(H) 情報保護コミッショナーの法執行権と刑事罰
48 英国の情報保護コミッショナー(ICO)は、英国の情報保護監督当局の責任者である。コミッショナーは、もともと「1984年データ保護法(Data Protection Act 1984)」によって提供されていた情報保護登録機関であった。1998年法では、情報保護コミッショナーに改称され、2000年法によってコミッショナーの現在のタイトルが確立された。本法案は1998年法を廃止し、GDPRは監督当局の存続を規定しているが、1998年法には引き継がれる必要がある事項がいくつか存在するため、法案は関連する条項を含む。
49 個人情報を含むすべての種類のデータは、30年前とは劇的に異なる方法でアクセス、分析、送信、保存されるため、責任者を調査し、制裁する権限は時間とともに変化し、成長した。1998年法の下では、ICO監督者は執行通知のみを提出することができ、罰金を科す権限は「2008年刑事司法および移民法」にのみ当てはまり、コミッショナーは最も重大な違反行為に最高50万ポンドを科すことができた。GDPRはこれを拡大して、コミッショナーは最も重大な場合に最大の罰金18百万ポンド(2,000万ユーロ)または総売上高の4%を課すことができるようにした。本法案は、告発の形態、控訴権および控訴権の行使方法に関する情報を含む、一定の保障措置が課されることを裁判官に罰金を科す権限があることを保証する。
50 英国の情報保護法には、情報管理者の同意なしに個人情報を取得、開示、販売することに関する犯罪行為や、令状の遵守や一般市民の不正行為に関する一般的な犯罪が含まれている。 大半の訴追は、データ管理者の同意なしに個人情報を故意または無謀に入手または開示または調達に関する1998年法第55条に基づいている。最大の刑罰は金額無制限の罰金刑である。法案は、1998年法の刑事犯罪の多くを再現し、”GDPR”によってもたらされた法的枠組みの変更を説明するための変更を加え、新たな脅威に対処するための新たな犯罪を導入する。
51 2016年6月、英国の「市民の健康・保健機密情報の安全性と適正化にかかる諮問・監視機構(National Data Guardian:NDG:(トップは Dame Fiona Caldicott)」は、保健省とともに、個人情報が匿名化されたデータに含まれている個人の意図的な再認証を犯罪行為とすべきとする勧告を内容とする「データセキュリティ同意(Data Security Consent)」および「オプト・アウト(Opt-Outs)」に関するレビュー」を発表した。
2017年3月1日、政府は政策方針書「英国デジタル戦略(UK Digital Strategy)」を公表し、NDG勧告に沿って新たな犯罪を創出することを約束した。本法案はそのような犯罪を規定している。
3.EU指令EU2016 / 680(EU法施行指令)に関する英国ICOの解説
これまでの解説内容と一部重複するが、EU指令EU2016 / 680(EU法施行指令)に関する英国ICOの解説を、以下、仮訳する。
本指令は、犯罪防止のための個人情報の処理とそのようなデータの自由な移転を対象としている。
(1) それはなんのための指令か?
本指令は、個人情報が、刑事犯罪の予防(prevention)、捜査(investigation)、取り調べ(detection)、訴追(prosecution)、または刑事罰の執行の目的で当局によって処理された場合に、個人を保護するものである。
新しい指令の下では、犯罪防止と取り調べを取り巻く活動に関連して、特定の目的のためにのみ、すべての個人情報を妥当かつ公正に処理する必要がある。
この指令は、これらの文脈におけるEU全体の個人情報処理が合法性、均整がとれてかつ必要性原則に従うことを保証するものである。また、国家のデータ保護当局による独立した監督および効果的な司法救済をも保証する。
(2) この指令は誰がいつまでに遵守しなければならないのか?
この指令は、2018年5月6日までに国内法に移行する必要があるEU加盟国(英国を含む)に適用される。
英国政府は、この遵守期限を守るために英国での指令効果を与えるための措置に取り組んでいる。英国の指令の範囲内で個人情報を処理する影響を受ける機関は、その日以降のこれらの条項を遵守しなければならない。
4.ICOのGDPRに基づく情報管理者と処理者間の契約に関するGDPR契約および法的責任に関するガイダンス草案の概要
9月18日のHunton & Williams LLPの解説「GDPR Contracts and Liabilities Between Controllers and Processors」の内容を以下、仮訳する。
9月13日、英国情報コミッショナー事務局(ICO)は、「GDPRに基づく情報管理者と情報処理者間の契約に関するGDPR契約および責任に関するガイダンス(草案)(以下、「ガイダンス」という:28頁)」と諮問文書(Consultation)(7頁)を発表した。ICOは10月10日までガイダンスの意見公募を行っている。
以下が、ガイダンスの主な内容である。 (筆者注19)
(1) GDPR契約
”GDPR”の下では、情報管理者が処理者を使用するときは常に書面による契約が必要である。これは、当事者が役割責任と法的責任を理解するための重要事項である。 データ処理契約の必須要件は、GDPR第28条に定められている。すなわち、 GDPRが定める要件は、(i)取扱者が処理者の指示に従ってのみ活動し、(ii)個人データを安全に保つための適切な措置を講じるという、データ保護指令の一般要件に基づいている。 2018年5月25日以降のこれら契約は新しい”GDPR”要件を満たさなければならず、ICOは既存のこれら契約やひな形の条件を見直し、”GDPR”に準拠するよう改定することを推奨する。
データ処理契約の文言・条件に関して”GDPR”が定める主な要件は次のとおりである。
(ⅰ)処理者(管理者または処理者が補助処理者を任命する場合を含む))を任命する際に書面による契約を行うこと。
(ⅱ) 以下の事項につき契約を締結する必要がある。
① 処理の主題および処理の持続時間;(the subject matter and duration of the processing)
② 処理の性質と処理目的(the nature and purpose of the processing)
③ 個人情報の種類と情報主体のカテゴリー(the type of personal data and categories of data subject;
④情報管理者の義務と権利( the obligations and rights of the controller.)
(ⅲ) 契約には、処理者に関して次の最小の条件が含まれていなければならない。
① 管理者の書面による指示にのみに従う。(only act on the written instructions of the controller;)
② データを理扱う人々につき信頼の義務を負うことを保証する。( ensure that people processing the data are subject to a duty of confidence;)
③ 処理の安全を確保するため適切な措置を取る。(take appropriate measures to ensure the security of processing;)
④ 書面による契約の下でのみ、管理者の事前の同意を得て補助処理者に従事させる。(only engage sub-processors with the prior consent of the controller and under a written contract;)
⑤ 管理者が対象アクセスを提供し、情報主体が”GDPR”の下で権利を行使できるよう支援する。(assist the controller in providing subject access and allowing data subjects to exercise their rights under the GDPR;)
⑥ 管理者が処理のセキュリティ、個人情報の漏えい時およびデータ保護影響評価の通知に関して”GDPR”上の義務を果たすことを支援する。(assist the controller in meeting its GDPR obligations in relation to the security of processing, the notification of personal data breaches and data protection impact assessments;)
⑦ 契約の終了時に要求された通り、すべての個人情報を削除または返却する。( delete or return all personal data to the controller as requested at the end of the contract; and)
⑧ 監査および検査に服従し、もし”GDPR”またはEU加盟国の他のデータ保護法を侵害しているときは、第28条義務を遂行していることを確認するために必要な情報を管理者に提供する。( submit to audits and inspections, provide the controller with whatever information it needs to ensure that they are both meeting their Article 28 obligations, and tell the controller immediately if it is asked to do something infringing the GDPR or other data protection law of the EU or a Member State.)
上記のICOのガイダンスの多くは”GDPR”自体を反映しており、管理者および処理者はICOのが定める次の事項に注意する必要がある。
① ICOは、管理者が上記の2番目の項目(ⅱ)に記載されている処理の詳細を当初から非常に明確にする必要があり、一般的な汎用的用語に頼ることはできないことに留意して、明確に設定することを推奨する。このアプローチは、処理の性質がサービスの性質から自明である場合には、やや厳格なもの(heavy handed)であると見られる。
処理者の個人データを機密とする義務は、すべての従業員、パートタイム労働者(temporary workers)、派遣労働者(agency workers)に適用される。
GDPR第32条 に基づく適切なセキュリティを確保するための処理者の義務は、セキュリティ上の問題に関する個別の指針の対象となり、現在はデータ保護法に基づくICOの既存の指針で十分である。
第28条(3)(f) (筆者注20)に基づいて管理者を援助する処理者の義務は、「無限ではなく」、処理内容の性質と管理者が利用可能な情報を考慮して制限される。
ICOは、GDPRに準拠したデータ処理条項の交渉中にしばしば論争になる以下の事項に関する重要なガイダンスを提供していない。
①下請け業者の変更に異議を申し立てる権利はどのように明示すべきか? 契約を終了させるしかないか?
②データ処理者を監査する管理者の権利を制限することは可能か?
処理者がこの要件に準拠するためにどのような実用的なコントロールを使用できるか(例えば、監査の期間と範囲の制限、第三者の認定が第三者の認定の代用となるかどうかなど) ICOのガイダンスは、処理者が第28条(3)(h)の要件を満たすために情報を提供したり監査に提出できることを示唆しているようである。
”GDPR”は、欧州委員会または監督当局(ICOなど)が発行した情報処理に「標準契約条項(standard contractual clauses )」を使用することを認めているが、まだ同条項は発行されていない。 (筆者注21)
(2) 情報管理者の責任と法的責任
”GDPR”の下では、管理者は”GDPR”の要件を満たすことを十分に保証している処理者のみを使用することができる。すなわち、そのような保証は、通常、契約によって行われる。そこでの「承認された行動規範(approved code of conduct)」または「認証スキーム(certification scheme」の明記は、”GDPR”に従って個人データを処理する十分な保証を提供する処理者を選択したことを管理者が証明していることを示すために利用可能であるといえる。
本ガイダンスは、”GDPR”に従って個人データが処理されることを保証するために管理者が最終的に責任を負うことを指摘している。すなわち、管理者が「損害を引き起こす事象に責任を負わない」ことを管理者自身が証明できる場合を除き、情報主体が効果的な補償を受けることを保証するために、契約の非遵守処理によって生じた損害については完全に責任を負う。
重ねて言うが、本ガイダンスは、”GDPR”に基づく共同賠償責任および個別賠償責任に関連するリスク配分規定を適用し、以下のように困難な側面のいくつかを回避している。
① 責任と法的責任の制限や排除が、共同責任および個別責任制度の下での当事者の損失につき権利を取り戻すことを防止することができるかどうか。
② ”GDPR”の下で、どのような防衛および関連する規定が許されるのか?
(3) 取扱者の責任と法的責任
本ガイダンスは、処理者の責任と法的責任の概要を説明する。
(ⅰ) 処理者は、文書化された管理者の指示にのみ従わなければならない。
(ⅱ) 処理者が(管理者の命令にのみ作用するのではなく)処理の目的と手段を決定する場合、処理者は管理者とみなされ、管理者と同じ責任を負うことになる。
(ⅲ) 管理者に対する契約上の義務に加えて、GDPRの下では、処理者は次のような直接的責任も有する。
① データ管理者の事前の書面による許可なしに補助処理者を使用しないこと。
② 情報保護監督当局(ICOなど)に協力すること。( to co-operate with supervisory authorities (such as the ICO);)
③ その処理のセキュリティを確保すること。( to ensure the security of its processing;)
④ 処理活動の記録を保持すること。(to keep records of processing activities;)
⑤ 個人データの漏えい違反等をデータ管理者に通知すること。( to notify any personal data breaches to the data controller)
⑥ データ保護担当役員を採用すること。
⑦ 必要に応じて、EU内の代理人を書面で指定すること。
(ⅴ) もし、処理者がこれらの義務のいずれかを満たしていないか、または管理者の指示に従わずに行動した場合は、訴訟手続に損害を与えたり、罰金またはその他の罰金または是正措置を受ける可能性がある。
(ⅵ) 処理者が補助取扱者を使用する場合、本来の処理者として、補助処理者の義務の実行のために管理者に直接責任を負う。
契約上の責任については、ICOは次のことを指摘している。
(ⅰ) 契約ではデータ処理に関する特別な賠償責任を指定することができ、この時点で専門的な助言を得るべきである。
(ⅱ) 契約の下で、処理者は、管理者との関連契約の条件を満たしていない場合は直接的な責任を負うことがある。
(ⅲ) 補助処理者が使用される場合、データ主体に向かって、GDPRの下で3つの当事者(管理者、処理者、補助処理者)が潜在的に責任を負う可能性がある。
上記は有用な出発点であるが、データ管理者および処理者は、データ処理条件が、表現、保証、補償、制限、免責除外および保険を含む契約においてより広いリスク配分の枠組み内でどのように適合するかを評価する必要がある。
*****************************************************************************
(筆者注19) EUのGDPRやSCCSCC(Standard Contractual Clauses:標準契約条項)に関する訳語については、IIJ(Internet Initiative Japan)の解説サイトの訳語等を参照した。
(筆者注20) 第28条(3)項f.を以下、仮訳する。
処理者の処理は、EU加盟国の法律のもとでその契約またはその他の法律上の行為により規制される、すなわち管理者に関する処理者に拘束力を持ち、処理の主体および処理期間、処理の性質と目的、個人データの種類(type)、データ主体のカテゴリー、管理者の義務と権利を含む内容を明らかにされねばならない。特にその契約またはその他の法律上の行為は次のとおり明記されなければならない。
(f) 処理の性質および管理者が利用可能な情報を考慮して、管理者が第32条から第36条に基づく義務の遵守を確保するのを支援する。
(筆者注21) GDPRにおける「標準的なデータ保護契約条項」の解説を仮訳する。
標準データ保護契約条項の要件の変更により、管理上の負担が軽減される。 GDPRの下では、これらの条項は、監督当局の事前の承認を必要とせず、そのような条項は、欧州委員会および国家監督当局によって採択されることができる。 既存の標準契約条項は有効なままであるが、GDPRは廃止の可能性を残す。
暫定的な契約条項は、GDPR遵守のためにも使用されるかもしれないが、監督当局の事前承認を受けなければならないため、管理者にとっては魅力的ではない可能性がある。
**************************************************************************************
Copyright © 2006-2017 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
