Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

ドイツ連邦データ保護法および連邦電気通信テレメディア・データ保護法 (TTDSG)の改正を巡り何が変わるのか、企業等は何に特に注意を払う必要があるのか?

2024-04-04 17:40:08 | 個人情報保護法制

 2024 年 2 月 7 日、ドイツ連邦内閣は連邦データ保護法(Bundesdatenschutzgesetz :以下、「 BDSG」という)を改正する法案 (以下、「法案」という) を承認した。 この法案は今後、連邦参議院(Bundesrat:連邦レベルでドイツの16の州を代表する立法機関)に意見を求め、その後、連邦議会 (Bundestag))に提出されて議論され、場合によっては採択される予定である。

 この法案は、BDSGの第1部と第2部を一部改正することにより、2021年の連邦内務省によるBDSG評価で浮き彫りになった問題に対処することを目的としている。 他の立法プロジェクトではさらなる修正に取り組む予定である。

 この法改正につきドイツを中心に400 lawyers, 22 languagesをカバーする国際法律事務所である「HEUKING」の標記解説記事blogを読んだ。筆者はDr.Philip Kempermann氏( LL.M.(法学修士)である。他の解説を踏まえ補足しつつ仮訳、解説を加える。

Philip Kempermann氏

 要約すると「ドイツ連邦政府はデータ保護の施行と一貫性を改善するために、我々は欧州の協力を強化し、連邦データ保護法(Bundesdatenschutzgesetz :以下、「 BDSG」という)に「データ保護会議(Datenschutzkonferenz:Data Protection Conference)(以下、「DSK」という)」を制度化し、可能な限り法的拘束力のある決定を下せるようにしたいと考えている。現在、 連邦内閣は現在、BDSGの改正草案を承認しており、その目的はデータ保護とBDSGの評価結果に関する連立協定を部分的に実施することである。

 また、同時に連邦デジタル・運輸省(BMDV)も電気通信電気メディアデータ保護法 (Telekommunikation-Telemedien-Datenschutz-Gesetz – TTDSG)の改正草案を提示した。 電気通信電気メディアデータ保護法 (Telekommunikation-Telemedien-Datenschutz-Gesetz – TTDSG) は、特に「番号に依存しない対人電気通信サービス」が次のように標準化した完全エンドツーエンド暗号化を使用して電気通信サービスを提供することが義務付けられる範囲で改正される予定である。

Ⅰ.BDSGの主な改正点

 1970 年代に BDSG が導入されて以来、数多くの法律改正が行われてきた。 法律の明確化を目的とした多くの変更に加えて、データ管理者とデータ主体に影響を与える可能性のある特定の変更も数多く行われている。

(1)新たに導入された BDSG 草案第 16a に従って、データ保護会議 (Datenschutzkonferenz – DSK) は、独立したデータ保護監督当局の正式な代表機関としての立場に関する疑念を払拭するために制度化される。 しかし、連立合意の意図に反して、DSKの決議は法的拘束力を持たないままであり、さもなければ憲法上の制限に影響を与える可能性がある(混合統治)

(2)BDSG 草案の新設第 40a 条によると、国境を越えたプロジェクトを行う企業および/または研究機関は、単一の州のデータ保護当局にのみ服従するものとします。(注1) これらの企業は、共同管理者であることを共同で示すことができる必要があります。 その場合、管轄監督当局は、通知の前の会計年度において年間売上高が最も高かった企業が管轄する当局となる。 通知は、共同管理者に対して責任を負うすべての監督当局に行われるべきである。

 科学的または歴史的研究目的および統計的目的でデータを処理する共同管理者、および独占的企業でない、または独占的企業ではない共同管理者については、最も多くの人が雇用されている当局が単独で責任を負うという条件で、新設のBDSG40a が適用される。

(3)GDPR第 15 条に基づくデータ主体のアクセスの権利

  GDPR第 15 条 は、情報が管理者または第三者の企業秘密またはビジネス秘密をデータ主体に開示する可能性を規定しており、ドイツは機密性に対する利益が情報に対するデータ主体の利益を上回る場合の扱いについて、BDSG 改正草案第 34 条(Section 34 Right of access by the data subject)によって明確化される。

 その背景は欧州司法裁判所 (CJEU) は、2023 年 7 月 12 日 判決( C-634/21 )において、民間信用情報会社SCHUFAスコアリングが第三者の権利を決定するものである場合には、許されない自動決定に当たるとの判決を下したことである。 送信されたSCUFAのスコア値は、この与信申込人物との契約関係を確立、実行、または終了する。 CJEU の判決は、GDPR の要件が BDSG 第 31 条の適用を妨げるかどうかの問題も扱っている。 ヴィースバーデン行政裁判所と欧州司法裁判所法廷長官は、EU法違反を含む「深刻な懸念」を表明し、その結果、連邦政府はBDSG第31条を廃止し、新たに第37a条を新設し、置き換えることでこの問題を是正したいと考えているという。 この問題は、後記第2節で詳しく述べる。

(4)企業実務にとって重要な点:企業秘密における情報への主体の権利の制限

 連邦政府はBDSG 第 34 条の改正も望んでいる。この基準は、GDPR 第 15 条に基づく情報に対する権利が適用されなくなる条件を規定する。 BDSG は、法定の保存要件によりデータが削除できないため、データが保存されるだけの場合に当てはまる。しかし、新しい改正法の文言によれば、情報に対する権利はもはや公法に基づく法律には適用されないのみでとある。

 一方、新たに挿入された法案文によれば、営業秘密または営業秘密が関係者に漏洩する可能性があり、秘密保持に対する利益が関係者の情報に対する利益を上回る場合には、情報に対する権利はもはや存在しないはずである。

 BDSG 第 34 条の規定のいずれかにより情報に対する権利が存在しなくなった場合、第 3 項は、本人の要求に応じて少なくとも連邦長官に情報を提供する可能性を規定している。この段落では、連邦公共団体がこの可能性について関係者に通知する義務を追加した。

 例外は、営業秘密および営業秘密の機密性への利益が、情報におけるデータ主体の利益を上回る場合に適用される。

 (5)民間団体のビデオ監視に関する法規制の撤廃

 BDSG第4条第(1)項の改正案は次のように要約される。(注2)

「公的機関による光学電子機器(ビデオ監視)を備えた公的にアクセス可能な部屋の観察は、許可される。」

 その結果、非公的機関、特に企業による公的にアクセス可能な部屋のビデオ監視に関する規制は、BDSG連邦法から削除された。このビデオ監視の許容性は、GDPR の第 6 条第 1 項に直接基づいている。

 考えられる影響:規制がこのように施行された場合、BDSG第4条第4項がまだ参照されている場合、ビデオ監視の参照標識は法的根拠に関する調整と見なす必要がある。

2.欧州連合司法裁判所 (CJEU) は、2023 12 7 日、SCHUFA Holding AG (以下、「SCHUFA」という) に対して画期的な判決

 CJEUのリリースと判決原本、ならびに解説から抜粋、引用、仮訳する。

(1)SCHUFA とは何か

 SCHUFA とは個人を中心とした信用スコアである。ドイツに住むほぼ全ての人についてスコアがつけられている(移住して間もない場合はスコアデータが出せない)。

 SCHUFA は決して公的機関の出すものではなく、Schufa Holdings AG という民間金融機関や一般事業会社からの出資によって経営されている会社によって運営されている。

 一般のスコア Basisscore は、100点満点中 97.5 以上であれば最優秀のカテゴリーですが、95 以上であれば十分で、90 を超えていれば何とか支障はないという印象です。逆に50 を切るとかなり問題になる。

 これとは別に、100 を最高点に600 台まで下がっていく、SCHUFA-Orientierungswert というスコアもある。

 また、SCHUFA には主に2種類あって、オンラインで請求して書面郵送を待つ正式版の SCHUFA-BonitätsAuskunftと、銀行や不動産系のウェブサイトでもその場で PDF の形でダウンロードできる SCHUFA-Bonitätscheckがある。

(2) 2023 年 12 月 7 日、欧州連合司法裁判所 (CJEU) は、SCHUFA Holding AG (以下、「SCHUFA」という) に対して画期的な判決を下した。この判決は、信用スコアリング機関の「EU 一般データ保護規則 」の適用方法に影響を与える可能性がある。 判決では、借り手予定者(prospective borrower) (以下、「OQ 」という)対. ヘッセン州事件で、CJEU は、SCHUFA の信用スコアリングが GDPR 第 22 条の対象となる自動意思決定 (以下、「ADM」という) として適格であると決定した。以下で、裁判経緯を概観する。

①事件の背景

 この事件には、ドイツの民間信用照会機関である SCHUFA が提供した信用情報に基づいて貸し手が融資申請を拒否した後、GDPR に基づく個人の権利を行使した「OQ」が関係している。 SCHUFA は OQ の個人データを使用して個人の信用度を示すスコアを生成し、その後ドイツの金融業者と共有した。

 OQ は、GDPR に従って、SCHUFA の自動信用スコアリング プロセスに関する情報を求める件名アクセス リクエストを作成した。 具体的には、GDPR 第 15 条 (1) (h) では、個人が「関係するロジック、およびデータ主体にとってのそのような処理の重要性と予想される結果について」知るためにADM に関する情報を要求することを許可している。 要約すると、第 22 条第 1 項は、「[データ主体] に関する法的効果を生み出す、または同様に [データ主体] に重大な影響を与える」決定をもたらす処理の自動化を規定している。

 SCHUFAは、企業秘密を理由に、OQのこの情報の要求を拒否した。 SCHUFA は、同社は第 22 条第 1 項の対象となる種類の ADM を実行しておらず、最終的な融資決定に向けた「準備行為」に従事しているだけであると主張した。 ローン申請を拒否する決定を下したのは SCHUFA ではなく銀行等貸し手であり、SCHUFA の役割は OQ の自動スコアを作成することだけであり、したがってSCHUFAは、OQの第15条の要求に従う必要はないと主張した。

CJEUは何を決定したか?

 CJEU は、SCHUFA の主張に反して、同機関は第 22 条第 1 項に従う決定を下したという判決を下した。同裁判所は、SCHUFAが金融機関によるOQの融資申請拒否の結果において「決定的な役割」を果たしたことから、SCHUFAは実際に関連するGDPRの ADM義務の対象となる意思決定者を構成していると明言した。

 これは、例えば信用スコアリングの法的根拠を作成することになり、 それは消費者を保護するのに役立つ。すなわち、以下のデータを使用して、スコアリング中に確率値を作成することはできないことになる。:

  • 民族的起源、生体認証データ、健康データなど、DSGVO第9条1項の意味における個人データの特別なカテゴリ。
  • ソーシャルネットワークの使用によるデータ主体の名前または個人データ。
  • 銀行口座からの入金および入金に関する情報。
  • アドレスデータ。
  • 未成年者に関するデータ。

 この決定を受けて、CJEUはプレスリリースを発行し、第三者が自動プロセスを「信用の付与における決定的な役割」とみなす場合、実施される信用スコアリングは「GDPR第22条によって原則的に禁止されている[ADM]とみなされなければならない」という与信決定機能を確認した。

SCHUFA事件の信用情報(スコアリング)事業者等への影響

 GDPR第 22 条に基づく ADM の構成要素に関するこの CJEU の広範な解釈は、企業が個人に影響を与える最終的な決定を下さなかったとしても、企業が「決定的な役割」を果たしている場合には、依然として GDPR の ADM 義務の対象となる意思決定者を構成できることを意味する。最終的な結果では。 特に、この決定は信用スコアリング機関に影響を与えるだけでなく、個人に重大な影響を与える決定を下す際に信頼されるリスクベースのスコアを生成する自動プロセスを使用するサービスプロバイダーにも影響を与える可能性がある。

 したがって、意思決定チェーンに参加する自動化プロセスに従事するすべての団体・組織は、自身がGDPR に準拠する独立した義務があるかどうかを検討する必要がある。

3.連邦法務省の改正法案の逐条解説 

 連邦法務省のBDSG改正法案の逐条解説(全27頁)を以下で、仮訳する。

第1条

連邦データ保護法の改正 

(1)  目次を次のように変更する(Die Inhaltsübersicht wird wie folgt geändert:)

(2)  第 1 条は次のように修正される。(§ 1 wird wie folgt geändert:)

(3)  第 1 部第 2 章を次のように修正する。(Teil 1. Kapitel 2. wird wie folgt geändert:)

(4) 第 1 部、第 4 章の後、次の第 4a 章を 挿入する(Nach Teil 1. Kapitel 4. wird folgendes Kapitel 4a. eingefügt:)

(5)  第 17 条は次のように修正される。(. § 17 wird wie folgt geändert:)

(6) 第 18 条は次のように修正される。

(7). 第 19 条第 1 項は次のように修正される。(§ 19 Absatz 1 wird wie folgt geändert)

(8) 第 27 条は次のように修正される。(§ 27 wird wie folgt geändert:)

(9) 第 29 条第 3 文 1 において、情報「2a」が情報「2」に置き換えられる(In § 29 Absatz 3 Satz 1 wird die Angabe „2a“ durch die Angabe „2“ ersetzt.)

(10) 第 30 条第 2 項第 3 文は廃止される。(§ 30 Absatz 2 Satz 3 wird aufgehoben.)

(11) 第 31 条は廃止される。(. § 31 wird aufgehoben.)

(12) 第 34 条は次のように修正される。(§ 34 wird wie folgt geändert:)

(13) 第 37 条は次のように修正される。(. § 37 wird wie folgt geändert:)

(14)第 37 条の後に、次の第37a 条が挿入される。

「§37a スコアリング」(Nach § 37 wird folgender § 37a eingefügt:§ 37a Scoring)

(15) 第40 条第 2 項は次のように修正される。(§ 40 Absatz 2 wird wie folgt geändert:)

(16) セクション 第40条 の後に、次の第40a 条が挿入される。

「第40a条 共同責任会社の監督権限」

(筆者注:本条はEUのGDPR第56条のワンストップ・ショップ制度を取りこんだもの。複数の加盟国内に拠点を有する管理者/処理者の処理を担当する監督当局を一つに集中させることを狙いとしている。具体的には、管理者/処理者の主たる拠点の監督当局が、国境を越えた処理に関する主要監督当局としての役割を果たし、管理者/処理者にとって、越境での処理に関わる唯一の窓口となる。

主要監督当局は、意見の一致を図り、すべての関連情報を交換するよう、他の関連する監督当局と協力する。主要監督当局は、他の監督当局が相互支援や共同作業を行うよう要請し、特に、他の加盟国内に拠点をもつ管理者/処理者に関わる調査や対策実施の監督を行う。(筆者ブログ(注1)参照。)

(第2条以下は略す)

 Ⅱ.ドイツ連邦電気通信テレメディア・データ保護法 (TTDSG) の一部改正法案

 電気通信情報保護法に基づく同意管理業務等に関する改正法案につき連邦「交通・デジタル・インフラ省(Bundesministerium für Digitales und Verkehr)」の法案解説を抜粋、仮訳する。 

 1.エンドツーエンド暗号化の義務化に加えて、明確化および補足的な規制も法律に組み込む必要がある。

 たとえば、「安全なエンドツーエンド暗号化」(注3)とは、通信コンテンツが送信側エンドユーザーで暗号化され、受信側エンドユーザーでのみ再度復号化されるため、閲覧することはできず、電気通信サービスのプロバイダーまたは第三者はキーにアクセスできず、伝送路全体にわたって解読できないようにする暗号化技術として定義される。

 エンドユーザーには、電気通信サービスのプロバイダーからエンドツーエンド暗号化について通知される必要がある。 このような暗号化が技術的に不可能な場合、プロバイダーは、そのような暗号化を妨げる技術的な理由に関する情報を提供する必要がある。

2.新たに導入されたTTDSG-E第13a 条は、商業的に提供される電気通信サービスのプロバイダーが、EUの刑事手続きにおける証拠、および刑事手続き後の懲役刑の執行には証拠を必要とする「欧州電子情報セキュリティ命令(Electronic evidence in criminal proceedings – production and preservation orders)(注4)の場合に電子証拠を保護および送信するために必要な場合に限り、加入者データ、トラフィック データ、および位置データを処理できるようにすることを目的としている。 (TTDSG第13条は位置情報規定(Standortdaten)

 3.同じ目的で、TTDSG-E 第24a条 によれば、ユーザーが相互に通信したり、別の方法でデータを処理したりできるようにする商用テレメディアのプロバイダーは、データの保存が許可されることを条件として、加入者データと使用状況データの処理を許可されるべきで、ユーザーに提供されるサービスのプロセスの決定的な部分である。 これは、インターネット ドメイン名と、IP アドレス割り当てやドメイン名登録サービスなどの IP 番号付けサービスのプロバイダー、ドメイン名レジストラ サービスのプロバイダー、ドメイン名に関連するプライバシーとプロキシ サービスのプロバイダーにも適用される必要がある。

4.2 つの新たな違反行為につきTTDSG第28条細則(Bußgeldvorschriften) の罰金規定に追加される。

  一方で、TKG の第 3 条第 13 号(注5)の意味に含まれるエンドユーザーは、エンドツーエンド暗号化の実装または可能性について通知される必要がある。 一方、ユーザーには、TKG 第3条(定義)第41号(注6)の意味の範囲内で、提供されたユーザーのみが情報を読み取ることができるようにする継続的かつ安全な暗号化の可能性について通知する必要がある。 罰金の額は変更されるべきではない。 TTDSG-E 第29条 (注7)では、データ保護と情報の自由に関する連邦長官の権限が拡大される。 特に、データ保護の遵守を確保するための命令やその他の措置を講じることができるようになる。

現在のところ、そのような一般条項は GDPR 第 58 条に規定されていない。 この権限が GDPR 第 58 条に記載されている権限にどの程度限定されるかは、まだ不明である。TTDSG-E第 29 条 の措置を施行するために、最大 100 万ユーロ(約1億6400万円)の違約金の支払いを設定する可能性があることは言うまでもない。

*********************************************************

(注1) BDSG 草案の新設第 40a 条はGDPR第56条、第60条のワンストップ・ショップ・メカニズムの国内法化である。

ワンストップ・ショップ・メカニズムにつき、筆者blog(注1)参照。

(注2) 現行法のBGSG第 4条第1項を仮訳する。

公共のアクセス可能なスペースにおけるビデオ監視

(1) 光電子機器による公共のアクセス可能なエリアの監視 (ビデオ監視) は、次の必要な場合にのみ許可される。

  1. 公共機関がその任務を遂行するため、
  2. 誰かにアクセスを許可または拒否するかを決定する権利を行使するため、
  3. 特別に定義された目的のために正当な利益を保護するため、

また、もしデータ主体の正当な優先利益を示すものが何もない場合、以下の ビデオ監は、参加者の生命、健康、自由を保護することは、非常に重要な利益とみなされる。

  1. スポーツ施設、集会や娯楽の場所、ショッピングセンターや駐車場などの公共の利用できる大規模な施設
  2. 公共鉄道、船舶、またはバス交通機関の車両および公共の利用できる大規模な施設、

(注3) エンドツーエンド暗号化(end-to-end encryption、E2EE、E2E暗号化)は、通信経路の末端でメッセージの暗号化・復号を行うことで、通信経路上の第三者からのメッセージの盗聴・改ざんを防ぐ通信方式である。E2EEを用いた通信では、メッセージは意図した受信者だけが復号できるよう暗号化してから転送されるため、通信が傍受されたり、通信を中継するサーバが危殆化したりした場合でも、通信の機密性が確保される。

 一方、TLS(Transport Layer Security)では、通信はメッセージを中継するサーバとの通信経路では保護されるが、中継サーバからは保護されない。一方、E2EEを用いると、メッセージはサーバ間ではなく通信経路の末端で暗号化・復号されるため、通信は中継サーバを含む意図した受信者以外から保護される。(Wikipedia から抜粋)

(注4) “Electronic evidence in criminal proceedings – production and preservation orders”の立法目的の規定を仮訳する。

データの所在に関係なく、刑事犯罪の捜査と訴追に使用される電子証拠へのアクセスを容易にし、迅速化することを目的としている。

欧州連合 (EU) 加盟国の司法当局は、別の加盟国におけるサービスプロバイダーの指定設立またはその任命された法定代理人に対し、次のことを要求することができる。

加入者データ、ユーザーを識別するために必要なインターネット・ プロトコル (IP) アドレス、電子メール、テキスト、アプリ内メッセージなどの電子証拠を作成する。

また、今後のリクエストが保留されるまで、指定されたデータを保存する。

(注5) Telekommunikationsgesetz (TKG)第 3 条Begriffsbestimmungen(定義)第13号の仮訳

13.号 「エンドユーザー」とは、公衆電気通信ネットワークを運営せず、公的に利用可能な電気通信サービスを提供しないユーザーを意味する。

(注6) TKG 第3条(定義)41号の仮訳

 「ユーザー」とは、公的に利用可能な電気通信サービスを私用またはビジネス目的で使用または申請する自然人または法人を意味する。

(注7)  TTDSG第29条「データ保護と情報の自由に対する連邦長官の責任、任務、権限」参照。

********************************************************

Copyright © 2006-2024 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution. 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする