Last Updated: Feburary 7,2019
2018年5月25日に全面施行されるEUの「一般データ保護規則(GDPR)」に基づく関係者の各種義務の一部明確化が進んでいる。
すなわち、EU情報保護指令第29条専門家会議 (筆者注1)は、10月3日に「一般データ保護規則(2016/679) (以下、”GDPR”という)」に基づく「個人データ漏えい時の通知に関するガイダンス草案(WP250)」および”GDPR”の目的のための「自動化された個人意思決定およびプロファイリングに関するガイダンス草案(WP251)」を公表した。これらは、11月28日までにコメント期限として発行され、法解釈の技術的なガイドライン草案である。
(1) 情報漏えい通知に関する新しいガイドラインは、”GDPR”の漏えい事故時の関係者への通知とコミュニケーション上の要件、およびデータ管理者と処理者がこれらの新しい義務を果たすために取ることができるいくつかの手順を説明している。また、さまざまな種類の情報漏えいの例や、通知を受ける必要がある人についてのさまざまなシナリオも含まれる。
(2) 自動化された意思決定とプロファイリングに関する新しい文書の各章のタイトルは次のとおりである。
① 「プロファイリング」と「自動化された意思決定」の定義および”GDPR”の一般的なアプローチ
② GDPR第22条に定義されている自動化された意思決定に関する具体的な規定内容
③ 「プロファイリング」と「自動化された意思決定」に関する一般規定
④ 子供とプロファイリング
⑤ データ保護の観点からの影響評価 (impact assessments)
また、29頁以下のガイダンス草案の付属書(Annexes)は「最善の実務慣行内容」を提供する。
本ブログは,解釈上多くの疑問点を残すGDPR規定内容を補完すべく策定された”WP29”のガイダンス、特に”WP251”についての主要ローファームのレポートを仮訳しつつ、残された課題などを論じるものである。
なお、”WP29”は10月4日、C-ITS:Cooperative-Intelligent Transport Systems (協調高度道路交通システム:先端の情報通信技術を用い、人と道路と車両をネットワーク化し交通システムの安全性、効率性、環境性、快適性等の問題解決に大きく貢献する協調ITS(以下、”C-ITS”という)に関する情報保護面から見た問題指摘の意見書を公表した。イタリア情報保護庁(del Garante per la protezione dei dati person ali(以下「GPDP」という)のニュースで確認したが、その内容は別途本ブログで取り上げることとする。 (筆者注2)
2回に分けて掲載する。なお、本ブログの内容はその後のEUにおける一般データ保護規則の見直しなども含めると大幅に見直す必要があるが、とりあえず必要な範囲で見直した。
1.GDPRに基づく「意思決定の自動化」 データ主体個人の権利またはデータ管理者に対する禁止規定の解釈問題?
Hogan Lovells LLPの標記ブログを以下のとおり、仮訳する。
EUの「一般データ保護規則(GDPR)」の内容の複雑さ問題は、法律上のゴシック文字や確実性を歓迎する実務的解釈に貢献する規制当局のガイダンスによりしばしば緩和される。しかし、自動化された意思決定に関するEU保護指令第29条専門家会議(以下、”WP29”という)が発行した最新のガイドライン草案は、さらなる調査を行うべき特定の問題につきカーブボールを投げた。すなわち、これはGDPR第22条(1)がデータ主体に利用可能な権利としてか、またはデータ管理者に対する直接的な禁止行為として読み取るべきかどうかに関係する問題である。
第22条(1)は、「 データ主体は、プロファイリングを含む自動化された処理のみに基づく法的効果または同様に著しい影響を及ぼす決定の対象とならない権利がある」 (筆者注3)と明記している。”WP29”のガイダンス草案は、原則として、第22条に基づき、法的または同様に重要な効果を有するプロファイリングを含む、完全に自動化された個人の意思決定の禁止を明記している。
これは、完全に自動化され、十分に重要な方法で個人に影響を及ぼす意思決定につながる処理活動は、もちろん、そのような処理が第22条(2)の例外として定められた3つの根拠のいずれかにより正当化されない限り、禁止されることを意味する。すなわち、「契約の締結・履行時」、「法律上の許可に基づく場合」、または「明示的なデータ主体の同意」は重要な法的ポイントではない。 禁止事項として第22条(1)を解釈することは、潜在的に幅広い解釈の結果をもたらす可能性があるといえる。
この解釈が与えられれば、法的効果を生み出すか、同様に個人に著しく影響を及ぼす決定と見なされるものかが真に重要なキーとなる。ガイドラインでは、”WP29”は、適格とするためには、意思決定が個人の状況、行動または選択に大きく影響する可能性があると考えている。”WP29”は、例をあげて、事例の状況や、次のような属性を考慮して、ターゲット広告が個人の権利に重大な影響を及ぼす可能性があるとコメントしている。
• プロファイリング手順の押しつけがましさ(intrusiveness)
• 関係する個人の期待と希望
• 広告が配信される方法
• ターゲットとなるデータ主体たる個人の脆弱性。
同ガイドラインのこの解釈が実際に意味することは、オンライン広告活動の背後にあるデータ処理が個人に大きな影響を及ぼす旨の決定を下す場合、この処理は無効となり、禁止されることである。その後のオンライン広告活動に携わる者は、合法的にデータを使用するためには、明示的な本人の同意を得ることになる。(既に非常に厳しい高い基準に注意されたい)。
WP29は、ガイドライン全体を通じてこの解釈に固執しているが、その処理が第22条(1)項に該当する場合、データ管理者の正当な利益がプロファイリングを合法化することができない旨脚注ではっきりと述べている。問題は、第22条(1)項の規定は実際プロファイルを禁止しているのか、またはWP29はGDPRを誤解しているかである。
この問題を比較するため、”GDPR”が第9条(1)項 (筆者注4)のとおり特別なデータ・カテゴリの処理に関するの別の禁止形態を定める場合、その草案は特別な個人データの処理が「禁止される」と明記している。禁止される旨の文言は明らかに第22条(1)には含まれていない。実際、第22条(1)項の文言は、1995年データ保護指令の第15条(1)から最も明確に引き出されている。2012年1月からの”GDPR”の元となる欧州委員会の提案を振り返ってみると、プロファイリングに関する条項の文言(第20条(1))項は、1995年指令第15条の文言を反映している。
しかし、重要な点は、当初の欧州委員会のGDPR草案には、最終的なGDPRの文言に欠けている言葉が含まれていた。すなわち、委員会原案では、「 本規則の他の規定に準拠することを条件として、取扱者は第20条(1)項において定める一定の種類の措置の処理が「契約の履行」や「法律上の許可がある場合」または「明示的な同意」に基づく場合のみ従うとあった。同じアプローチが欧州議会のLIBE委員会の報告書で立法プロセスの途中で引用されたが、この文言は同条項の最終版には含まれなかった。
したがって、もし”GDPR”の最終版が、限定された例外を伴う法的または同様の重要な効果を有するプロファイリングを含む、完全に自動化された個人意思決定の禁止を意図していたとすれば、第22条(1)項は、そのような処理が禁止されていることを示すか、またはそのような処理が特定の状況でのみ生じることを強調すべきであった。しかし、第22条(1)項の文言はこれを明記していない。
さらに、データ管理者が実行することができる個人データの処理が原則禁止されている場合、法論理的には、この条項は(1)原則を明記する章(刑事有罪判決の個人情報が第10条で扱われる方法と同様に)または(2)管理者および処理者の義務に関する章に明記されるべきである。その代わりに、”GDPR”では自動化された意思決定に関する規定は、データ主体の権利に関する章に含まれている。言い換えれば、”GDPR”の考えは、このような自動化された意思決定を行わない管理者に対する履行禁止ではなく、個人が特定の「決定」を受けないように保護される権利があるという考えのようにも見える。
その結果、EU加盟国等のデータ保護当局が”WP29”のガイドライン案のこの条項を遵守した立場は、かなりの法的な不確実性を生む。しかしながら、明かな点は、”WP29”のガイダンス草案に示された解釈が優先事項とされた場合、”GDPR”の採択時に必ずしも予見されなかったあらゆるタイプの事業者の取組み方に重大な影響を及ぼすことである。
************************************************************
(筆者注1) 新しい一般データ保護規則(GDPR)は、EU域内での同法の適用を保障するため、「欧州データ保護会議(European Data Protection Board:EDPB)」 (各加盟国での個人データ保護法やGDPR等の法令の適正運用を確保する目的を持つ)という法的資格を有するEU機関を設立する(第64条)
より具体的な機能、権限を見ると、現第29条専門家会議はEU加盟国のメンバー監督当局、欧州データ保護監察局(EDPS)および欧州委員会は、同様の会員資格を有するが、独立した事務局である「欧州データ保護委員会」(「EDPB」)に変容する。EDPBは、法律上の人格を持つEU機関としての地位を有し、欧州委員会の法的諮問機関であり、また加盟国の国家監督当局間の紛争を決定し、助言と指導を行い、EU全体の規範と認証を承認する強力な権限を有する。
EDPBは、全加盟国のデータ保護当局(DPA ;SA)の代表者およびヨーロッパのデータ保護監察局(EDPS)で構成されている。EFTA EEA加盟国の監督当局もGDPR関連事項に関して加盟国であるが、議決権や副議長として選出される権利はない。EDPBは一般データ保護規則(GDPR)によって制定されており、ブリュッセルを拠点とする。なお、欧州委員会およびGDPR関連事項に関してEFTA加盟国の監視機関は、議決権なしに理事会の活動および会議に参加する権利を有する。
EDPBには事務局を有し、これはEDPSによって提供される。EDPBとEDPSの覚書(Memorandum of Understanding)は、EDPBとEDPSの間の協力条件を定める。
委員長:アンドレア・イエリネック(Andrea Jelinek )オーストリアDPA代表
(EDPBサイトを仮訳)
(以下のGDPRのEDPBに関する箇所の訳文は、JIPDEC(一般財団法人日本情報経済社会推進協会)が平成23年度に急遽仮訳したものであるが、主要部のみ抜粋する。)なお、GDPRの内容は、その後大幅に見直されており、全訳資料としてはJIPDECの改定版および個人情報保護委員会の全訳を参照されたい。
第64条:EDPBの組織
第65条:欧州委員会などからの任務の独立性
第66条:欧州データ保護委員会のタスク
1. 欧州データ保護委員会は、本規則の一貫した適用を確実なものとするものとする。この趣旨の下、欧州データ保護委員会は自らの主導もしくは欧州委員会からの要請にて、特に以下を成すべきものとする。
(a) 連合内の個人データの保護におけるあらゆる課題に対して欧州委員会に助言を行う。その課題には、本規則に対する改定提案等が含まれる。
(b) 自発的に、メンバーからの要請で、もしくは欧州委員会からの要請にて、本規則の適用に纏わる疑問を精査し、本規則の一貫した適用を促進するために、監督機関に対し湯腰部(c) (b)号のガイドライン、提言、および最良事例の実際的な適用を評価し、これらについて定期的に欧州委員会に報告する。
(d) 第57条の整合性機構に従い、監督機関の決定案に対して見解を述べる。
(e) 監督機関間の、二者間もしくは複数機関間の協力並びに効果的な情報および実務例の交換を推進する。
(f) 監督機関間の、また適切な場合には第三国もしくは国際機関との、共通の訓練計画を推進し人材交流を促進する。
(g) 世界中のデータ保護監督機関との間の、データ保護に関する法律や実務例に関する知識及び文書の交換を推進する。
2. 欧州委員会が欧州データ保護委員会からの助言を求める場合、その事例の緊急性を検討した上で、その助言に回答期限を定めることができる。
3. 欧州データ保護委員会は欧州委員会および第87条の委員会に対し、自らの見解、ガイドライン、提言、および最良事例を送付し、公開すべきものとする。
4. 欧州委員会は、欧州データ保護委員会により出された見解、ガイドライン、提言、および最良事例に基づいて取った対応を、欧州データ保護委員会に通知するものとする。
第67条 欧州委員会への報告
1. 欧州データ保護委員会は定期的かつ適時に、欧州委員会に対し自らの活動結果を報告するものとする。欧州連合および第三国における、自然人の保護および個人データの処理に関する状況についての年次報告書を策定するべきものとする。その報告書には、第66条(1)(c)号のガイドライン、提言、および最良事例の実用的な適用に関する報告を含むものとする。
2. 報告は公開の上、欧州議会、欧州理事会および欧州委員会に伝達されるものとする。
第68条議事の手順
1. 欧州データ保護委員会はその構成員の単純多数によって議事を決するものとする。
2. 欧州データ保護委員会は手順に関する独自の規則を採択し、自らの運用協定を編成するものとする。特に、構成員の任期が切れた場合、もしくは構成員が辞任した場合の職務継続的遂行、特定の課題またはセクターに関するサブグループの設立、および第
57条の整合性機構に関連する手順を提供するものとする。
第69条 委員長
第70条 委員長の職務
第71条 事務局
1. 欧州データ保護委員会は事務局を有するものとする。欧州データ保護監督者がその事務局を提供するものとする。
2. 事務局は委員長の指示の下、欧州データ保護委員会に分析的、運営管理的および後方業務的な支援を提供するものとする。
第72条 委員会の守秘義務
なお、現行の”Article 29 Working Party”(WP29)は、加盟各国の監督機関の代表、欧州委員会司法総局データ保護課の代表、欧州データ保護監察局(EDPS)の代表によって構成される機関であり、欧州委員会の諮問機関として特定の問題に関して共通の解釈と分析を提供することにより、EU 加盟国のデータ保護法の解釈にある程度の調和をもたらす機能を有している。これに関し、わが国の官民学ともにWP29の訳語がほぼ100%「作業部会」と訳しているが、いかにも直訳過ぎて筆者は理解できない。WP29の現機能の引き継ぎ機関がEDPBという点からみても筆者がこれまで使ってきた「EUデータ保護指令第29条専門家会議」の訳語の方が適正であると考えるが、あくまで少数意見であろうか。
(筆者注2) わが国の「C-ITS:Cooperative-Intelligent Transport Systems: 協調高度道路交通システム」について論じたレポートとしては、①ITS規格化 S13-1 経済産業省委託 平成25年度工業標準化推進事業 戦略的国際標準化加速事業:I T Sの規格化事業 ITS協調 システムの情報項目の標準化に関する分析・検証報告書、②一般財団法人日本自動車研究所・ITS研究部「欧米の協調ITSシステムと自動運転の最新動向」、③豊田中央研究所 R&D レビュー Vol. 33 No. 3 ( 1998. 9 )「ITS ( 高度道路交通システム )の国内外の動向」がある。
(筆者注3) 一般財団法人日本情報経済社会推進協会の”GDPR”の仮訳(2016 年8 月)から一部抜粋する。
第21 条 異議を唱える権利
1. データ主体は、当該データ主体のそれぞれの状況に関する理由を根拠として、第6 条第1 項(e)号又は(f)号に基づくプロファイリングを含む当該条項を根拠とした自己に関する個人データの取扱いに対して、いつでも異議を唱える権利を有する。管理者は、データ主体の利益、権利及び自由に優先する取扱いのための、又は法的主張時の立証、行使若しくは抗弁のための差し迫った正当な根拠であることを示さない限り、もはや個人データを取り扱ってはならない。
2. 個人データがダイレクトマーケティングのために取り扱われるならば、データ主体は、当該マーケティングのための当該データ主体に関する個人データの取扱いに対して、いつでも異議を唱える権利を持つ。当該ダイレクトマーケティング範囲内のプロファイリングを含む。
(以下略す)
第22 条 プロファイリングを含む自動化された個人意思決定
1.データ主体は、当該データ主体に関する法的効果をもたらすか又は当該データ主体に同様の重大な影響をもたらすプロファイリングなどの自動化された取扱いのみに基づいた決定に服しない権利を持つ。
2. 第1 項は次に掲げるいずれかの決定には適用されない。
(a) データ主体とデータ管理者間の契約締結、又は履行に必要な決定。
(b) データ主体の権利及び自由並びに正当な利益を保護するための適切な対策が定められた管理者が従うEU 法又は加盟国の国内法によって認められた決定。
(c) データ主体の明示的な同意に基づく決定。
- 第2 項(a)号及び(c)号で定める状況に関して、データ管理者は、データ主体の権利及び自由並びに正当な利益を保護するための適切な対策を実施し、少なくとも管理者側で人を介在させる権利、当該データ主体の観点を表明する権利、及び決定に同意する権利を実施するものとする。
(筆者注4) GDPR第9条(1) 特別な種類の個人データの取扱い
人種若しくは民族的素性、政治的思想、宗教的若しくは哲学的信条、又は労働組合員資格に関する個人データの取扱い、及び遺伝データ、自然人の一意な識別を目的とした生体データ、健康に関するデータ又は自然人の性生活若しくは性的指向に関するデータの取扱いは禁止する。
*****************************************************************
Copyright © 2006-2019 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます