Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

英国のデータ保護法案:提案された改正案の概要(その1)

2022-08-24 11:53:12 | 個人情報保護法制

 英国政府は、2022年7月18日に「データ保護およびデジタル情報法案(Data Protection and Digital Information Bill)(以下、「法案」という)」(法案そのものについてはPDF版参照)を議会に提出(筆者注1)し、専門家からの諮問「データ:新しい方向性(Data: a new direction)」(以下「諮問書(consultation)」という)への回答を6月23日に公表した。(本諮問の詳細については、このレイサム・アンド・ワトキンス法律事務所(Latham & Watkins LLP)のブログ記事を参照されたい。

 この法案は、現在の英国のデータ保護法体制(主に①「英国データ保護法2018(DPA 2018)」、②「英国一般データ保護規則(以下、” UK GDPR”という)」(筆者注2)で構成される)、および③プライバシーおよび電子通信規則2003( Privacy and Electronic Communications (EC Directive) Regulations 2003、以下、“PECR”というを改正するための政府の提案を詳述している。

 このブログ記事の「パートⅠ」では、提案された法改正の概要について説明し、また、「パートⅡ」では、特定の重要な規定についてさらに詳しく説明している。

 提案された法律等の改正案を要約すると、その範囲は広いものの、英国のデータ保護法の方向性の全面的な改正ではない。法案が議会で修正なしで可決されたと仮定すると、英国の政権は、英国固有の規定はあるものの、現在のEU のGDPRスタイルの枠組みに大きく基づいていることはまちがいない。

 なお、今回のブログはレイサム・アンド・ワトキンス法律事務所のブログを主に引用、仮訳するが、その内容は100%とは言えない。このため、補完する意味で国際的法律事務所DLA Piper のblog  「UK: New Data Protection and Digital Information Bill」を合わせ引用する。(筆者注3)

 主な法改正点を見ると、(1)よりリスクベース/結果重視のアプローチの採用、(2)説明責任、データ主体の権利、セキュリティおよび処理の法的根拠に関する主要分野における作成の2つのカテゴリーに分類できる。

 今回は2回に分けて掲載する。

[Part Ⅰ]

(1)定義と説明責任

 説明責任に関する主要な定義の改正と新規作成法案 (つまり、処理活動に関連するデータ保護要件の責任とコンプライアンスを実証するために組織・事業体が講ずべき措置) は、次のように要約できる。

「個人データ」のより限定的な定義化:この法案は、潜在的により限定的な状況、すなわち、処理時に管理者または処理者、または処理の結果として情報を取得する可能性が高く、処理時に合理的な手段によって個人データの主体として個人を特定できる、または識別できる可能性のある人によって識別できる場合、または個人を特定できる可能性がある場合につき、当該データが「個人データ」であると規定している。

今回の改正により、処理時に個人を管理者/処理者または第三者による合理的な手段で識別する必要があるため、組織・事業体にとって匿名化の基準が容易になる可能性がある。

【DLA Piper のblog】

第1条 は、追加の情報が個人を特定するために使用されるかどうかに応じて、「個人データ」の定義を拡張し、かつ緩和する。この規定は、匿名化の基準に関するICOガイダンス(筆者注8)を反映し、識別可能性の問題に対する「主観的な」アプローチを反映している。法案を一部抜粋する。

 

以下、略す。

英国代理人に対する要件を定めない:この法案は、UK  GDPR第27条(筆者注4)に従って英国代理人を指定する必要性を排除する。今回提案された改正は、英国GDPRの域外適用の対象となる英国以外の事業体(例えば、特定の基準を満たすことを条件として、英国に所在する個人の商品またはサービスの提供または行動の監視など)に関連している。

データ主体の権利の制限の再考:この法案は、データ主体の要求(アクセス、削除など)が「厄介または過剰」である場合に拒否するための修正された根拠を導入している。さらに、同法案は、組織・事業体が要求に基づいて行動することを拒否するか、またはそうするために「合理的な手数料」を請求することを認めている。この改正案は、訴訟の文脈で戦略的に使用されるデータ主体の要求の数を減らすか、または開示規則を回避するのに役立とう。

データ管理者の苦情に対処する新たな義務:この法案は、管理者が個人データの処理に関連して受け取った苦情を30日以内に承認する義務を新たに導入している。さらに、管理者は、苦情に対応し、その結果を苦情申立人に通知するために、適切な措置を講じる必要がある。データ主体が最初にこの権利を利用していない場合、情報コミッショナーズオフィス(ICO)が苦情の調査を拒否する可能性があることは、管理者にとっていくらかの慰めがある。

記録保持義務の簡素化:この法案は、UK GDPR第30条(筆者注5)に規定されている記録保持義務を簡素化している。たとえば、データ主体と個人データのカテゴリーの説明を含める管理者の義務は削除されるが、管理者は特別なカテゴリーの個人データおよび/または刑事上の有罪判決および犯罪または関連するセキュリティ対策に関連するデータに関する情報を記録する必要がある。

データ保護責任者(data protection officer :DPO)から新たな概念である「上級責任者(senior responsible individual SRI)S.14」への責任の移管:この法案は、特定の組織・事業体がDPOを任命する義務を削除し、SRIを(一般的に同様の状況で)任命する新しい要件を設ける。SRIはDPOと同様の機能を持ち、この法案は特定の責任内容を詳述している。

【DLA Piper のblog:管理者/処理者の義務】

 データ保護責任者の役割は、「上級責任者」(s. 14)という肩書きの新しい役割に置き換えられる。上級責任者の任命のしきい値は、DPOの任命のための既存のしきい値とわずかに異なり、新しい要件は、高リスクの処理を行う公的機関および組織に適用される。指定された個人は、単に上級管理職に報告するのではなく、経営陣の上級メンバーでなければならない。しかし、SRIの日々の任務は、①組織のコンプライアンスの監視、②データ保護問題に関する組織への助言、③コンプライアンスを確保するための措置を講じる、④コミッショナーの連絡先として機能するなど、DPOのタスクとほぼ同じように見える。

(2)自動化された意思決定(AAutomated decision-making:DM)と正当な利益(legitimate interests)への依存

  この法案は、正当な利益のためのバランスのとれた(必要ではないが)テストが破棄される可能性があるいくつかの状況を規定しており、「認識された正当な利益(“recognised legitimate interests”)」と定義している。これらの認識された正当な利益は、緊急事態、犯罪、保護などの状況に限定される。しかし、この法案は、国務大臣(Secretary of State)が将来このリストを修正し、バランス・テストを必要とせずに合法的な利益に基づいてより多くの処理活動を行うことができるルートを提供することができると規定している。

【筆者補足説明】レイサム・アンド・ワトキンス法律事務所のみの解説ではいかにも理解しがたい。したがってJETRO「英国一般データ保護規制(UK GDPR)」実務ハンドブックから該当部分を抜粋、引用する。

英国UK GDPR  2. 適法に個人データを処理する義務(6 条)

(1)法的根拠の種類

 管理者が個人データの処理を行う場合には、各処理行為について、以下の表 6 のいずれの法的根拠に基づいて処理行為を行うかについて分析を行い、適切な法的根拠を選択する必要がある。

(2)正当な利益の判断基準

「正当な利益(legitimate Interest)」は、3 つのテストに分けられる。

① 目的のテスト:「正当な利益」を追求しているか。

② 必要性のテスト:その目的のために処理が必要か。

③ 比較衡量のテスト:個人の利益が正当な利益を上回るか。

 またこの法案は、「自動化された意思決定(automated decision-making: ADM)」(筆者注6)に関する特定の条項を改正しており、ADMの合法的な範囲を拡大する可能性がある。最も重要な法改正により、ADMの一般的な禁止が取り除かれた(契約上の必要性、法的義務、または明示的な同意の限られた理由がない限り)。

 その代わりに、この法案は、特別なカテゴリーの個人データの処理(契約上の必要性、法的義務、または明示的な同意がない場合)にのみADMを禁止し、そうでなければ、管理者が影響を受けるデータ主体にADMを通知し、そのデータ主体にADMに関する表明、関連する人間の介入の取得、および異議を唱える権利を与えることを要求する。

(3) セキュリティ面の配備に関する改正

 この法案は、「適切な技術的および組織的措置」への言及を「技術的および組織的措置を含む適切な措置」に変更し、データ管理者(例えば、管理者の責任を管理する第24条)と処理者(例えば、データ処理者によって提供される保証に関する第28条(1))の両方に関して、UK GDPRのさまざまな分野でこの変更を適用する。

(4) ICOの改革

 この法案は、組織構造、権限の変更、および規制措置に関する年次報告書を発行する新しい要件を通じて、ICOを改革しようとしている。興味深いことに、法案は「イノベーションを促進することの望ましさと[...]競争」は、英国のデータ保護法に基づく機能に関連するICO義務として使用される。

【DLA Piper のblog:情報コミッショナーズオフィスの改組】筆者が補足

 ICOの改革は比較的多岐にわたり、多くのテーマをカバーしている。たとえば、ICOの作業をより高度な政府(国務大臣)の監督下に置くように見える変更がある。

① 情報コミッショナーは、イノベーション及び競争を促進し、並びに公衆及び国家の安全を保護することに関して有する明示的な義務を負うべきである(s. 27: Duties of the Commissioner in carrying out functions)。

②国務大臣は、情報コミッショナーの「戦略的優先事項(Strategic priorities )」を設定することができる(s. 28)

③情報コミッショナーは、KPIを用いて毎年、自らの業績を評価(Analysis of performance)ければならない(s. 33)。

しかし、同時に、情報コミッショナーには、調査および執行活動を支援するために設計されたいくつかの新しい権限(Codes of practice: panels and impact assessment s.30; Codes of practice: approval by the Secretary of State s.31)が付与される。

(5)クッキーのオプトアウトと罰金の増加

 この法案は、クッキーおよびダイレクトマーケティングに関する規則を規定する英国の法律である2003年プライバシーおよび電子通信規則(PECR)の改正を提案している。この法案は、すべてのクッキーに対するオプトイン同意の要件を削除する。またこの法案は、PECR違反に対する最高罰金をGDPRレベル(最大1,750万ポンド、または前会計年度の全世界の年間売上高の4%のいずれか高い方)に引き上げる。この提案された改正点は、非準拠のマーケティング慣行のリスクを高める。

**********************************************************************************

(筆者注1) 政府サイトの法案概要解説を仮訳する。

本法案は、識別された、または識別可能な生存する個人に関する以下の情報の処理の規制を規定する法案である。

①個人に関する事実を確認および検証するための情報を使用するサービスについて提供すること。

② 顧客データおよびビジネス データへのアクセスに関する規定を作成すること。

③プライバシーと電子通信に関する規定を作成すること。

④ 電子署名、電子印鑑、その他の信託サービスの提供サービスに関する規定を作成すること。

⑤公共サービスの提供を改善するための情報の開示に関する規定を作成すること。

⑥ 法執行目的で情報を共有することに関する協定の実施を規定すること。

⑦出生と死亡の登録簿の保管と維持に関する規定を作成すること。

⑧健康と社会保障のための情報基準について規定すること。

⑨情報保護委員会を設立すること。

⑩生体認証データの監視に関する規定を作成すること、 および接続された目的のために。

(筆者注2) 英国の一般データ保護規則(UK GDPR:General Data Protection Regulation)とは、英国のEU離脱に伴って、EUの一般データ保護規則(GDPR)の内容に基づいて、2021年1月1日に施行された英国の法律である。JETROが「英国一般データ保護規制(UK GDPR)」実務ハンドブック(2022年4月)」を公表している。

(筆者注3) DLA Piper のblogから引用した箇所は“DLA Piper”と注記した。

(筆者注4) 該当する場合、英国代理人の選任義務(27 条)

英国代理人は、UK GDPR の地理的適用範囲に関する 3 条 2 項に基づく UK GDPR の適用がある場合に選任が義務付けられる。3 条 2 項は英国国内に拠点のない管理者、または処理者が英国国内に所在するデータ主体の個人データについて以下のいずれかに関する処理を行う場合に UK GDPR が適用される旨を規定する。

■ 英国国内に所在するデータ主体に対する商品またはサービスの提供に関する処理。

この場合、データ主体に支払が要求されるか否かについては問わない。

■ 英国国内で行われるデータ主体の行動の監視に関する処理。ただし、以下のいずれ

かに該当する場合は、英国代理人を選任する必要はない。

■ 公的機関である場合

■ 処理は、時折行われるだけで、個人のデータ保護権に対するリスクが低く、特別カ

テゴリの個人データまたは犯罪データの大規模な使用を伴わない場合

(JETROが「英国一般データ保護規制(UK GDPR)」実務ハンドブック(2022年4月)」から抜粋)

3 条 2 項の適用範囲については、日本企業が英国国内に拠点を有するとしても、上記(a)または(b)に関して日本本社が行う英国国内のデータ主体の個人データの処理が英国国内の拠点と関連しない場合、英国国内に拠点のない管理者による英国国内のデータ主体の処理行為であると解釈され、3 条 2 項に基づき UK GDPR が適用され、英国代理人の選任が義務付けられる場合がある。(UK GDPR)」実務ハンドブック(2022年4月)」から抜粋)

(筆者注5) 責任に基づいて処理行為の記録を保持する義務(30 条)

 管理者および処理者は、個人データの処理に関する記録を維持する義務を負う(30 条 1項)。ICO からの要求がある場合には管理者および処理者は当該記録を提出しなければならないため(30 条 4 項)、当該記録は UK GDPR の所定の要件に従って作成され、かつ最新の内容にアップデートされている必要がある。

(筆者注6) 企業法務ナビ「自動意思決定・プロファイリングガイドライン」(以下「本ガイドライン」)の概要が以下の項目につき平易に解説している。主要部を抜粋、引用する。

 なお、原文はARTICLE 29 DATA PROTECTION WORKING PARTY (第29条作業部会)により2017年10月3日に採択後、修正のうえ2018年2月6日に採択された “Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation”である。

Q1:ガイドラインの基本的認識と目的は?

 インターネット上およびIoT機器からの個人データ取得およびデータ相互間の関連付けが広範かつ容易に可能となったこと, ビッグデータ分析, 人工知能, 機械学習等が進展したこと等により, 個人の性格・行動・関心・習慣等の判断・分析・予測等のプロファイリングおよび自動意思決定(automated decision-making)が容易になった。これらには経済社会的利点もある。

 しかし, プロファイリングおよび自動意思決定は, 個人を特定のカテゴリーに固定しその選択の自由を奪い, また, 場合によっては不当な差別につながるおそれがある等, 個人の権利自由に重大なリスクをもたらす可能性がある。

 本ガイドラインの目的は, そのようなプロファイリングおよび自動意思決定に関し, GDPRの規定内容を明確にすることである。

Q2: 「プロファイリング」/「自動意思決定」の意味・違いは?

①「プロファイリング」:「プロファイリング」とは, 個人に関する一定の事項(業務遂行能力/経済状態/健康/個人的嗜好/興味関心/信頼性/行動/位置・移動等)を評価(evaluate)または分析・予測(analyse or predict)するために, 個人データを利用して行われる全ての形態の自動処理(automated processing)[主にコンピュータによるデータ処理]を意味する。

②「自動意思決定」:「自動意思決定」(automated decision-making)とは, 個人データの自動処理(automated processing) [主にコンピュータによるデータ処理]によりそのデータ主体に対して管理者が何らかの判断・意思決定をすることを意味する。

自動意思決定は, プロファイリングとは別の概念である。「自動意思決定」にはプロファイリングを伴わない場合もある。(例)監視カメラが記録したスピード違反の証拠のみに基づき罰金決定。一方, プロファイリングを伴う場合もある。(例)スピード違反者の運転傾向(過去の違反歴等)に基づき, 罰金額決定。

Q3:プロファイリングの適法性根拠は?

 この適法性の根拠として一般的なものとしては, データ主体の同意(6(1)(a))の他, 処理が管理者または第三者の得ようとする「正当利益(legitimate interest)」(6(1)(f))がある。

 この管理者等の正当利益については, それとデータ主体の権利・自由とを比較衡量し, データ主体の権利・自由を管理者等の正当利益より優先させるべき場合には, 管理者等の正当利益をそのプロファイリングを行う適法性の根拠とすることはできない。この比較衡量においては特に以下の事項を重視しなければならない。

Q4:データ主体への通知は?

 管理者は, プロファイリングを含め, 個人データを自動意思決定に用いる場合は, ①自動意思決定を行うこと, ②自動意思決定の処理のロジック, および, ③自動意思決定の意味および予想される結果に関する, 意味ある(meaningful)情報を, 次の時期に, データ主体に情報提供しなければならない。

Q5:自動処理のみに基づく決定に服さない権利とは?

 データ主体は, 個人データの自動処理のみに基づく決定(decision based solely on automated processing)であって, データ主体に対する法的効果またはデータ主体に法的効果と同様の重大な影響を及ぼす(similarly significantly affects)処理(以下「完全自動意思決定」)に服さない権利を有する(22(1))。

 (以下、略す)。

 また、国際社会経済研究所 小泉 雄介氏が「プロファイリング・自動意思決定とプライバシーに関するEU(GDPR)・英国の動向」で詳しく解説している。以下で、一部抜粋する。

 ○自動意思決定(Automated decision-making)

  • EU一般データ保護規則(GDPR)(の第22条)で主に規制対象となっているのは、プロファイリング自体ではなく、プロファイリング等の自動処理のみに基づく自動意思決定である(正確にはそのうち個人に法的効果または重大な影響を及ぼすもの)。
  • 例えば個人に対する信用スコア等のプロファイリングに基づいてローン審査を自動化するようなケースが、この「自動意思決定」に該当する。

○自動意思決定とプロファイリングの違い

  • GDPRのプロファイリングガイドラインでは、車のスピード違反の例が挙げられている。
  • スピードカメラでの測定のみに基づいて罰金額を決める場合:

→プロファイリングを伴わない(自動処理のみに基づく)自動意思決定

  • 今後の想定事例として、個人の運転習慣が長期に渡ってモニターされ、「常習的なスピード違反

か」「直近に他の交通違反を起こしていないか」といった要素に基づいて罰金額を決める場合:

→プロファイリング(を伴う自動処理のみ)に基づく自動意思決定

  • このように「プロファイリング」と「自動意思決定」の概念は、一部重なる場合もあるが、異なる概念とさ

れる。GDPRなど個人データ保護法制の文脈では、以下の2段階を峻別して捉える必要がある。

(1) プロファイリングなどの自動処理

 (2) プロファイリングなどの自動処理に基づく自動意思決定

「プロファイリング・自動意思決定とプライバシー等に関する主な論点」の引用は略す。

*********************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

 

 

 

 

 

 

 


コメント    この記事についてブログを書く
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする
« 米国のトップレベル大学の統... | トップ | 英国のデータ保護法案:提案... »
最新の画像もっと見る

コメントを投稿

個人情報保護法制」カテゴリの最新記事