Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

EU議会「市民の自由・司法・内務委員会」が9月3日にCJEUのシュレムスⅡ決定に続く、EUと米国の個人情報フローの将来についての議論の概要

2020-09-08 14:09:51 | 個人情報保護法制

 筆者は去る7月25日のブログで欧州司法裁判所の「Schrems Ⅱ判決」を取り上げた。この裁判は2015年6月欧州司法裁判所判決により米国とEU欧州委員会が協議を重ねた「セーフ・ハーバー決定」が無効と判断され、これを受けてさらなる協議を行い作成したプライバシー・シールドの枠組みも再度無効とされた点である。(筆者注1)

  その後のEU内でのEU-US間の個人情報フローの在り方の検討の動向が気になっていたのであるが、このほどグローバルに活動しているAlston & Bird LLPの弁護士Paul Greaves氏がブログ「European Parliament Committee Meeting Provides Insight into the Future of EU-US Personal Data Flows」で最新情報を取り上げた。

 つまり、9月3日、EU議会の「市民の自由・司法・内務委員会(LIBE委員会)」は会合を開き、7月16日のCJEUのシュレムスⅡ決定に続く、EUと米国の個人情報フローの将来について議論した。特に、この会合にはシュレムス裁判の原告であるマックス・シュレムス(Max Schrems,) (筆者注2)ディディエ・レンデルス(ベルギー)(Didier Reynders)欧州委員会・司法担当委員 (筆者注2)アンドレア・イェリネク(Andrea Jelinek)(欧州データ保護会議(EDPB)議長)が出席した。

  Paul Greaves氏はブログの冒頭でセッション中に行われた重要なステートメントの一部を説明するものであり、これらはかならずしも発言順番に表示されないと注記している。

 今回の本ブログはPaul Greaves氏のブログを仮訳するとともに欧州委員会に改めて加わったマックス・シュレムス氏の主幹サイトの内容等も引用し、今後の議論の行方を探るものである。

 なお、後半で紹介するシュレムス氏の意見は極めて示唆に富む内容であると考える。今後もフォローしたい。

1.ディディエ・レンデルス欧州委員会・司法担当委員の発言内容

Commissioner for Justice Didier Reynders

(1)欧州委員会は、次の3つの主要な分野に焦点を当てるべきである。

(ⅰ)EU加盟国のデータ保護当局(DPAs)と緊密に協力して、域内企業にガイダンスとサポートを提供する。EDPsの責任は、SchremsⅡ事件における欧州連合(EU)司法裁判所(CJEU)の決定によって「強調」され、「強化された」。

(ⅱ).標準的契約条項 (Standard contractual clausesSCC) の近代化 - 近代化された SCC の採用プロセスは今後数か月で開始され、レンデルスは今年中に SCC を完成させたいと考えている。

(ⅲ)米国との協議 - レンデルス氏は、緊急措置はないという事実を強調したが、EU委員会が強化された枠組みのための議論を開始したことも強調した。米国との話し合いは技術的にも政治的にも行われる。またEU委員会は、米国の立法による変更の必要性を検討するであろう。プライバシーと米国の情個人情報監視に関する制限に関する米国内の議論を考えると、プライバシー・シールドが交渉された時よりも実行可能な解決策が今ある。

(2) 近代化されたSCCに関する改善点は次のとおりである。

(ⅰ)EU一般データ規則(GDPR)の新しい要件 (例えば、第 28 条の処理者の必須処理条項および GDPR の透明性義務) (筆者注3) に照らして SCC を更新する。

(ⅱ)従来カバーされていない転送シナリオに対処する(例えば、EU内のプロセッサーから非EU域内サブプロセッサーへの転送への対処)。

(ⅲ)複数の輸入業者と輸出業者が存在し、個人データ転送の複雑な連鎖がある場合の転送への対処が向上策。

(ⅳ)CJEUのシュレムスIIの決定を考慮に入れる。

2.アンドレア・ジェリネク (EDPB委員長) の発言内容

(1)EDPBは、個人データ転送の取扱いにおいて欧州経済領域(EEA) (筆者注4)全体の一貫性を確保するために全力を尽くす。

(2)EDPBは今後数週間から数ヶ月単位で開催する。

(ⅰ)CJEUのSchrems IIの決定に従って、個人データ転送に関連してEDPB文書をレビューし、内容更新する。

(ⅱ)個人データを転送する際に、個人データを転送する際に「本質的な同等性」を確保する義務を満たすための法的、技術的、組織的措置を特定するため、コントローラーとプロセッサーをサポートするための勧告を準備する。

(3) Googleアナリティクス(Google Analytics)フェイスブックコネクト(Facebook Connect) に関してマックス・シュレムス氏が行った101件の苦情(  101 Complaints on EU-US transfers filed)は、EUの各DPAが少なくとも3つのケースに対処できるように行われた。EDPBはこれらの苦情に関して特別チーム(Task Force)を設置しており、加盟国の監督機関DPAは以前よりも緊密に協力するであろう。

(4) 私たち(西側)は、西側世界がデータ保護と市民の基本的権利を保護する方法について共通の理解を持っているかどうかを確認するために一緒に行動すべきである。

3.マックス・シュレムス(Max Schrems)

 ここでのシュレムス氏の見解は彼の唯一の見解であることに注意してほしい。我々は、彼が彼らを受け入れ、または挑戦することなく、それらを提供したように、ここでそれらを要約する。

(1)シュレムス氏は、EU基本権憲章と米国の「1978年外国からの国家安全保障情報の監視に関する法律(Foreign Intelligence Surveillance Act: FISA)」との間には基本的な法的衝突があると主張した。すなわち、プライバシー権と監視の必要性との衝突である。EUと米国商務省等との執行合意は、彼の見解では、衝突を改善することはできない。EU基本権憲章は変更できないので、シュレムス氏は米国の監視法を改正しなければならないと結論づけた(これまでスノーデンの報告後に改正されたことを考えると法改正は可能である)。

(2) 彼の見解では、SCCは「米国の監視法に該当する企業のために」適用することはできない。 すなわち、FISAの第702条に該当する企業(すなわち、電子通信サービスプロバイダ)には使用できない。

 これは、米国の法律の「詳細」を見る必要がある問題である。彼は、米国へのすべての個人データ転送が問題であるとは考えていない。したがって、ホテル予約のコンテキストで個人データを転送することは可能であるが、米国のクラウドサービスプロバイダを使用することは、通常、FISAに該当するため不可能な場合がある。

(3) 個人データが転送中に監視されている個人データの転送の場合、補足的な措置が使用できる。その状況では、シュレムス氏の意見は、良い暗号化が監視の問題を克服することができるということである。しかし、その後、個人データが監視法に該当する企業によって米国に保存され、処理された場合は、シュレムス氏は暗号化措置は保護上役に立たないかもしれないと考えている。

 補足的な契約措置は、米国の大統領執行命令12333 の文脈における監視に関してある程度助けになることができると考え、シュレムス氏は、サービスプロバイダーが自発的に個人データを米国当局に引き渡した場合には重いペナルティを課す条項を含む例を提供した。

(4) シュレムス氏は、彼がアイルランドDPC(Data Protection Commission ) から今週通信を受け取ったことを指摘し、アイルランドDPCは次の1-2年間(彼の見積もりでは)シュレムスII事件を強制しないと信じている。その後、アピールの3つの層があるので、ケースは解決される時間がかかる場合があります。シュレムスは、彼が受け取った手紙についてすぐにより詳細な情報を提供することができるかもしれないことを示した。

(5) シュレムス氏が見ている解決策は次のとおり。

短期的には、GDPR第49条( 特定の状況における例外規定) (筆者注5)に基づくデータ移転の「例外」に関する明確化が必要である。これは、Facebookが転送を正当化するために第49条に頼っているように見えるからである。また、EUに所在するサーバー・ファームに関して、FISAの第702条が適用されるかどうかについても明確化が必要である。彼は、EUに個人データを保存することでは、FISAの第702条の問題に役立たないと考えている。

中期的には、米国におけるFISA 第702条の改正が必要である。

長期的には、オンラインで監視がどこまで行くべきかについて、西側内で共通の理解が必要である。EUでは、依然として断片化した/国家的アプローチがある。欧米諸国では、市民権に関係なく基本的権利が尊重されるアプローチが必要である。

(6)シュレムス氏と彼の属する非営利団体None of Your Business(NOYB)は、プロセッサ-(例えば、大手ハイテク企業)に対してGDPRを直接実施しようとしている。彼の主張は、EUコントローラは必ずしもGoogleのような企業をチェックし、制御する力を持っていないということです。多くの場合、実際の権限はプロセッサーによって保持されている(これは、GDPRのコントローラに焦点を当てたアプローチと対立している)。

(7)米国の法律改正の可能性に関するシュレムス氏の考えは次のとおりである。

(ⅰ)米国の法律に基づくEU市民の救法的救済の欠如に関する現在の問題を克服する可能性の1つは、「監視に関する事後の通知(delayed notice of surveillance)」を提供できるようにするため、米国の法律を変更することである。これにより、EU市民は米国の法律の下に立つことができる。

(ⅱ)法律の面で(すなわち、個人が監視の主体となる場合)1つの解決策は、EU市民に米国市民に提供されたものに対して米国法に基づく平等な保護を与えることである。

(8)サービス・プロバイダーは、EUで処理が行われるように取り決めを変更することができる。

 企業は、技術的および遅延の理由から、すでにEUにインフラストラクチャを配置しているが、シュレムス氏の見解では、これらの運用がまだ米国に接続されていることが問題である。

(9) シュレムスは、もう一つの「ビジネスにフレンドリーな」ソリューションは、SCCに基づいて「ヨーロッパの自己認証(European self-certification’)」アプローチ(筆者注6)をあらたに作り出すことであろうと主張した。関連する条項は、契約条件に置かれ、SCCと同じくらい法的拘束力がある。このアプローチは、米国や他の国との交渉を伴わないので、より簡単といえる。

**************************************************************

(筆者注1) CJEUのSchremsⅡ判決については7月25日ブログ「欧州司法裁判所がSchremsⅡ判決でEU市民の第三国へのデータ移送に関しプライバシー・シールド決定の無効判断および標準的契約条項に関する決定の有効性判断(その1)」で取り上げたが、その2以下が未定稿となったままである。今回のブログの更新に絡めて追加ブログ投稿を行う予定である。

(筆者注2) ディディエ・レンデルス氏(ベルギー):同委員は正確にいうと司法・消費者総局、内部監査局担当委員である。

1958年8月6日、ベルギー・リエージュ生まれ。1992年よりベルギー議会議員。2004年以降、副首相を務めながら機構改革、国営宝くじ担当、財務、外務・欧州問題などの大臣職を歴任。2018年からは外務・欧州問題担当相に加え防衛相も兼務。

(筆者注3) GDPB 第28条( 処理者)の個人情報保護委員会の訳文を以下にあげる。

  1. 管理者の代わりの者によって取扱いが行われる場合、その管理者は、当該取扱いが本規則に定める義務に適合するような態様で適切な技術上及び組織上の保護措置を実装することについて十分な保証を提供する処理者のみを用いるものとし、かつ、データ主体の権利の保護を確保するものとする。
  1. 処理者は、管理者から事前に個別的又は一般的な書面による承認を得ないで、別の処理者を業務に従事させてはならない。一般的な書面による承認の場合、処理者は、管理者に対し、別の処理者の追加又は交代に関する変更の予定を通知し、それによって、管理者に、そのような変更に対して異議を述べる機会を与えるものとする。
  1. 処理者による取扱いは、管理者との関係に関して処理者を拘束し、かつ、取扱いの対象及び期間、取扱いの性質及び目的、個人データの種類及びデータ主体の類型、並びに、管理者の義務及び権利を定める、契約又はその他のEU法若しくは加盟国の国内法に基づく法律行為によって規律される。契約又はその他の法律行為は、特に、処理者が、以下のとおり行うことを定める

(a) 処理者が服するEU又は加盟国の国内法がそのようにすることを要求する場合を除き、個人データの第三国又は国際機関に対する移転と関連するものを含め、管理者からの文書化された指示のみに基づいて個人データを取扱うこと。そのような場合、当該の法律がそのような公共の利益上の重要な法的根拠に関する情報提供を禁止しない限り、処理者は、管理者に対し、取扱いの前に、当該法律上の要件について情報提供するものとする。

(b) 個人データの取扱いを承認された者が自ら守秘義務を課し、又は、適切な法律上の守秘義務の下にあることを確保すること。

(c) 第32条によって求められる全ての措置を講ずること。

(d) 別の処理者を業務に従事させるために、第2項及び第4項に規定する要件を尊重すること。 (e) 第3章に定めるデータ主体の権利を行使するための要求に対処すべき管理者の義務を充足させるために、それが可能な範囲内で、取扱いの性質を考慮に入れた上で、適切な技術上及び組織上の措置によって、管理者を支援すること。

 (f) 取扱いの性質及び処理者が利用可能な情報を考慮に入れた上で、第32条から第36条による義務の遵守の確保において、管理者を支援すること。

(g) 取扱いと関係するサービスの提供が終了した後、EU法又は加盟国の国内法が個人データの記録保存を要求していない限り、管理者の選択により、全ての個人データを消去し、又は、これを管理者に返却すること、並びに、存在している複製物を消去すること。

(h) 本条に定める義務の遵守を説明するため、及び、管理者によって行われる検査若しくは管理者から委任された別の監査人によって行われる検査を含め、監査を受け入れ、若しくは、監査に資するようにするために必要な全ての情報を、管理者が利用できるようにすること。

 第1副項(h)に関し、処理者は、その見解において、指示が本規則又はその他のEU又は加盟国のデータ保護の条項に違反する場合、直ちに、そのことを管理者に通知するものとする。

4.管理者の代わりの特定の取扱活動を行うために、処理者が別の処理者を業務に従事させる場合、当該別の処理者に対し、契約によって、又は、EU法若しくは加盟国の国内法に基づくその他の法律行為によって、特に、その取扱いが本規則の要件に適合するような態様で適切な技術上及び組織上の措置を実装する十分な保証を提供することによって、第3項に規定する管理者及び処理者間の契約又はその他の法律行為に定めるのと同じデータ保護上の義務が課されなければならない。当該別の処理者がそのデータ保護の義務を充足しない場合、当初の処理者は、当該別の処理者の義務の履行について、その管理者に対する法的責任を全面的に負うものとする。

5.第40条に規定する承認された行動規範又は第42条に規定する承認された認証方法を処理者が遵守することは、本条の第1項及び第4項に規定する十分な保証を証明するための要素として用いることができる。

6.管理者と処理者との間の個別の契約を妨げることなく、第3項若しくは第4項に規定する契約又はその他の法律行為は、それが第42条及び第43条により管理者又は処理者に対して与えられる認証の一部分である場合を含め、その全部又は一部について、本条の第7項及び第8項に規定する標準契約条項に基づくものとすることができる。

7.欧州委員会は、本条の第3項及び第4項に規定する事項に関して、第93条第2項に規定する審議手続に従い、標準契約条項を定めることができる。

8.監督機関は、本条の第3項及び第4項に規定する事項に関して、第63条に規定する一貫性メカニズムに従い、標準契約条項を採択できる。

9.第3項及び第4項に規定する契約その他の法律行為は、電子的な方式による場合を含め、書面によるものとする。

10.第82条、第83条及び第84条を妨げることなく、処理者が取扱いの目的及び方法を決定することにより本規則に違反する場合、その処理者は、当該取扱いとの関係においては、管理者として扱われる。

(筆者注4) 現在EEAには、スイスを除くEFTA加盟国のアイスランド、リヒテンシュタイン、ノルウェーと、EUに加盟する28か国が欧州共同体 (EC) の枠組みとして参加している。

(筆者注5) GDPR 49条( 特定の状況における例外規定)の個人情報保護委員会の訳文を以下にあげる。

1.第45条第3項による十分性認定がない場合、又は拘束的企業準則を含め、第46条による適切な保護措置がない場合、以下の条件中のいずれかを満たしている場合においてのみ、第三国又は国際機関への個人データの移転又は個人データ移転の集合を行うことができる。

 (a) 十分性認定及び適切な保護措置が存在しないために、そのような移転がそのデータ主体に対して発生させる可能性のあるリスクの情報提供を受けた後に、そのデータ主体が、提案された移転に明示的に同意した場合;

 (b) データ主体と管理者との間の契約の履行のためにその移転が必要となる場合、又は、データ主体の要求により、契約締結前の措置を実施するためにその移転が必要となる場合

 (c) 管理者及びそれ以外の自然人若しくは法人との間でデータ主体の利益のために帰する契約の締結、又は、その契約の履行のために移転が必要となる場合;

 (d) 公共の利益の重大な事由の移転が必要となる場合;

 (e) 法的主張時の立証、行使又は抗弁に移転が必要となる場合;

 (f) データ主体が物理的又は法的に同意を与えることができない場合において、データ主体又はそれ以外の者の生命に関する利益を保護するために移転が必要となる場合;

(g) EU法又は加盟国の国内法に従い、公衆に対して情報を提供することを予定しており、かつ、公衆一般及び正当な利益をもつことを説明することのできる者の両者に対して開かれているが、個々の案件において、照会に関してEU法又は加盟国の国内法により定められた条件が充足する限度内のみに制限されている登録機関に限り、登録機関からの移転が必要となる場合。

 拘束的企業準則の条項を含め、第45条又は46条に基づいて移転を行うことができず、かつ、本項(a)から(g)による特定の状況における例外がいずれも適用可能ではない場合、その移転が、反復的なものではなく、限定された人数のデータ主体に関係するものであり、データ主体の権利及び自由によって優先されるものではない管理者が求める義務的な正当な利益の目的のために必要であり、かつ、管理者がデータ移転と関連する全ての事情を評価しており、かつ、その評価に基づき、その管理者が個人データの保護に関連して適合する保護措置を提供した場合に限り、第三国又は国際機関に対する移転を行うことができる。その管理者は、監督機関に対して、その移転を通知しなければならない。その管理者は、そのデータ主体に対し、第13条及び第14条に規定する情報に加え、その移転及び求められる義務的な正当な利益に関し、情報提供しなければならない。

2.第1項(g)による移転は、その登録機関に収録されている個人データ全体又は全ての種類の個人データを含むものではない。登録機関が公正な利益を有する者からの協議での利用を意図している場合、その者の要求、又は、その者が取得者となる場合に限定して、その移転が行われる。

3.第1項前段(a)、(b)及び(c)並びに同項後段は、その権限の行使において公的機関によって実施される行為には適用されない。

4.第1項(d)で定める公共の利益は、EU法又は管理者が従う加盟国の国内法において認められていなければならない。

5.十分性認定がない場合、EU法又は加盟国の国内法は、重要な公共の利益を理由として、第三国又は国際機関への特別な種類の個人データの移転について、明示の制限を設けることができる。加盟国は、欧州委員会に対し、そのような条項を通知しなければならない。

6.管理者又は処理者は、評価及び本条第1項後段で定める適切な保護措置を第30条で定める記録の中で文書化しなければならない。

(筆者注6)シュレムス氏に改めて確認したいが、ここでいう“self -certification”はGDPR第42条以下を指していると思う。

******************************************************************

DONATE(ご寄付)のお願い

本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。

みずほ銀行 船橋支店(店番号 282)

普通預金 1631308

アシダ マサル

◆メールアドレス:mashida9.jp@gmail.com

【本ブログのブログとしての特性】

1.100%源データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。

2.本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。

このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。

3.上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。

このような経験を踏まえ、データの入手日から最短で1~2日以内にアップすることが可能となった。

なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。

本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。

4.内外の閲覧者数の統計数(google blogger and WordPress)

(1)2005.9~2017.8 全期間の国別閲覧数

(2) 2016.8~2020.8 WordPress 世界的な閲覧者数

4.他にない本ブログの特性:すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。

その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。

他方、源データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。

5.内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。

【有料会員制の検討

関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。

【全期間の登録済ブログの一時閲覧不可状態】

(1)有料会員制への移行に準備ならびにDonate 集計等のため、直近のブログ以外はすべて閲覧不可になっています。以下の補足説明をご覧ください。

*キーワード入力して筆者の該当ブログをクリック→ 記事がありません→10秒後にトップ画面に移る→直近の一部公開ブログのみ閲覧可となる。

(2)ご寄付の集計結果

3日間で20件、約13万円が集まりました。ありがとうございました。これらの方々については会員制のご案内や今後取り上げるテーマのアンケート等を優先的に行う予定です。

                                                                                                                                            Civilian Watchdog in Japan 代表

 

**********************************************************************************::******

Copyright © 2006-2021 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

 

 

 

 

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする