして表明している。 

•  当時、「同意」年齢はわずか4歳に引き下げることを要求した。 

英国で最も上級の裁判官の 1人 は子供たちとセックスを合法化しようとする卑劣な小児性愛者グループを積極的に支援するキャンペーンを行っていた。 

2013年、女王の法律顧問として指名されたフォルフォード判事は、警察が子供を「産業規模」で虐待していると推測している悪名高い児童性愛情報交換センター(PIE)の重要な支持者であった。

 ”Mail on Sunday”の調査によると、フォルフォード判事はPIEを擁護するキャンペーンの創設メンバーであり、公然と幼児の同意の年齢がわずか4歳に引き下げる必要があると主張していたことが判明している。  

 なお、1977年に英国で「児童性愛情報交換センター」Paedophile Information Exchange が設立されたが、1984年に解体された。詳しくはブログ「2017.7.25 cathy fox blog on child abuse 英国の児童虐待人権擁護NPOサイト「Judge Adrian Fulford-Can we trust him?」やWikipedeia 参照。なお、世界的人権擁護団体である”Human Rights Watch”は、9月22日付けで「国連:子どもの性的虐待を止めるよう北朝鮮に圧力を:政府は子どものレイプや性的虐待を否定」を報じている。この問題は世界的かつ重大な人権問題となることは間違いない。

 (筆者注12) エアー・ギャップ環境とは、パブリック・インターネットや非セキュア・ローカル・エリア・ネットワークなどのセキュアではないネットワークからセキュアなネットワークが物理的に分離され、エアー・ギャップの反対側にあるコンピューター同士は通信できない環境をいう。( IBM Knowledge Centerの解説から一部抜粋) 

 (筆者注13) 調査権限法案の中身で重要な任務規定がある。「令状の発行時の承認権限の二重化」である。議会サイトの説明に基づき、その内容を以下、仮訳する。 

4.この法案(調査権限法案)の規定では、「司法コミッショナー(Judicial Commissioner)」(「法執行および情報機関監督コミッショナー(Investigatory commissioner)」およびその他の(通常の)「司法コミッショナー」を総称する)は、首相によって任命され、司法コミッショナーは、法案の下で2つの主要な機能を有するであろう。第1に、令状(warrant)は「二重ロック」プロセスの下で発行され、国務長官と司法コミッショナーの両者の承認が必要となることを意味する。第2に、法執行および情報機関監督コミッショナーは、他の司法コミッショナーとともに、捜査権制度の監督に関して広範な任務を負うことになる。 

5.司法コミッショナーの役割は、「司法」とみなすことができる。なぜなら、それを説明するにあたって「司法」という用語を使用するだけでなく、司法コミッショナーの役割は(とりわけ)司法審査手続に適用される原則を参照して、国務長官の決定を支持する点にある。 「司法コミッショナー」として扱われ、司法審査の原則を参照して法執行上の決定を審査することを義務づけられた裁判官または裁判官は、司法機能の排除以外のものを必要とすると主張することは、したがって、憲法上の問題は、法律家がその役割の司法性に合致する形で司法コミッショナーを扱うかどうかである。 

(筆者注14) 横山潔「イギリス『調査権限規制法』の成立―情報機関等による通信傍受・通信データの取得等の規制―」 国会図書館「外国の立法214(2002.11)」参照。 

(筆者注15) JICは内閣府や各情報機関、また関連省庁の幹部で構成される委員会であるが、イギリスの「国家情報機関」(National Intelligence Machinery)と位置づけられている。JICは各省庁からインテリジェンスを集めて分析し、政府としての短期、長期の情報評価報告書を提供することで政治家を補佐する。またJICはイギリスの各情報機関を指示、監督する総元締めとしての役割を持っている。 

 JICは、情報機関の活動(情報収集、分析、評価)を指示、監督するほか、情報活動の計画を立案し、優先順位を決定して情報要求を行う。活動計画は、形式的にはJICで検討されたのちに関連省庁の長からなる「情報機関に関する事務次官委員会」のチェックを経て首相が議長を務める「情報機関に関する内閣委員会」で最終的に承認されるしくみとなっている。また、JICは情報機関の運営計画や予算の検討も行っている。 

 JICは内閣府の「情報・保安・回復担当内閣府事務次官」の元に管理されている。この情報・保安・回復担当内閣府事務次官はJICの議長も兼ねており、JICの意見は内閣に直接届く仕組みになっている。 

 JICのメンバーは外務・英連邦省、国防省、内務省、通産省、大蔵省、国際開発省、内閣府の幹部、各情報機関の長、評価スタッフ(Assessment Staf),事務局長(National Security Secretariat.)で構成され、場合によっては他の省庁からも召集される。 

JICには評価スタッフという20名から40名ほどの専属スタッフが存在する。評価スタッフは各機関から派遣された精鋭の分析官からなり、各機関から情報を集めて分析して情報評価報告書の下書きを作る。そのため、評価スタッフには法的に各情報機関から情報にアクセスする権限が与えられている。下書きは専門家からなる「現況情報グループ」とJIC上層部のチェックを経た後で情報評価報告書として政治家に提供される。(Wikipedia から一部抜粋) 

(筆者注16) 国防情報参謀部(Defence Intelligence Staff)は、国防省(MOD)および省と軍隊に対する戦略防衛情報の主要提供者として不可欠な部門であり、約4千人からなる大組織である。それは、①政策決定や軍隊のコ取組みと雇用を導く、②各種防衛情報にかかる研究および情報機器にかかるプログラム、③軍事作戦等の支援にかかる情報を提供する等、タイムリーな情報収集製品、評価や助言を行う。 

 「国防情報局長(Chief of Defence Intelligence :CDI)を筆頭に、Defence Intelligence Staffは次の責任を負っている。

  ① 諜報目的の機器(Intelligence products) (筆者注22)の提供、政策の展開、研究の決定やアドバイスを提供する。

  ② 英国の中央情報システム、その他の政府機関および関係機関に寄与する。

 ③ 他の政府部門、同盟国、EUおよびNATOを支援する。

(筆者注17) CDI等につき補足する。

3-star中将クラスが務め「国防情報局長(Chief of Defence Intelligence :CDI)」は、各軍隊全体の防衛情報と統合司令部の全体的な調整を担当する。CDIは国防参謀総長(Chief of the Defence Staff)と国防省事務次官(Permanent Secretary of the MOD)に報告し、民間人1名と軍人1人の計2人の代理人によってその任務が支援される。

また、副局長(Deputy Chief of Defence Intelligence :DCDI)は2-star事務次官クラスが務め、国防情報の分析と報告作成に責任を負い、また2-starクラスの軍人からなる諜報能力を有する国防情報補佐官(Assistant Chief of the Defence Staff (Intelligence Capabilities):ACDS(IC))は、情報の収集と解析および情報訓練につき責任を負う。 

(筆者18) 2007年3月、首相は国内外のテロの脅威に対する安全保障の責任を、すべて内相に委ねることとし、これを支援するために内務省内に安全保障及び対テロリズム局(Office for Security and Counter-Terrorism、以下「OSCT」という。)を設置した。OSCTはCONTESTの管轄、情報部に対する監督等の業務を担い、内相に対して説明責任を負う。つまりCONTESTについては、内相が責任大臣であり、OSCT局長が上級管理責任者となる。

国立国会図書館調査及び立法考査局(外国の立法241(2009.9)岡久 慶英国の対国際テロリズム戦略:CONTESTから一部抜粋。

 **************************************************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

英国政府のEUのGDPR等の国内法化に向けた新情報保護法案の公表およびICOの契約ガイダンス(案)の意見公募等保護法制強化の動向(その3)

2017-10-11 09:44:42 | 個人情報保護法制

(E) 一般的な処理 (General Processing)

 法案第2部第2章は、GDPR内で利用可能ないくつかの適用除外(derogations)を実行している。2017年4月12日、政府は「EUの一般データ保護規則の適用除外に関する意見募集(Call for views on the General Data Protection Regulation derogations)」を公表し、2017年8月7日には、受け取った各意見への回答を政府の声明と共に発表した。 

① 定義 

 21 GDPRに使用されている主要用語は1998年法とほぼ一致しているが、法案はさらなる一貫性を達成することが可能な場合には例外規定を利用している。GDPR第4条(7)は、個人データの処理の目的と手段を決定する法人または自然人としての「管理者」が何を意味するのかを定義する。これは1998年法と内容が類似しているが、1998年法の第1条(4)は、制定法のもとで処理が要求される場合に、誰が管理者であるかを明確にすることによってさらに進んでいる。この法案は、1998年法第1条(4)の明瞭さが保持されることを保証する。 

 22 「公的機関」という用語はGDPRに定義されていない。このため法案の明確さと法的確実性のため、この法案は「2000年情報自由法(Freedom of Information Act 2000)」「2002年スコットランド情報自由法」の定義を採用している。 

② 処理の合法性  

 この法案は、”GDPR”が提供する強化された権利を前提として、既存のデータ処理を原則継続できるようにするために起草されたものである。  

 24 両親や後見人という個人情報の処理に同意する者は、情報社会サービスを利用する子供のために個人情報処理に同意しなければならないと”DGPR”が規定している理由を、ある程度理解する必要がある。GDPRにより、英国は、13歳から16歳までの任意の年齢の子供にこのようなデータ処理に同意できる最小年齢の閾値を設定することができる。1998年法はこの問題につき言及していないが、ICO委員会のガイダンス は、「12歳未満の子供から個人情報を収集する前に、ある種の親の同意が必要となる」と提案している。この法案では、起草されたとおり、13歳以上の子供が情報社会サービスの提供者によって処理される個人データに同意することを認めている。  

 明示的な主体の同意が得られない限り、個人情報のうち特別なカテゴリー(前記の人種、政治的意見、健康などに関するデータ)の処理は、一般的に禁止されている。しかし、”GDPR”は、特定の状況において処理を同意せずに行うことを可能にし、場合によっては国内法がこの処理を条件として保護を規定することを可能にする。  個人データの最も慎重な個人情報を確実に保護するための適切な保護手段を使用して、情報の特別なカテゴリおよび刑事告発および犯罪データの処理を行う必要がある。この種のデータとしては、金融サービスにおけるリスクのプライシングやスポーツにおけるアンチドーピングプログラムの運用など、正当に使用される多くの状況がある。  

 この法案は、この種の情報の処理を可能にする1998年法における現行規定を複製している。この法案は、組織が個人の権利間のバランスを達成しながら情報を合法的に処理し続けることを確実にするために、「実質的な公益」目的のための継続的な処理を可能にするために、この法案は、附則2および附則3の第5項において1998年法ならびに「データ保護(機密データの処理)命令2000(SI 2000/417)」の効果を大部分を維持することを目指している。  

 個人の明示的な同意なしにこれらの特に機密データの処理を正当化する将来の状況がどのようになるかを予測することは不可能である。例えば、2009年に当時の内務省長官は、1989年4月15日に発生した災害を調査するためヒルズボロー独立委員会(Hillsborough Independent Panel) (筆者注6) (筆者注7)を設立した。ヒルズボローの開示措置の範囲内で公的機関が保有する情報には機密データが含まれていたため、個人または団体がそのようなデータを開示することが適切な場合に可能であることを疑う余地がないことを確実にするために、「2012年データ保護(機密データの処理)命令(SI 2012/1978)」を発布した。今回の法案は、この種の予見できない状況を管理するために必要な権限を国務大臣に与える。  

 27 ”GDPR”は、個人が、自動化された処理のみに基づいて行われた決定に異議を唱える権利を与えた。これらの決定には、法的またはその他の重大な影響がある。これには、人間の介入がない場合の処理、例えば、個人の金融資産についてデータを収集した後、当該個人の信用力を計算する処理などが含まれる。GDPRは、消費者を不正確な処理から保護し、国内法で提供するための追加のセーフガードを可能にする。本法案は、1998年法の第12(2)項に規定されている追加的な保障措置を適用し続けるべきであり、本法案は適切な規定をコピーし,取り込んでいる。 

③個人の権利 

  個人が個人情報に関連する通常の権利を例外とすることが適切である限られた状況がいくつかありうる。健康、社会保障、教育という文脈では、人に開示されていないという条件でのみ提供される情報が記録されることもある。すべての情報が開示されていれば、情報は提供されず、これにより懸念が払拭される、。1998年法および同法の権限に基づく様々な命令は、個人の権利に対する免除を規定している。例えば、 「データ保護(Subject Access Modification)(Health )Order 2000(SI 2000/413)」は、個人の身体的または精神的健康または状態に関する情報からなる個人データに適用される。これは、裁判所の手続きをカバーし、子供の世話に関係する手続において裁判所に提出された特定の報告書の機密性を本質的に保持するものである。今回の法案は、この種の免除が引き続き適用されることを保証している。  

 29 1998年法には、無能力(incompetence)、過誤(malpractice)、不正(dishonesty )または著しい不適切(improper)な行為から人々を守る機能を果たす監視機関や慈善団体、ビジネスにおける公正な競争健康安全のための監視機関などが、規制機関が保有する個人情報に関する個人の権利を奪うための例外も含まれる。適切な例外規定がなければ、汚職公務員につき、彼または彼女の汚職がどのように露呈しているかを知ることができないかもしれない。同様に、政府は、司法が彼らの仕事を行うための「安全な空間」を確保するために、裁判官が判断に至るまでそのような記録を自由に作成することができるよう、例外が存在し続けなければならないと考えている(注釈や記録された議論など)は、議事の当事者によって調査されたり、挑戦されたりすることがある。この法案は、この種の例外が利用可能であることを保証している。 

 30 場合によっては、現在進行中の調査が行われている場合に個人の権利を制限する公共政策という理由もある。法執行機関による調査は”GDPR”の対象外であり、法案は別途規定(下記参照)を置くが、個別の権利を適用する要件の例外から他の調査が利益を受ける場合もある。例えば、1998年法第29条(1)は、歳入関税庁(HMRC)に特定の犯罪や課税の目的を損なう可能性があり、特定の個人データを提供する場合に、主体のアクセス要求を提出する個々の顧客から、特定の個人データをケースバイケースで差し控えることを認めている。また、HMRCは、継続的な税務調査について顧客に謝罪を求める場合に、第三者から個人情報を取得する際に、個々の顧客に特定のプライバシー通知を送信する義務がないことを定める。本法案は同等の条項を定めている。 

 31 1998年法では、研究、歴史的または統計的目的でのみ処理される個人データは、情報主体のアクセス要求から適用除外されている。本法案は、”GDPR”の第89条(2)および(3)のすべての適用除外を行使して、研究機関および保管サービスはデータ主体のアクセス要求が著しく害するもの又はその目的を阻害するときは対応は不要とする。さらに、法案には、研究機関が是正措置の権利を遵守する必要がなくなり、さらなる処理と処理の妨げとなることがなくなり、作業を完了する能力を著しく阻害するような適用除外を行使するための規定が含まれており、適切な組織の安全対策データを安全に保つために配置されている。 事実、これらの適用除外(例外規定)は現状を維持するものである。 

 将来的にどのような問題が保護に値する一般公衆の重要な目的と考えられるかを予測することは困難であるため、これらの目的を保護するためにどのような権利と義務を制限する必要があるかを予測することも困難である。したがって、本法案は国務大臣に今後さらに例外を定める権限を与える。 

④その他の一般的な処理 

 ”GDPR”の第2条(2)は、EU法の対象外にあるにある活動の過程で個人データの処理につき適用しないと規定している。EU法の範囲内であるか外れているかの評価を情報管理者が行わないようにするため、法案は”GDPR”基準をデータ処理に拡張する条項を含む。情報管理者と処理者が単一の標準を適用できる単純なフレームワークを作成することができる。  

 34 本法案は、”GDPR”の関連条項を、附則6(適用されているGDPRスキーム)に定められているEU法の範囲外の一般データに適用することによって、これを達成する。  法案は、”GDPR”の条項を適用する際に、EU法が適用されない文脈に関連するように、いくつかの変更を同時に行った。関連する権利と同様にデータ処理に関する制限と保護手段を適用することが適切であるが、EU加盟国とEU機関への言及は関連性がなく、削除されている。 

 35 英国がEUを離脱するとき、EU法の範囲外と英国内の一般的なデータとは区別されなくなる。政府の意図は、”GDPR”の基準が法案第2編の英国内のデータ処理に引き続き適用されることである。”DGPR”が英国の国内法に導入された場合、欧州連合(撤回)法案の権限を使用して、政府は GDPRのデータ処理基準を適用する国内の法的根拠を単一のものにすることができる。  

 36 ”GDPR”は国家安全保障データ処理には適用されず、法案はEU法の範囲外のデータ処理に対する国家安全保障への適用除外を提供する。  

(F) 国家安全保障や法執行処理時の保護法の適用除外 

 37 国家安全保障はEU法の範囲外である。その結果、国家安全保障活動に関連する個人データの処理および国家安全保障問題に対処する機関または機関による処理は、GDPRまたは法執行指令の対象外である。

 法執行のための個人データの国内処理は、現在、1998年法によって規制されている。欧州経済領域(EEA)の加盟国間における法執行のための個人データの送信は、「2014年刑事司法およびデータ保護(第36号プロトコル)規則(Criminal Justice and Data Protection (Protocol No. 36) Regulations 2014)(SI 2014/3141)(「2014年規則」という)」の第4編の規定に従うものであり、、刑事事件における警察と司法協力の枠組みの中で処理される個人データの保護については、2008年11月27日に英国の「法改革委員会の枠組み決定(2008/977 / JHA 1)」に移行した。2014年規制の第4編は、刑事犯罪の防止、捜査、犯罪刑の執行または刑事罰の執行について、他のEEA諸国の管轄当局に利用可能な個人情報を送信または提供する際に、EEA諸国の管轄当局に適用される法的枠組みを確立した。そのような場合には、その部分によって規定されている場合を除き、1998年法の代わりに2014年規則の第4編が適用される。  

 38 ”GDPR”は、刑事犯罪の予防、捜査、取り調べ、起訴、または刑事罰の執行の目的で、管轄当局(広範には警察およびその他の刑事司法機関を含む)による個人情報の処理には適用されない。(GDPR第2条(2)(d)を参照)。代わりに、”GDPR”と並行して、欧州議会と欧州連合理事会は、「予防、捜査のために管轄当局による個人情報の処理に関して自然人の保護、刑事罰の執行または刑事罰の執行、そのようなデータの自由な移動、およびCouncil Framework Decision 2008/977 / JHAの廃止に関する法執行指令(Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA)」(EU:2016/680 )を採択した。 

 39 ”GDPR”とは異なり、この法執行指令(LED)はEU法に直接適用されるものではない。したがって、法案第3編(”GDPR”、”LED”および情報サービス制度に適用される第5編から第7編までの規定とともに)は、”LED”の規定を英国の法律に転用する。  

 40 LEDの適用範囲は、その第1条(筆者注8)に規定されており、法執行の目的で管轄当局による個人情報の処理に関係している。この管轄機関とは、公安に対する脅威の防止と防止を含む刑事罰の執行、捜査、起訴、取り調べ、刑事罰の執行を管轄する公的機関を指す。さらに、所管機関は、EU加盟国の法律によって、刑事犯罪の予防、捜査、刑事罰の執行または保護の目的で公的権限と公的権限を行使することを委任された他のいかなる団体または団体公安に対する脅威の防止と阻止を目的としている。この定義には、英国のすべての警察官、検察官、その他の刑事司法機関だけでなく、HMRC、安全衛生庁(Health and Safety Executive :HSE) (筆者注9)、ICOなどの法執行機能を持つ組織も含まれる。 

 41 法令執行上の目的で個人情報の越境処理(パラグラフ57参照)に関してのみLEDが適用されるが、第3条は、そのような目的のための個人情報の国内処理にも適用されると定める。これにより、法執行部門全体の法執行目的で個人データを処理するための単一の国内および国境を越えた体制が確保される。 ”GDPR”の規定は、法案の第2編第2章に記載されている細分化と併せて、社内の人事管理/人事目的など、法執行上の目的以外の目的で法執行機関による個人データの処理にも適用される。 

 42 EU 加盟国は、2018年5月6日までに”LED”に影響を及ぼす国内法の制定、適用することが義務づけられている。  

*****************************************************************************

 (筆者注6) ヒルズボロー独立委員会(Hillsborough Independent Panel)報告に関する下記の解説例を参照されたい。

 「ヒルズボロの悲劇(Hillsborough disaster)とは、1989年4月15日にイングランド・シェフィールドのヒルズボロ・スタジアムで行われた、サッカー・FAカップ準決勝のリヴァプール対ノッティンガム・フォレスト戦において発生した群集事故である。

 「テラス」と呼ばれるゴール裏の立見席に収容能力を上回る大勢のサポーターが押し寄せ死者96人、重軽傷者766人を出す惨事となったことからイギリスのスポーツ史上最悪の事故と評されている。事故原因について当初はフーリガニズムとの関連性が指摘されたが、同年8月と1990年1月に公表されたテイラー・レポートは警備側の観客誘導の不備にあったと結論付けた。同レポートを基にスタジアム観戦のための新たな施策が導入され、イングランドサッカー界を取り巻く環境を一変させたが、その一方で責任を負う立場にある個人や団体に対する追及が積極的に行われることはなかった。

 事故から20周年を迎えるにあたり全記録文書の開示を求める機運が高まると同書の調査を目的とした「ヒルズボロ独立調査委員会」が設立され、2012年9月12日に公表された報告書により観客誘導の不備のほか、緊急サービスの遅延や不十分な医療措置、警察関係者により捜査資料の改ざんや意図的な情報誘導が行われたことが明らかとなった。同年12月19日、高等法院は死因審問の評決を破棄し審理のやり直しを命じると、2016年4月26日に警備責任者の過失を認め、犠牲者は不当に亡くなったとする評決を下した。(Wikipediaから抜粋、引用) 

(筆者注7) ヒルズボロー独立委員会(Hillsborough Independent Panel)報告が提起した問題は、公文書管理にかかる内閣など行政の透明性、説明責任等に関し、各国共通の課題を投げかけた。

実際、わが国でも平成24年7月30日から24年10月10日の間に内閣官房を中心とする「閣議議事録等作成・公開制度検討チーム」と「同チーム・作業チーム」による検討が行われた。その最後の会合で以下のとりまとめ文が出されているが、その後の検討はどうなったのか。また、最終回で提出された資料のうち資料2「閣議の議事録等の作成・一定期間経過後公開ルール」に関する海外現地調査について」でヒルズボロー独立委員会の実地調査結果を詳しく紹介している。 

*閣議議事録等作成・公開制度検討チーム 作業チーム 「閣議等議事録の作成・公開制度の方向性について(修正案)」

閣議の議事録等については、閣僚同士の議論は自由に忌憚なく行われる必要があること、また、内閣の連帯責任の帰結として、対外的な一体性、統一性の確保が要請されていることから、これを作成し公開することは適当でないとされてきた。

昨年4月に施行された公文書等の管理に関する法律(平成21年法律第66号。以下「公文書理法」という。)は、閣議等の政府の重要な会議について一律に議事録等の作成を義務付けるものではない。しかし、原子力災害対策本部を始め東日本大震災に対応するために設

置された会議において議事録等が作成されていなかった問題を契機として、政府の重要な意思決定にかかわる会議については、「行政が適正かつ効率的に運営されるようにする」とともに、「現在及び将来の国民に説明する責務が全うされるようにする」という同法第1条に掲げられた公文書管理制度の目的に照らし、議事録等を作成し、保存していくことが望ましいのではないかと考えられるようになってきている。

なかでも閣議は、内閣の最高かつ最終的な意思決定の場であるため議事録等を作成することが望ましいと考えられるが、その一方で、議事録等が比較的短期間のうちに公開されれば、憲法上の連帯責任を負う内閣の一体性、統一性を確保しつつ自由な意見交換を行うことができなくなるという問題がある。

この点について、我が国と同様に議院内閣制を採用するイギリスやドイツにおいては、記録の作成・保存と公開は分けて考え、閣議の議事録等を作成・保存した上で、一定期間は原則非公開とすることにより、このような問題を回避している。

このため、当作業チームとしては、このような制度を参考にしつつ、以下の方向性により、閣議の議事録を作成し一定期間後に公開する仕組みを制度化することとし、公文書管理法を改正して所要の規定を置くことを提案する。 

(筆者注8) LEDの第1条(Subject-matter and objectives)の原文を引用しておく。

1. This Directive lays down the rules relating to the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security.

2. In accordance with this Directive, Member States shall:

(a) protect the fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data; and

(b) ensure that the exchange of personal data by competent authorities within the Union, where such exchange is required by Union or Member State law, is neither restricted nor prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data.

3. This Directive shall not preclude Member States from providing higher safeguards than those established in this Directive for the protection of the rights and freedoms of the data subject with regard to the processing of personal data by competent authorities.

 (筆者注9) HSEは新しい安全衛生法や基準を作り、国際的な舞台、特に欧州連合の中で活動しています。 特に次のような仕事に従事しています。

•作業場の監督

•事故や職業病事例の調査

•正しい基準の執行。

そのために普段は法律の順守を人々に助言しますが、改善を命令したり、 必要な場合には訴追などの手段も取ります。

•指針や勧告の公表(publish)

•情報サービスの提供

•研究の実施

•核施設の認可や沖合い施設の安全の認可など、各種の活動

(国際安全衛生センター資料から一部抜粋) 

**************************************************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

英国政府のEUのGDPR等の国内法化に向けた新情報保護法案の公表およびICOの契約ガイダンス(案)の意見公募等保護法制強化の動向(その2)

2017-10-11 08:12:38 | 個人情報保護法制

 5 この法案は、2017年6月21日の英国女王の演説(Qeen’s Speech)で発表された。それは、2017年保守党宣言(2017 Conservative Manifesto)で作成された1998年法を更新する約束を実行に移すものである。法案は、ますますデジタル化された経済と社会のニーズを満たすために、英国の情報保護法を近代化している。2017年8月24日、政府は「今後の英国の個人データの交換と保護(The exchange and protection of personal data – a future partnership paper)」を発表した。これは将来の取引関係において英国にとってデータの自由な流れがなぜ不可欠であるかを説明する将来の政策方針書である。  

 6 現在、英国はEU加盟国のままであり、EU加盟国の権利と義務はすべて引き続き有効である。英国がEUを離脱するとき、”GDPR”は議会の前に現在の欧州連合(離脱)法案の下で英国の国内法に組み込まれことになろう。 

7 個人情報は、ますますインターネットや国際的な環境のもとで保存、処理、交換されている。したがって、情報保護基準が国際レベルで一貫していることが必要である。欧州評議会(Council of Europe)は、1981年5月14日に英国が署名した「個人情報の自動処理に関する条約(Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data )(「条約第108号」)」を締結した。同条約には、欧州評議会の加盟国以外の国々へも開かれており、2017年11月1日、チュニジアは同条約の第51番目の参加国になる。欧州評議会は、「個人情報の処理に関する個人の保護に関する近代化条約(modernised Convention for the Protection of Individuals with Regard to the Processing of Personal Data)(「近代化条約第108号」)」を準備中である。  

8 したがって、英国の情報保護法は、国際的なデータ保護の取り決めと連動する必要がある。1998年法は、「EUデータ保護指令(指令95/46 / EC)」を適用した。2018年5月25日に”GDPR”が完全適用される場合、同指令は置き換えられることになる。  

 9 法案は全7編で構成されている。第1編には予備事項が含まれている。第2編には、法執行と情報サービスによる処理を除いて、”GDPR”基準をEUの能力外の分野(「適用されたGDPR」制度)にまで拡大する規定が含まれている。法案および”GDPR”は、明確かつ一貫したデータ保護体制を構築するために、英国における大部分の情報処理に実質的に同じ基準を適用している。また、”GDPR”の例外を規定するいくつかの例外規定(derogations)を明らかにする。第3編には法執行での情報処理の規定が含まれ、第4編には同様に英国の情報機関(intelligence services)による情報処理のための機能を定める。残りの部分は、第6編は英国情報保護コミッショナー(以下、「コミッショナー」という)制度の継続、第5編は法執行、その他の編は犯罪取り締り、罰則、および補足規定を定める。 

(2) EU一般データ保護規制 (GDPR)と法案の比較

 10 この法案に見られるような政府の立法意図を完全に理解するためには、”GDPR”の制定の背景をより広く理解する必要がある。  

(A) 情報保護の新たな定義と範囲 (Definitions and scope) 11 ”GDPR”は、情報保護法の範囲を定める定義のいくつかを変更する。1998年法と同様に、”GDPR”は「個人情報(personal data)」に適用される。”GDPR”の定義はより詳細であり、コンピュータのIPアドレスなどのオンライン識別子などの情報も個人情報になる可能性があることが明らかにしている。より広範な定義は、個人情報を構成するための幅広い個人識別情報を明示的に提供し、技術の変化や組織が人々に関する情報を収集する方法を反映している。また、仮名・匿名化された( pseudonymised)個人情報(例えば、キーコード化データ)は、仮名を特定の個人に帰属させることがどれほど困難であるかに応じて、”GDPR”の範囲内に収まる可能性がある。 

  1998年法は、人種、政治的意見、労働組合の会員の地位、健康、性生活および犯罪記録に関する個人情報を含む「機密データ」に関する追加のセーフガードを提供している。”GDPR”は、機密性の高い個人データを「個人情報の特別なカテゴリー」と言い及ぶ。これにより、遺伝学的データと個体を一意に識別するために処理されるバイオメトリックデータを具体的に含めるための追加的な保護手段が拡張される。刑事犯罪に関する個人情報などは含まれていないが、公的機関の管理外のこの情報の処理は、保護措置を規定する国内法によって許可されなければならない。  

(B) データ保護の原則 (Data Protection Principles) 

 13 1998年法は8つのデータ保護原則を定めており、これは主に以下の比較表に示したように”GDPR”にも引き継がれている。また”GDPR”は1998年法にない「説明責任原則」を新たに定めた。いずれにしても、わが国でも両者の比較は今後の法規制を検討するうえで参考となろう。

 なお、GDPRの諸原則欄の文言はGDPRの原文のままではない。英国議会立法事務局が比較する観点から改めてまとめたものである。

 

 

 

 

 (C) 処理の合法性(Lawfulness of processing) 

  1. GDPRの下で個人情報を処理するための合法的な基礎を得るための主な手段は、データが関係する個人の「同意」を得ることである。”GDPR”の下での「同意」は、個人の希望を自由に与え、具体的で、情報に基づいて明確に示したものでなければならない。明確に肯定的な行動が必要である。この「同意」は、無言(silence)、「あらかじめ選択されたボックス」または「非活性化から推論すること」は該当しない。この「同意」はまた他の利用規約とは別に行わねばならず、さらに「同意」を取り消すための簡単な方法も提供することが要件となる。 

 15 「同意」を与えうる人は、なぜ”GDPR”が親または保護者が情報社会サービスを使用して、若い子供たちに代わって個人データ処理に同意を与える必要があることの理由を尋ねられているかを理解できる一定のレベルを持つ必要がある。この「情報社会サービス」には、一般に商用サイトが含まれるが、この用語は、通常、遠隔地で、電子的手段により、かつサービスの受手の個々の要求で報酬のために提供されるサービスとして定義される (EU 指令 2015/1535 第1条(1)(b)参照)。 

 16 個人情報の処理を可能にする唯一の方法は、「同意」だけではない。また、契約上またはその他の法的義務がある時は、明示的な「同意」なしにデータを処理することができる。 個人情報は、公共の利益のために実行された任務の実行または管理者に与えられた公的権限の行使のために、必要な場合には同意なしに処理することができる。  

 17 1998年法と同様に、もはや公的機関に依存することはできないが、個人情報は「正当な利益」があるところでは処理しうる可能性がある。「正当な利益」としては、直接的なマーケティング目的のための処理や不正行為の防止の場合がある。ネットワークと情報のセキュリティを確保し、公的機関への公安に対する犯罪行為や脅威の報告を目的としたクライアントや従業員のデータ処理を含む、内部管理目的のための一連の事業体内での個人データの送信などである。 

 18 情報主体の明示的同意が得られない場合、個人情報および犯罪データの特別なカテゴリーに対してデータが合法的に処理される場合には、さらに限定的な制限がある。  

(D) 個人の諸権利 

 19 1998年法における個人のデータに対する権利は”GDPR”に引き継がれたが、場合によってはこれらがさらに強化され、以下の表に記載されているように追加された。GDPR第3章が当該規定を置く。なお、下記表の”GDPR”の各条文は筆者が補足した。

**************************************************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする