Last Upadated:April 30.2024
本ブログは2016年9月現在で執筆したため、その後2018年2018 年 8 月、個人データ保護法典等の国内法を EU 一般データ保護規則に適応させるとともに、個人データ保護に関するイタリア独自の規制を含む立法命令が制定された点など多くの変更(詳しい解説5/1①)があった点があり、以下のとおり本ブログでも改めて取り上げたので参照されたい。
①2019-02-05 「イタリア個人情報保護庁(del Garante per la protezione dei dati personali :Garante)の最近のトピックスを読む」5/1②
②2019-02-08「イタリアGaranteが違法なテレマーケティング行為を理由に”Wind Tre”に60万ユーロの罰金命令を下す」5/1③
③2019-04-25「イタリアで発布された最初のGDPRに基づく罰金命令」5/1④
④2021-08-04 「イタリアDPAであるGaranteが大手食品・食料品配送会社Deliveroo Italyに対し計250万ユーロ(約3億2500万円)で制裁金と改善命令」5/1⑤
***************************************************************
9月18日に筆者の手元にイタリア個人情報保護庁(Garante per la protezione dei dati personali. (以下,Garanteという))から「2016年上期の法執行の動向調査のレポート」が届いた。
イタリアの「個人情報保護法(2003年イタリア共和国立法命令第196号)(Decreto Legislativo 30 giugno 2003, n. 196"Codice in materia di protezione dei dati personali")」 (筆者注1)(筆者注2)の調査は、EUの欧州委員会、EUの情報保護機関である「欧州個人情報保護監察庁(EDPS)」 や「EU保護指令第29条専門家会議(Article 29 Working Party)」 等で取り上げられているが、内閣府等が指名するわが国の専門学者(いわゆる「有識者」?)も含め、わが国では取り立てて詳しくは紹介されていない。
本ブログでは、参考としてイタリアの法令体系や検索方法についてもあわせ簡単に言及する。
また、イタリア企業のプライバシーポリシーの内容等もこの際に比較すべきと考え、わが国でも翻訳されている代表的な企業のポリシーの内容を読んでみた。後段で紹介するとおり、その内容は決して正確性かつ十分なものとはいえないものであった。
今回のブログは、1)イタリアの保護法や行動規範体系を概観し、2)2016年上期のGaranteの法執行の動向、3)イタリア企業のプラバシーポリシーの内容等から見た制度、運用課題をまとめた。
なお、筆者が気になったが確認できていない点がある。2003年保護法と2016年4月に欧州議会本会議で採択された「一般データ保護規則(正式には「Regulation(EU)2016/679」、「GDPR」という)」および「新保護指令(正式には「Directive(EU)2016/680」との整合性問題である。GPDPのサイトで見ると、4月14日のニュースで採択の経緯のみ取り上げているが、詳しい内容には言及していない。5月24日付けのサイトで「一般データ規則」や「新保護指令」の経緯と原典へのリンクを可としているのみである。
他方、イタリアの個人情報保護の取り締まりは財務警察(Guardia di Finanza) (筆者注3)が深く関与しており、その点も正確に理解しておく必要がある点を補足する。
筆者はイタリア語の専門家ではないし、ましてやイタリア法の専門家ではない。専門家による誤訳、誤解等の指摘を期待する。
1.イタリアの個人情報保護立法や行動規範の概要
(1)「個人情報保護法(2003年イタリア共和国立法命令第196号)
2003年6月30日に成立した法律(立法命令)で、2004年1月1日施行された。1996年以来の各種法律、特に1996年個人情報保護法(1997年3月施行)のほか、行動規範や規則を統合したものである。Garanteの解説文を仮訳する。(Garanteの解説がっ法改正に伴い、その後削除されている)
同法の基本原則は、1)単純化、2)調和および3)効率性である。3編からなる。第1編はあらゆる団体や組織に適用される一般的保護原則を定め、第2編は特定の分野すなわち医療、電気通信、銀行や金融、人材関係に関する団体等に求められる追加的手段を定め、第3編は制裁及び情報主体への救済手続きを定める。
同法の適用範囲は、国家及び州等で行われるすべての情報処理活動である。イタリア国内で使用されるPCやコンピュータをベースにするシステムで使用する団体等以外のものも含む。もし、EU以外の団体等がイタリア領土内でデータ処理を行う場合は、イタリア国内にイタリアの法令を適用するため代表部を指名しなければならない(この点は、通知義務にしたがううえで、Garanteへの通知及び情報主体への通知義務を負う)。
(2)法令の主な特徴的事項
①通知義務
単純化の主要な目的は「通知手続き」にある、そこではEUの情報保護指令(指令18条(2)参照)の線上に即し1996年法に比べより単純化した。通知手続きにおいてデータ主体の権利や自由権にマイナス影響を与えないものである。イタリア法の下では情報処理がハイリスクのカテゴリーに入る場合のみGaranteへの通知義務を負うものである。すなわち、特に遺伝子、生体認証データ、個人の分析やプロファイルためのデータならびに信用情報等に限定する。また、このような取り組みは個人にとって透明性と理解の向上をかたちづくる。
②データ収集範囲の最小化
法第3条はイタリアにおける保持情報の最小化原則導入した。法は、団体等に可能な限り個人を特定しないデータの使用を促す。
③データ主体の権利/決定権
法はデータ主体の保護権を強化、すなわち権利の実行及び手続きをより簡便にさせる。苦情申立手続きの単純化の過程のなかで、Garanteはデータ主体の苦情申立様式をそのウェブサイト上で公開した。また、Garanteはその決定において遵守要求の守ることを事業者に命じた。Garanteの調査への対応期間につき事業者は15日間の期間が与えられた(旧法では時間枠は5日間であった)。苦情を受け付けてからの処理するまでの日数は60日に引き上げられた(従来は30日)。
④国際的な個人情報の移送
保護法は一定の範囲で国際的な情報の移送に規定を統合した(法42条から45条)。以前の法では事業者は個人情報をEU域外に移送する時はGaranteに通知しなければならなかったが、新法の下ではデータの移送がデータ主体にとり不利益が生じる場合のみ通知義務が発生することとなった。さらに、毎年通知の再提出を求めないことになった。非EU加盟国への合法的移送規定は43条に定めてており、本人の同意、契約上の義務に合致、公益に合致、生命や健康の安全措置、弁護人による調査が対象となる。
合法的移送の追加規定は44条に定めており、1)契約上の安全策の採用されているとして欧州委員会が適切とみなす国への移送、2)拘束的企業準則BCR(Binding Corporate Rules)を制定した企業グループ内の移転の場合、である。 (筆者注4)
(3)特定の個人情報処理の運用に関する主な特徴点
①人材個人情報
保護法は個人情報の保有にかかるEU指令8条(b)項を完全に受け入れている。従業員の同意についての発行物が信頼に足らないためその代替物見つけたいと欲して機微個人情報を処理する団体等は法26条の例外を見ることができる。たとえば、26条(4d)は雇用法のもとでの義務に合致するときは本人の同意なしに機微情報の処理が許される。
②健康に関するデータ
データ主体の書面による同意及びデータ管理者が民間企業の場合はGaranteの承認が必要とされる。公的団体の場合はその処理は法律や規則が定めているときは認められる。しかしながら、後者については詳細な特別な処理や目的が定められていなければならない。その他関係する公的機関においては特別な規則事項により特定されていなければならない。
原則としてデータ主体の同意は不要であるが、他方でデータ主体の健康や身体の完全性を引き出すため医療に関する専門家の場合以外はGaranteの承認が必要となる。
(一部略す)
2.Garanteの2016年上期の法執行の動向調査
Garanteのサイトの解説を以下のとおり仮訳する。
2016年上期のテレマーケティング、慈善事業行為およびオンラインゲーム等につきGaranteの監査機能の下で確認された。
2016年の上半期の統計でみると計190万ユーロ(約2億1,850万円)の制裁金が課され、2,000件以上の違反事件が争われた。
具体的には、①テレマーケティングやコールセンターの活動、② 事前に編集されたプリコンパイルされた730の慈善団体に関連するデータ処理、 ③ 販売代理店のオンラインゲーム(dealership online games)、④一部のイタリア国家統計局(ISTAT) (筆者注5)の情報システム、⑤債務再編(debt restructuring)を扱う企業が対象となった。これら企業、団体は、今後数カ月のうちに個人データ保護法の遵守の検証のためのGaranteの起動によって影響を受ける部門の一部である。ここ数週間内に、当局は2016年下半期における介入の新たな分野を提供すべく立ち上げた。その具体的内容は、「Doc.No web 5408359」を参照。
また、Garanteの捜査・調査は、財務警察のプライバシー特別捜査班と共同で実施された。まさに最近時、財務警察とGaranteの間で連携強化に関する協定に基づく新手順が署名された。
また、前記の分野に加えて、実際Garanteの検査は、①報告、②苦情や市民の訴え、③強制通知義務 (筆者注6)遵守の調査、④開示基準と合意の遵守等に始まる問い合わせならびに公共および民間団体によって処理された機密情報を保護するための最低限のセキュリティ対策の採用等に焦点を当ててた。
一方、2016年上半期において、Garanteの活動は、罰則を課す事案の著しい増加を記録した。すでに財務省によって収計された合計額が約190万ユーロとなり、2015年上半期に比べて5%増であった。また、制裁処分は、2000件(2015年上半期に比べて44%増)で争われた。そのうち37件は、最低限のセキュリティ対策を採用することを怠った点に主に焦点を当て、裁判所への報告(2015年上半期と比較して85%増)、労働者の遠隔操作に接続時の法違反、Garanteの規定の遵守を怠った等が続く。最低限のセキュリティ対策を怠った問題につき、公共および民間企業を含め、合計で26件が数えられている。
Garanteの財務警察のプライバシー特別捜査班の協力を用いて行う調査としては、関係する多くの微妙な分野、すなわち、1)大規模な公共データベース(歳入庁、INPS)、2) 多国籍企業による非EU諸国への個人データの移送、3)カーシェアリング会社(特に顧客の地理情報)、4)電話マーケティング、 5)人材紹介会社が行ったプロファイリング、6)私立探偵、7)障害者の個人データの使用に関する自動車ディーラー等である。
公共部門特に地方自治体政府であきらかとなった主な法違反問題は、民間部門でも最も一般的ではあるが、1)顧客に関するデータ違反に関するもの、2)大量のデータ収集に関する主体の同意の欠如、または3)最低限のセキュリティ対策の欠如、4)GaranteGPDPへの通知義務違反等である。
3.イタリアの法令体系や検索方法入門
イタリアの法令体系については国立国会図書館の国/地域別資料紹介>イタリア>法令資料が最も信頼性があり、リンク先も含め内容が更新されている。
(1) 官報
Serie Generaleの中に「法律(Leggi)」、「大統領令(Decreto del Presidente della Repubblica )」、「緊急命令または暫定措置令(Decreto-Legge)」、「省令(Decreto Ministeriale)」などにつきリンクも含め解説されている。
(2)司法省などの共同運営法令サイト(Normattiva )HPで「法令データベース」は以下のベル上院や下院の法令検索サイトも含め検索が可能である。
例えば、今回対象となる「個人情報保護法(2003年イタリア共和国立法命令第196号)(Decreto Legislativo 30 giugno 2003, n. 196"Codice in materia di protezione dei dati personali")」はNormattivaでも検索できる。
以下の画面はNormattivaの検索画面であるが、制定年と法令番号の入力のみで196号の本文がリンクできる。
(3)上院のHPでは、「1996年以降に制定された法律」、「立法命令(Decreti Legislativi)」や「法律命令(Decreti-Legge)」、また下院のHPでは1946年以降の制定順法令(Leggi ordinarie)の検索が可能である。
4.イタリア大手企業のプライバシーポリシーに見る保護法の理解と運用面等の課題
筆者なりにわが国にも進出しているイタリア大手企業のサイトで、プライバシーポリシーの内容を確認してみた。
そこで見えてきた問題としては、1)法律等の不正確な引用、2)訳語の誤り、3)説明不足等数多くの問題点が浮かび上がってきた。時間の関係で逐一のコメントは略すが、いずれにしてももっとローファーム等専門家を活用し、丁寧な解説を実践すべく国際的企業として積極的に取り組まれたい。
(1) マンフロット(Tha Manfrotto Group )のプライバシーポリシー
同社は、わが国でも有名なイタリアの三脚メーカーである。1960年代末にイタリア人のフォトリポーター、リノ・マンフロット(Lino Manfrotto )によって創業された。彼自らの体験をもとに作り出された、使いやすく安定性のあるスタジオ用品はプロの間で評判となり、自らのブランドによる製品ラインアップを作ることとなった。カメラ三脚の製造は、1974年に開始。 現在、ラインナップは業務用の大型三脚から携帯用の小型三脚まで、またスチル用、ビデオ用、照明用などと幅広い。パノラマ撮影用に決まった角度でカメラを回転させることができる雲台も製造している。(Wikipedia から抜粋)
同社のプライバシーポリシーは、イタリア国内の販売向けのもの(和訳)と、日本国内の販売向けの2種類がある。当然のことながら、前者はイタリア保護法に即した内容であり、後者はわが国の「個人情報の保護に関する法律(平成15年5月30日法律第57号)」に即した内容である。後者の内容は、専門家による解説のように思える。
問題点を整理する。
*イタリア国内向け和文ポリシー
英語版の原文をただ和訳した内容である。訳語も不正確で少なくともイタリアのローファームが校閲した内容とは思えない。
筆者なりに気がついた修正意見を以下のとおり一覧にまとめた。
(2) イタリア南部カンパニア州を中核とする血液透析専門クリニックを包括する国際組織であるCimasa系列グループのプライバシー規約
①同グループのHP にもとづき概要を見ておく。
「Cimasa系列グループは、11の血液透析専門クリニックを包括する一大組織であり、カンパニア州では慢性腎臓疾患の診断と治療の分野で基点となっています。
血液透析とは、生体の正常な機能に必要な血液を浄化して体内に戻すという方法であり、障害を起こした本来の腎臓の吸収機能が最大限正常化できる技術を持つ最先端医療機器を要しまず。
当ナーシングホームユニットでは、標準血液透析に加えて高流量血液透析およびオンライン血液ろ過による治療法にも対応し、患者様個別の必要性に的確にお応えいたします。
また、ポンペイMaria Rosariaナーシングホームには、腎血管外科が設置され、中心静脈カテーテルの挿入とともに、先天的またはプロテーゼによる動静脈フィステルの形成術を施します。
2009年中だけでも、同科にて行われたバスキュラーアクセス手術は約450件に上り、これはイタリア国内でも記録的な件数となりました。引き続き2010年には約500件が見込まれていますが、中には他のセンターから移ってきた患者様もおり、当ナーシングホームの絶対的信頼性を示しています。
②プライバシー規約の問題点
問題をまとめると前述のマンフロットトほぼ同様の問題点が指摘できるし、誤訳のレベルはさらに程度が低い。翻訳業者のレベルは極めて問題である。
(3) アリタリア・イタリア航空の個人情報保護方針:個人情報の利用に関する方針および同意書(イタリア共和国政令第 196号(2003年6月30日施行) 第13条に準ずる文書)
前述の2社に比べると一見丁寧かつ具体的な内容を擁しているように思えるが、実際読んでみると一般顧客などにはとても理解できない内容である。
明らかに気がついた点のみ一覧にまとめておく。早急に改訂版を作成されることを期待する。
4.イタリア大手企業のプライバシーポリシーに見る保護法の理解と運用面等の課題
筆者なりにわが国にも進出しているイタリア大手企業のサイトで、プライバシーポリシーの内容を確認してみた。
そこで見えてきた問題としては、1)法律等の不正確な引用、2)訳語の誤り、3)説明不足等数多くの問題点が浮かび上がってきた。時間の関係で逐一のコメントは略すが、いずれにしてももっとローファーム等専門家を活用し、丁寧な解説を実践すべく国際的企業として積極的に取り組まれたい。
(1) マンフロット(Tha Manfrotto Group )のプライバシーポリシー
同社は、わが国でも有名なイタリアの三脚メーカーである。1960年代末にイタリア人のフォトリポーター、リノ・マンフロット(Lino Manfrotto )によって創業された。彼自らの体験をもとに作り出された、使いやすく安定性のあるスタジオ用品はプロの間で評判となり、自らのブランドによる製品ラインアップを作ることとなった。カメラ三脚の製造は、1974年に開始。 現在、ラインナップは業務用の大型三脚から携帯用の小型三脚まで、またスチル用、ビデオ用、照明用などと幅広い。パノラマ撮影用に決まった角度でカメラを回転させることができる雲台も製造している。(Wikipedia から抜粋)
同社のプライバシーポリシーは、イタリア国内の販売向けのもの(和訳)と、日本国内の販売向けの2種類がある。当然のことながら、前者はイタリア保護法に即した内容であり、後者はわが国の「個人情報の保護に関する法律(平成15年5月30日法律第57号)」に即した内容である。後者の内容は、専門家による解説のように思える。
問題点を整理する。
*イタリア国内向け和文ポリシー
英語版の原文をただ和訳した内容である。訳語も不正確で少なくともイタリアのローファームが校閲した内容とは思えない。
筆者なりに気がついた修正意見を以下のとおり一覧にまとめた。
(2) イタリア南部カンパニア州を中核とする血液透析専門クリニックを包括する国際組織であるCimasa系列グループのプライバシー規約
①同グループのHP にもとづき概要を見ておく。
「Cimasa系列グループは、11の血液透析専門クリニックを包括する一大組織であり、カンパニア州では慢性腎臓疾患の診断と治療の分野で基点となっています。
血液透析とは、生体の正常な機能に必要な血液を浄化して体内に戻すという方法であり、障害を起こした本来の腎臓の吸収機能が最大限正常化できる技術を持つ最先端医療機器を要しまず。
当ナーシングホームユニットでは、標準血液透析に加えて高流量血液透析およびオンライン血液ろ過による治療法にも対応し、患者様個別の必要性に的確にお応えいたします。
また、ポンペイMaria Rosariaナーシングホームには、腎血管外科が設置され、中心静脈カテーテルの挿入とともに、先天的またはプロテーゼによる動静脈フィステルの形成術を施します。
2009年中だけでも、同科にて行われたバスキュラーアクセス手術は約450件に上り、これはイタリア国内でも記録的な件数となりました。引き続き2010年には約500件が見込まれていますが、中には他のセンターから移ってきた患者様もおり、当ナーシングホームの絶対的信頼性を示しています。
②プライバシー規約の問題点
問題をまとめると前述のマンフロットトほぼ同様の問題点が指摘できるし、誤訳のレベルはさらに程度が低い。翻訳業者のレベルは極めて問題である。
(3) アリタリア・イタリア航空の個人情報保護方針:個人情報の利用に関する方針および同意書(イタリア共和国政令第 196号(2003年6月30日施行) 第13条に準ずる文書)
前述の2社に比べると一見丁寧かつ具体的な内容を擁しているように思えるが、実際読んでみると一般顧客などにはとても理解できない内容である。
明らかに気がついた点のみ一覧にまとめておく。早急に改訂版を作成されることを期待する。
******************************************************************************************
(筆者注1) イタリアの法令中「立法命令(Decreto Legislativio」は、憲法第77条第1項に基づき、両議院の委任をもって、政府により制定され、通常の法律の効力を有する。
(筆者注2) Garanteは、保護法のほか行動規範などの英文資料を公開している。ただし、イタリアGarante年報2014年の英語版が最新である。
(筆者注3) 財務警察 (Guardia di Finanza) は、経済・財務省(Ministero dell'Economia e delle Finanze)の所属であり、脱税、密輸から麻薬取引、国境警備などを中心に捜査・取締を行っている。人員は約6万8千名。1774年10月5日にサルデーニャ王国で設立された国境警備部隊が前身となっている。経済犯罪、脱税事案、知的財産権事案、組織犯罪、税関任務、国境警備、不法移民事案を行う。国境警備隊・沿岸警備隊としての側面もあり、準軍事組織となっている。そのため、第一次世界大戦および第二次世界大戦にも参加している。約80機の航空機と300隻以上の船舶を有する。Wikipedia その他でまとめた。
(筆者注4) 別ブログからコピーする。
(筆者注5) 別ブログからコピーする。
(筆者注6) 別ブログからコピーする。
******************************************************************************
Copyright © 2006-2016 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます