Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

欧州司法裁判所AGがGoogleを巡るEUデータ保護指令(95/46/EC)等の解釈をスペイン裁判所に意見書(その3完)

2013-07-14 19:43:39 | 個人情報保護法制

Last Updated:Feburary 16.2021

4.EU加盟国における“ right to be forgotten”問題の整理
 あえてBBC Guardian 等メディアの解説は省略する。自国の利害を勘案しつつ、本格的に論じていると思われる英国政府の意見書や法律専門家の意見を中心に問題点を整理してみる。

(1)英国法務省「法務特別委員会意見書」や議会での検討課題の概要
 2013年1月の英国法務省リリース「大法官および法務大臣名の英国政府の意見書(法務特別委員会が取りまとめ)(Government response to Justice Select Committee’s opinion on the European Union Data Protection framework proposals」のうち、欧州委員会が策定したEUデータ保護規則案およびEU指令(95/46/EC)等改正案に対する意見の結論部分を仮訳する。

〔規則案に対する意見(The Committee’s opinion – Regulation)〕
①本規則案は、第一に1995年指令(95/46/EC)の改正と過去および将来のIT技術更新への配慮、第二に「リスボン条約(Treaty of Lisbon)」「EU基本権憲章(Charter of Fundamental Rights of the European Union)」(2010/C 83/02)が規定する個人情報やプライバシーを保護するために必要な個人の権利を与えるものである。(第102段落)

 英国政府の「根拠を明示した意見具申(Government’s Call for Evidence)」に対する応答者の大部分は、特にEUの単一市場の強化に関し、今回の欧州委員会の情報保護立法案を歓迎した。英国政府は、現行EU保護指令が1995年に合意されて以降、個人情報の使用方法が変わったことならびに現行の枠組みの更新が必要であると認識している。

 1995年保護指令の制定目的を踏まえて提案された今回のEU規則案は、個人情報の処理における個人を保護することを意図するものである。個人データの保護は「欧州人権条約(ECHR)」 (筆者注15)第8条(欧州連合基本人権憲章第7条の再規定化したもの)はプライバシーと家族生活の尊重に関する権利の側面でプライバシー保護に特化したものである。

「欧州連合の機能に関する条約(Treaty on the Functioning of the European Union)」第16条第2項はリスボン条約により導入されたデータ保護に関する新たな根拠となるものである。また同条は、欧州議会と欧州連合理事会による個人情報保護の規則を個人的なデータの処理に定めるのに権限を与える。この前提に立ってみると、英国政府は、欧州委員会が立法措置を求めて何とかせねばならないと事例は存在せず、また、現時点で従来の「枠組み決定(framework decisions)」 (筆者注16)を置き換える必要性もないと考える。

 英国政府は、適切な公衆保護、経済成長、および革新を考慮する一方で個人の市民的自由を保護するEUデータ保護法律を欲している。 これらは一方かもう片方を犠牲にして達成されるのではなく、2人乗り自転車方式で達成されるべきである。
 しかしながら、規則案の内容は民間企業や公権力がこれらの権利が是認されるのを保証するためにいかなるかたちで応じるべきであるかに関して作成するものとしては「過剰規範主義的(over-prescriptive)」である。
 政府は、英国の保護機関である情報コミッショナー(Information Commissioner’s Office)が実質的に余分な情報資源を求め、ひいては民間企業は公的機関から求められる多くの管理証拠 (筆者注17)負担を主張する。(第103段落)

 英国政府は、データ管理者(data controllers)がどう規則案を遵守するかといった条件に関し、提案された規則案が過剰規範主義的であるという情報コミッショナー(ICO)の意見に同調する。英国が擁護するリスク・ベースとする保護モデルの下では、それは法律の遵守を確実にするためにデータ管理者を適所に置き、かつその義務を規定化するであろう。

 英国政府は欧州委員会規則案が「だれもその代価を払わない管理体制(a regime which no-one will pay for)」に立つものであるという情報コミッショナーの主張に同情的である。英国が実施したImpact Assessmentでは、1年あたり800万ポンド(約11億7,600万円)から2,800万ポンド(約41億1,600万円)のICOによって見積もられた補足的手段の必要性を勘案して、また、ICOへの登録手数料収入の損失というICOの収入損失推計を査定した。 (筆者注18)

 英国は、欧州委員会には次の選択が可能であると信じる。1つ目は、一般保護規則を通してEU加盟国横断的に一貫性と協力関係 (筆者注19)を実行すべく調和させる目的を追求し続けることができる一方で、データ保護当局と欧州保護委員(European Data Protection Board)の思慮深さの遵守に関する詳細を任せている不可欠の要素に焦点を合わせることである。それに代替する別な2つ目は、規則案に含まれているすべての領域で達成したがっていることを実現するのに指令を使用する方法である。しかし、この場合、加盟国に具体的な実現を任せることになり、前述調和や一環性の要素に実現は課題として残される。 (第104段落)

 提案された規則案はEU指令として書き直すべきであるという英国政府の立場は、加盟国にとって要求される有利性や柔軟性を考慮することに繋がろう。 欧州委員会のImpact Assessmentは、従来のEU指令の使用によりこの調和させることが達成されることを認めている。

 例えば、規則案の中で見出しうる基本的権利の調和の例を挙げよう。すなわち、 データ主体の楽しむ権利、独立性を持った監督機関と欧州保護委員会に関するルールである。また、英国政府は一貫性メカニズムの原理を支持する。我々は、 私たちは、データ保護枠組みにおいて個人の市民的自由を保護するべきであると信じている。このことは、個人的なデータの処理が公正、安全であり、そのデータが必要とされる期間のみ保有されるべきであることを確実にする適所にある規則を定めることを意味する。

 EUデータ保護立法は、革新と成長を損なうビジネス慣行を強制することなく個人のプライバシーを保護するものでなければならない。例えば、規則案はデータ管理者がどのようにインパクト・アセスメントを完全なものとしまた保護役員を雇用するかにつき規範的な義務を明記する。

 彼らがどう提案されたRegulationに従うかに関して提案されたRegulationはデータ保護インパクト・アセスメントを終了して、データ保護職員を雇うのなどように規範的な義務をデータ管理者に置く。 これはデータ管理者(小さいオンライン小売業者から多国籍の大きなインターネット会社までの)が規則の遵守を確実にするためにそれら自身の実務慣行を採用できない‘フリーサイズ'アプローチである。 欧州委員会の提案は、プロセスではなく、結果を規制することに焦点を合わせるべきである。

 英国議会の「欧州問題監視委員会(European Scrutiny Committee)」の英国政府に対する質問事項すなわち現在上程されている規則案はデータ主体にとって交渉の余地がない基本的権利を付与し、また欧州全体で取引を行う民間企業特に中小企業にとってより遵守しやすい本質的なものである。しかし、委員会はEUが現在提示している手続様式は適切、実践的、容易性および効率性なものとは思えない、という疑問である。(第105段落)

 英国政府は欧州問題監視委員会への回答として次のとおり指摘した。政府は個人の市民的自由を保護する意味のデータ保護法を見たがっている。 データ管理者がデータ保護につき、ビジネスが成長するのを防げる極めて高価で官僚的手段に従う必要はなく、データ処理できるのを確実にしている一方で、個人の保護を達成したいと思う。

〔EU指令改正案に対する政府意見(The Committee’s opinion – Directive)〕
 データ主体の観点から見て、指令改正案は、保護規則案に比べより弱いレベルのデータ保護を提供する。 政府は、法執行当局による機密の個人的データの取扱いの著しい違いを認めるが、多くの点で、保護のこの低いレベルは正当に見えない。交渉の間で、英国政府は旧指令を修正しようとするべきであるので、データ保護原則はできるだけ2つのEU保護手段(一般保護規則と改正指令)の間で一貫すべきである。これは、リスボン条約で支持された権利が、是認されるのをさらに確実にするであろう。 (第149段落)


 前述したとおり、欧州委員の2つの保護手段の間の一貫性のための委員会の求めに応じ、英国政府は、それが可能である限り2つの手段の間には、パラレルな関係があるべきであると信じている。しかしながら、各手段が提案されたとおり異なった文脈で考えられることが重要である。 規則案は一般データ保護処理のために提案されたが、改正指令は警察の分野と刑事問題における司法協力において適用される。各手段でカバーされる領域での個人データの使用は非常に異なっており、そして、警察の分野のより大きい柔軟性と運用上の要件によるこの領域の司法協力の必要があり、必要であるところでは、これらが2つの手段に反映されるべきである。旧指令の詳細説明(recital )10 (筆者注20)は、個人情報の保護のときに刑事問題における司法協力と警察の協力の分野、特定の規則がこの分野での個人情報の保護に必要であるかもしれないと認めたDeclaration21を参照・引用している。

 規則案とは対照的に、保護指令により保護されるレベルの条件に関してよりフレキシブルな手段提供や基本的人権の供与手段の間で、矛盾は全くない。 例えば、Framework Decisionは最低基準となる手段である。Framework Decisionの詳細説明48は、基本的権利を尊敬する点を確認して、欧州連合基本権憲章によって認識された諸原則を明記する。

 英国政府の立場は、Directiveが欧州連合の機能に関する条約プロトコル21第6a条に従い、英国にとって適用を制限してしまうだろうというものである。その場合、我々は、法執行当局がDirectiveの中に含まれる過剰規範的な手段によって縛られないので、それがイギリスに有益になると信じる。また、これは、警官隊等のようにEU法が国内の個人データ処理に適用されないことを意味するであろう。 刑事裁判の場合の国内処理は、引き続き「1998年情報保護法」でカバーされ続けるであろう。 (第150段落)

 提案された指令改正案によると、EUの手段の外でのデータ処理に適用しないという政府の立場がある。指令改正案が適用しない分野では、英国の国内法はそのような個人的なデータの処理を治め続けるであろう。

(2)筆者は、5月10日の英国の大手ローファームShepherd and Wedderburnの解説記事「The right to be forgotten – who can decide?」を読んだ。
 短いレポートではあるが、この問題のEU加盟国(英国、ドイツ)における議論のポイント(GoogleだけでなくドイツのFacebookの法適用領域問題)は具体例をあげて整理されている。その要旨部を以下、仮訳する。

(略す)

(3) チューリッヒ大学・国際ビジネス法主任教授 Rolf H. Weber「The Right to Be Forgotten :More Than a Pandora’s Box?」(全11頁)2011年公表
JIPITEC, the ”Journal of Intellectual Property, Information Technology and Electronic Commerce Law” 2011年第2巻第2号120~131ページ

(略す)

(4) 2013年4月22日のドイツ: シュレスビッヒ・ホルシュタイン行政裁判所(Verwaltungsgerichtsbarkeit in Schleswig-Holstein:OVG)判決の意義と内容
 2013年4月22日、OVGはフェイスブックがアイルランドに非米国やカナダの運用に関してはアイルランドに本拠を置くことから、フェイスブックのアカウントネーム・利用規約(ポリシー)では本名の使用を義務付ける。この点につき原告ユーザーはシュレスビッヒ・ホルシュタイン個人情報保護委員は同利用規約は保護法違反であるとする決定を下した。
 フェイスブックは控訴し、OVGはフェイスブックのEU域内のオペレーションはアイルランドで行われており、そこで適用される保護法はアイルランド保護法のみが適用され、ドイツ保護法は適用されない旨裁決した。
 この決定は他国のデータ保護機関に比べプライバシー保護に厳しいドイツの監視機関にとって打撃である。
 なお、OVG決定に対し上告される予定であるが、この問題は欧州委員会が目的とする「一環性メカニズム(consistency mechanism)」問題と極めて緊密に関係する問題であることは間違いない。
 また、シュレスビッヒ・ホルシュタイン個人情報保護委員(Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein)のプレスリリース「OVG Schleswig-Holstein: For Facebook Germany data protection law does not apply」はOVG判決文の原文等にリンクできる。

*************************************************************************************

(筆者注15) 立命館大学の安江則子教授が「3.EU リスボン条約における基本権の保護ーECHR との関係を中心に―」においてリスボン条約、基本人権憲章、欧州人権条約等の位置づけについて説明されているので、一部抜粋引用する。なお、EU公式サイトへのリンクや正式条約名等は筆者の責任で行った。
「 EU は2000年末に,機関として遵守すべき基本権のリストを示した「基本権憲章(Charter of Fundamental Rights of the European Union:2010/C 83/02)」を採択した。この憲章は,2001年から始まった基本条約改正のためのコンベンション)での議論の結果,欧州憲法条約(2004年調印)に挿入され法的拘束力をもつことになっていた。ところが周知のとおり,憲法条約はフランスとオランダの国民投票で否決され,その後2007年の条約再交渉の結果,「EU条約およびEC 設立条約を改定するリスボン条約」Treaty of Lisbon Amending the Treaty on European Union and the Treaty Establishing the European Community,以下、リスボン条約)が採択されている2)。リスボン条約において基本権憲章は,基本条約とは別個の文書として,法的拘束力をもつことが合意されている。さらに新たな条約において,EU が,機関として「欧州人権条約(ECHR, European Convention on the Protection of Human Rights:正式名は“Convention for the Protection of Human Rights and Fundamental Freedoms”)」に加入する方針も明確にされた。2007年2月15日には,独立機関としてEU 基本的人権保護庁(FRA, European Union Agency for Fundamental Rights)が欧州連合理事会の決定に基づいて設立されている)。」
 
 なお、FRAの設置経緯等につき、欧州連合理事会のリリースに基づき筆者が独自に仮訳、補足する。

・欧州連合理事会は、EU基本権庁の設置に関する理事会規則(COUNCIL REGULATION establishing a European Union Agency for Fundamental Rights)を採択した。

 2003年12月欧州評議会(European Council)は1997年の規則に基づき設置した人種差別主義(Racism)および外国人嫌悪主義(Xenophobia)のモニタリング・センターの統治権限を拡大し、その権限をFRAに移行することに同意した。同庁の本部の事務所は引き続きオーストリアのウイーンに残る。

 同庁の設置目的は、関係する国や地域内の機関、団体、官公庁等に対し、これら機関が基本的権利を完全に尊重し、それらの権能の範囲内で対策を実施したり行動の方針を定式化するとき、コミュニティ法に即してそれらを支援したり支持するために基本的権利に関連する支援と専門的情報を提供することである。

 同庁は、これらの案件に対処しながら、基本的権利の状況の開発のときに客観的かつ信頼できて比較可能な情報を集め、また、尊重すべき点に関する失敗の原因、その結果および効果に関してこれら情報を分析するとともに、これらの手段についての優れた実践例を検証することになろう。

(筆者注16) 「枠組み決定」とは、欧州連合条約第6編に固有の法令形態であって、加盟国または欧州委員会が発議し、理事会の全会一致の議決で定められ、達成されるべき結果については、加盟国を拘束するが、形式や方法の選択は各加盟国に委ねられる(欧州連合条約第34条⑵⒝)。

 ここで「枠組み決定」の法的側面につき補足する。国際平成大学の入稲福(いりなふく)智教授のEU法のHPの解説から一部抜粋・引用した。なお、条約原文へのリンクは筆者の責任で行った。
「(b) 枠組み決定(framework decisions)
 これは、国内法規・行政規則を調整する場合に制定される。その効力について、EU条約第34条第2項第b号は、EC条約第249条第3項(EC指令の効力に関する規定)と同じような表現を用い定めている。つまり、枠組み決定の目的に照らし、加盟国は国内法・政策を整備しなければならないが(加盟国はその目的に拘束される)、その方法や手段は加盟国の裁量に任されている。なお、EU条約第34条第2項第b号は、決定の 直接的効力 を明瞭に否認しており、この点で、指令に関するEC条約第249条第3項とは異なる(参照)。」

(筆者注17) とりわけ英国では“administrative burdens”軽減化に向け官民で取り込んでいる。
 その意義等について「ビジネス・イノベーション・技術改革省(BIS)」のサイト解説“Reducing administrative burdens”を見ておく。
「行政事務負担」とは、民会事業会社等ビジネスが他の手段による代替不可の法令を遵守するために負う行為をいう。通常一定の定められた様式のファイリング、記録の保存や要求された様式への回答としてなされる。その手続等の簡素化は、民間ビジネスひいては英国経済全般に対する節約効果に繋がる。
.
(筆者注18)英国の1998 年データ保護法では、「データ管理者(data controller)」である組織・法人に対するデータ保護8原則の遵守義務、政府から独立した情報保護監督機関である情報コミッショナーに対しデータ管理者としての登録義務等を課している。さらに2000年3月以降、登録時に一律35ポンド納付が義務付けられていたが、同制度は2009年情報保護規則改正により2009年10月1日から事業者の「規模(従業員数が250人以上)」と「粗利益(turnover)2,590万ポンド(約38億730万円)以上」により従来どおりの35ポンドの納付額(Tier1)の場合に加え、500ポンド(約73,500円)納付の場合(Tier2)が追加され、2本建てに改正された。(公的機関については250人以上はTier2となる)。英国では新基準でも90%以上が35ポンドである。

 参考までに同改正規則の原文を引用する。;

Amendment of regulation 7 of the Regulations
3. For regulation 7 of the Regulations (fees to accompany notification under section 18 of the Act) substitute—
“Fees to accompany notification under section 18 of the Act 7. For the purposes of section 18(5) of the Act the prescribed fee is—
(a) for a data controller in tier 1, £35; or
(b) for a data controller in tier 2, £500.

(筆者注19) 欧州委員会の一般保護規則案の中でとりわけ重要な制定目的として57条以下で定める「一環性メカニズム(consistency mechanism)」という言葉につき、欧州委員会の司法担当委員サイトで詳しく説明している。この問題につき、規則化の背景や同メカニズムの基本原則、各国の保護監督機関(DPAs)とその支援機能を持つ「欧州データ保護委員会(European Data Protection Board:EDPB)」や欧州委員会との関係である。
 この問題は、どういうわけかわが国ではほとんど解説されていない点であり、原資料にもとづき解説を試みる。EUサイトの解説内容はかなり抽象的であるが他に適切な解説文がないためあえて引用した。

・現行保護指令(95/46/EC)の下で、同じ企業活動でありながらEUの複数国で事業展開する事業者は異なる権限を持つ監督機関の異なる権限の下で活動せざるを得ないため、不確実性が極めて増していた。この問題が大きく問題視された例としてはGoogleのStreet View問題であった。各国のDPAsに対し未調整でかつばらばらの対応を行った。
 規則案はこれまでの対応の問題を解決すべく一元性と一貫性をもった事業者の監督制度を確立させた。すなわち、第一に1つのDPAのみが、“One Stop Shop”(一連のサービスが1つの場所で提供可能な効率的ビジネス)会社に対して法的に拘束力を持つ決定を行う責任を持つ。
 第二に、DPAs間における相互支援・協調活動(55条以下)を義務づけるとともに、EU全体にわたるEDPBによる明確な適用を保証する規則を定め、また欧州委員会の役割という一貫性を持ったメカニズムを創設した。


 この一環性メカニズムには次の3つの原則がある。
①DPAsはEU全体への影響をもたない個々の事件のみ決定を行う。
②EU全体に影響を持つ問題についてはEDPBが決定を行う。
③欧州委員会はこの一環性メカニズムが確実の有効になるようバックネットとして行動する。

 さらに、もしDPAの決定に対し、EDPBが本規則に正しい適用かどうかが極めて疑わしいと判断する場合のみ、欧州委員会はDPAに対し、規則案により最大12か月の処分停止を請求しうる。この決定は次の2つの特別な事情がある場合のみ認められる。
①DPAとEDPB間において立場の分岐内容の和解を試みる。
②特に問題点が域内市場に対する適切な機能として適用しうる手段を採択するためであ
ること。

(筆者注20) EU指令”の “Recital 10”の原文を引用する。”
10. In Declaration 21 on the protection of personal data in the fields of judicial co-operation in criminal matters and police co-operation, annexed to the final act of the intergovernmental conference which adopted the Treaty of Lisbon, the Conference acknowledged that specific rules on the protection of personal data and the free movement of such data in the fields of judicial co-operation in criminal matters and police co-operation based on Article 16 of the Treaty on the Functioning of the European Union may prove necessary because of the specific nature of these fields.

   **********************************************************************************

Copyright © 2006-2013 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.




 

 


コメント    この記事についてブログを書く
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする
« 欧州司法裁判所AGがGoogleを... | トップ | バッファロー市のパーキング... »
最新の画像もっと見る

コメントを投稿

個人情報保護法制」カテゴリの最新記事