Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

日本とEU相互の個人データ保護の適切性に関する合意の意義とわが国の保護法制度のさらなる課題

2019-01-29 18:51:44 | 個人情報保護法制

Last Updated : January  29, 2019

 さる1月24日、プライバシー問題の専門サイト”Inside Privacy”は「日本とEUは相互に個人データ保護の適切性に関し合意した」と報じた。

 この問題は、わが国では2019年2月1日に発効が予定される「日本とEU経済連携協定」が発効する問題の裏に隠れている気がするが、逆に考えるとはたしてわが国の情報保護監視機関である「個人情報保護委員会」の法施行能力、制裁権限も含めEU加盟国と同等といえるか、かなり疑問があると思う。

 今回のブログは、前述の”Inside Privacy”blogを仮訳しつつ、1月23日の欧州委員会のファクト・シート等関係サイトにリンクを張り、この点を明らかにすることに重点を置く。

 なお、これに関し、先般フランスの監視機関であるCNILが米国googleに対し、「EU一般データ保護規則」(以下、GDPRという)に基づき最も厳しい罰金刑を課した点も筆者ブログ(その1)、および同(その2完)で紹介したが、その他、(ⅰ)ドイツのバーデンヴュルテンベルク州の保護当局(「LfDI」)はGDPRの第32条( 取扱いの安全性)(筆者注1)の下でのデータセキュリティ義務の違反に対するソーシャル・メディア・プロバイダー(Knuddels .de)に対し20,000ユーロ(約248万円)の罰金、(ⅱ)2018年7月、ポルトガルのDPA(「CNPD」)は、患者データへの不正アクセスを防止できなかったことを理由に、Hospital do Barreiro病院に40万ユーロ(約4,960万円)の罰金、(ⅲ)2018年10月、オーストリアのDPA(「DSB」)は、会社が公共の場でのCCTVの使用について、適切な透明性措置と予告を行わなかったとして、4,800ユーロ(約596,000円)の罰金、(ⅳ)2018年11月、オランダ監督当局(Autoriteit Persoonsgegevens:AP)はUber B.V.(USV)及び Uber Technologies, Inc (UTI)に対し合計60万ユーロ(約7,440万円)の罰金, (ⅴ)2019年2月7日、イタリアのDPA(Garante)が移動体通信事業者”Wind Tre”に対し同意を得なかった点など重大な法違反があったとして60万ユーロ(約7440万円)を科すなどGDPRに基づく罰則強化の傾向は顕著である。このGDPRの基づくEU加盟国の法改正動向や罰則強化については別途、本ブログで取り上げる。

1.欧州委員会と日本の相互のデータ保護法が適切なレベルの個人データ保護を与えるものと承認

 2019年1月23日、欧州委員会と日本は、互いのデータ保護法が適切なレベルの個人データ保護を与えるものと認めた(欧州委員会のプレスリリースを参照 )。その結果、ほとんどすべての個人データがEUと日本の間を自由に行き来できるようになった。欧州委員会の本決定は、当該データが報道、学術、宗教または政治目的でそれぞれ処理される限りにおいて、メディア運営者、学術機関、宗教団体および政治団体へのデータの移送には適用されない。

 本決定は、EUのデータ保護基準を満たすために2018年12月に日本が講じた追加の保障措置に従うものである。その具体的保護手段は次のとおりである。 

① 日本の個人情報保護法に関連し、特に、データ移送に関して特別な保証を提供するEUから個人データを受け取る日本の事業体に適用される「補足ルール」を定めた。補足ルールの要旨は欧州委員会がまとめた。

② 日本のデータ保護当局(個人情報保護委員会)の監督の下で、日本の公的機関による彼らのデータへのアクセスに関するEU市民からの苦情を調査し解決するための苦情処理メカニズムを設定。(筆者注2) 

③ 日本政府がEUから発信された個人データにアクセスすることに関する保護措置として、刑法の執行および国家安全保障上の目的に必要かつ適切なものに限定され、独立した監視および効果的な救済メカニズムの対象となることの保証。

  2019年2月に日・EU経済連携協定が発効することを考慮すると、決定のタイミングは偶然ではない。   

2.欧州委員会の日本の適切性判断に関する質疑応答の概要説明

  2019年1月23日に公表された 欧州委員会の日本の適切性判断に関する質疑応答の概要説明(Fact Sheet)を仮訳する

(1) 適切性の判断(adequacy decision )とは何か? 

  欧州委員会の適切性判断とは、欧州委員会が、国内法または国際約束を通じて、第三国が欧州連合と同等レベルの個人情報保護を提供していると判断した決定である。 その結果、それ以上の安全対策や承認を受けることなく、個人データが欧州経済地域(EEA)(EU加盟28カ国、ノルウェー、リヒテンシュタイン、アイスランド)から安全にその第三国に流れることができます。 この適切性の決定は、日本の「個人情報の保護に関する法律(Act on the Protection of Personal Information:APPI)」に基づいて提供される保護に関係する。したがって、EUから日本の事業者への個人データの転送すべてに適用される。 

 この適切性の判断は、2018年5月25日に発効した「一般データ保護規則」(筆者注3)の下でEUから第三国へ個人データを転送するために提供されるツールの 1つである。 

(2) 適切性を評価するための基準は何か? 

  十分であるためには、第三国のデータ保護システムがEUのものと同一である必要はない。 それは「本質的同等性」基準に基づいている。 それには、この国のデータ保護の枠組み、個人データに適用可能な保護の保証、および利用可能な関連する監督と救済のメカニズムの両方の包括的な評価が含まれる。「 欧州データ保護監察機関(European Data Protection Authorities:EDPA )」(筆者注4)は、他国のデータ保護の妥当性を評価する際に「考慮に入れなければならない要素のカタログ」を別途作成した。  

(3) 日本は適正基準をどのような意味で満たしているか? 

 1月23日、欧州委員会は、EUと日本におけるデータ保護のレベルは同等であるという決定を採択した。これと並行して、日本は同様の決定を採択した。 これにより、高レベルの保護に基づく安全で無料のデータ転送の世界最大の分野が生まれる。 EUが他のいくつかの国との一方的な妥当性決定をすでに持っていても、これはEUと第三国が適切なレベルのデータ保護の相互承認に同意したのは初めてである。 

 EUと同様に、日本は最近データ保護法を近代化した。 とりわけ基本的権利としてのデータ保護の認識、共通の一連の保障措置および個人の権利、ならびに独立したデータ保護当局による監督および法執行に反映されているように、これにより2つのシステム間の収束性が高まった。 

  EU側では、この妥当性の認定は、日本が自国に移転したときに日本がヨーロッパ人のデータに適用する一連の追加の保障措置に基づいて決定された。 これらの保護措置は、2つのデータ保護システムの違いを橋渡しするものである。例えば、機密データの日本の定義が拡大され、個人の権利の行使が促進され、ヨーロッパ人のデータが日本から他の第三国にさらに転送されるであろう際により高いレベルの保護を受ける。 また、日本は、日本のデータ保護当局(個人情報保護委員会)の監督の下、苦情の処理および解決のシステムを確立し、日本の法執行機関および国内の人々による自分のデータへのアクセスに関して欧州からの潜在的な苦情を保証することに合意した。安全保障当局は効果的に調査し、解決する。 

(4) 適切性判断はいつ適用可能になるか? 

 欧州委員会は、2018年9月に一般データ保護規則の下で適正性決定の採択に至るプロセスを開始した。 これには、加盟国すべての国内データ保護当局(DPA)をまとめる「 欧州データ保護監察機関(EDPA)」からの意見の取得およびEU加盟国の代表者で構成される委員会からのゴーサインが含まれていた。この手続きが完了したので、委員会は2019年1月23日に適切性判断を採択した。同じ日に日本によって採択された同様の決定と共に、それは1月23日から適用され始める。

(5) 適切性判断がEUの日本との貿易協定に与える影響は?

  EUにとって、プライバシーは取引される商品ではない。 データ保護と第三国との貿易交渉に関する対話は別々の道をたどらなければならない。

  EU・日本の経済的パートナーシップ契約は、データ保護の分野における各当事者の法律に害を及ぼすことなく適用される。 同時に、EUと日本の間での個人データの安全な転送を可能にすることによって、相互的な適正の調査結果は商業交流をさらに促進し、それによって経済的パートナーシップ協定の利益を補完し拡大するであろう。

(6) 適切性の監視体制の内容は? 

 時間的な制限はないが、適切性の判断は定期的に監視される。 欧州委員会は、採択の2年後、その後少なくとも4年ごとに、日本の妥当性判断の最初の見直しを実施する。 

 適切であると判断された第三国の保護の水準に影響が及ぶような進展があった場合、適切性の決定は綿密に監視され、調整され、場合によっては取り下げられる。 

(7) EUはすでに他のどの国との間で適切性に関する決定を下しているか? 

 欧州委員会は、以下の国および地域に適切性の決定を採択した:アンドラ、アルゼンチン、カナダ、ファロー諸島、イスラエル、マン島、ジャージー、ニュージーランド、スイス、ウルグアイおよび米国( EU-USPrivacy Shield (筆者注5)。一般データ保護規則が適用されるようになって以来、日本の適切性に関する決定が最初に採択された。 

 カナダと米国に関する決定は、「部分的な」適切性決定である。 カナダに関する決定は、カナダの個人情報保護および電子文書法の適用範囲に含まれる個人事業体にのみ適用されます。 米国に一般的なデータ保護法がない場合、拘束力のあるプライバシー・シールドの原則を遵守することを約束している会社のみが無料のデータ転送の恩恵を受けるため、EU-USプライバシー・シールドの枠組みは「部分的な」適切性の判断といえる。

 欧州委員会はまた、韓国との間で適切性の決定について交渉中である。

(8) 日本との間で適切性を判断することのメリットは何か? 

それはヨーロッパの市民と企業の両方に利益をもたらすであろう。 ヨーロッパ人は、彼らのデータが日本に転送されるとき、EUの高いプライバシー基準に沿った強化されたレベルの保護から利益を得るであろう。 

 EUと第三国たる日本は、初めて、適切な保護レベルの相互承認について合意した。 したがって、ヨーロッパの企業は、日本との間での邪魔にならないデータ転送と、その1億2,700万の消費者市場への特権アクセスから恩恵を受けるであろう。このように、これらの適切性に関する調査結果は、2019年2月1日に発効する経済連携協定の恩恵を補完し強化するものである。

3.欧州委員会による日本の「補完的ルール」の要旨

 以下、委員会サイトから抜粋し、仮訳しておく。

〇EUから日本に移転された個人データはどう処理されるか?

 日本は最近、民間部門に適用されるデータ保護法を近代化し、ヨーロッパの基準に近づけた。 欧州委員会との交渉の後、日本政府はEUから移転されたデータにのみ適用される「補足ルール」を採用し、それによって残りのギャップを埋めた。その結果、データがEUから日本に移送されるときはいつでも、以下のとおり、それらと同じ保証があり、EU法の下で適用され続ける。

〇個人データはEU市民が別の目的のために処理することに「同意」しない限り、EUから合法的に移転された目的のためにのみ処理される。 

〇個人データはその目的に必要な範囲で処理される。

〇個人データはその目的のために必要以上にもはや保管されない。

〇個人データは正確かつ最新の状態に保たれている。

〇そのような転送についてEU市民たる個人の「同意」が得られない限り、適切な保護レベルを保証しない日本以外の個人または団体に当該データがさらに転送されることはない。

〇データ処理は適切なセキュリティ対策の下で行われるべきであり、許可されていない、または違法な処理および偶発的な損失、破壊、損傷に対する処理、さらに健康状態、性的指向、政治的意見などを明らかにするデータ等の機微データには追加の保護措置が適用される。

4.EUが認めたわが国の補完的情報保護ルールおよび関連する「個人情報の保護に関する基本方針」の一部改正の内容

(1)個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール (平成30年9月 個人情報保護委員会 ) (全12頁)を参照されたい。

 なお、補完ルールの前文から重要箇所を抜粋する。(下線部の表示は筆者が独自に行った)

「これに基づき、本ルールは、EU域内から十分性認定により移転される個人データを受領する個人情報取扱事業者を拘束し、個人情報取扱事業者はこれを遵守する必要がある。

本ルールは法的拘束力を有する規律であり、本ルールに基づく権利及び義務は、本ルールがより厳格でより詳細な規律により補完する法の規定と同様に個人情報保護委員会の執行対象となる。

本ルールに定める権利及び義務に対する侵害があった場合は、本ルールがより厳格でより詳細な規律により補完する法の規定と同様に、本人は裁判所からも救済を得ることができる。 

個人情報保護委員会による執行に関しては、個人情報取扱事業者が本ルールに定める一つ以上の義務を遵守しない場合、個人情報保護委員会は第 42 条に基づく措置を講ずる権限を有する。(筆者注6)一般的に、EU域内から十分性認定により移転を受けた個人情報について、法第 42 条第1項の規定による勧告を受けた個人情報取扱事業者が正当な理由(※2)がなくその勧告に係る措置をとらなかった場合は、法第 42 条第2項に定める「個人の権利利益の重大な侵害が切迫している」と認められる。

(2) 今回のEUと合意した補完ルールに関し、わが国の「個人情報の保護に関する基本方針」の一部改正の内容

 関係する部分を抜粋する。

② 個人データの円滑な国際的流通の確保のための取組

・・・・・個人情報保護委員会は、個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している国との間で、相互に円滑な個人データの移転を図るために、国際的に整合のとれた個人情報に係る制度を促進する方法としての枠組みを構築するための措置を講ずることとする。

個人情報保護委員会は、個人情報保護法を所管する機関として、外国から移転される個人情報の適正な取扱いを確保する観点から、法第6条に基づき、日本と当該外国との間の制度及び運用の差異を埋めるために必要な措置を講ずる権限を有している。個人情報保護委員会は、必要に応じ、法及び政令で規定された規律(例えば、要配慮個人情報や保有個人データの定義に係る規律等)を補完し上回る、拘束力のある規律、すなわち、国内の個人情報取扱事業者に対して執行可能な、より厳格な規律を設けることを含め、一層の個人情報の保護を行う権限を有している。

また、個人情報保護委員会は、当該外国当局との執行協力及び法制度の理解に関する対話を行うこととする。

(4) 個人情報の保護及び円滑な流通を確保するための国際的な取組

また、個人情報保護委員会は、情報通信技術の進展や個人情報を含むデータの国境を越えた流通の増大を受け、法第75条の趣旨を踏まえ、必要に応じて海外執行当局と連携し、国内にある者に対して物品や役務の提供を行う外国事業者における個人情報の適正な取扱いを確保するため、適切な対応を行うものとする。 

**************************************************************

(筆者注1) GDPR第32条( 取扱いの安全性)の訳文は、以下のURL37頁以下を参照されたい。

https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf

(筆者注2) わが国の報保護委員会のHPで見ると、EU市民からの直接的な苦情受付に該当する箇所がない。欧州委員会などとの協議の段階でこの点はどのように解決したのであろうか。同委員会の英語版の解説を見ても「Mediation of Complaints」とあるが、あくまで”Complaint Mediation Line for MY NUMBER”である。

(筆者注3) The GDPR came into effect on 25 May 2018. As an EU Regulation, it will be directly effective in each EU Member State, but all Memnting lber States are expected to pass national implemenber States are expected to pass national implemeting legislation. 

 (筆者注4EDPSの具体的な任務は,EUの行政機関が個人データを処理する際の個人データとプライバシーの保護の監視,EU行政機関に対する個人データ処理に関する助言,個人データ保護に影響を及ぼす新たな技術の監視,EU司法裁判所における専門的意見の提供のための介入,国の監督機関との協力である。なお,GDPR適用後は,EDPSに「欧州データ保護会議(EDPB)」の事務局が置かれることとなる。

(筆者注5) 1月24日、欧州データ保護会議(「EDPB」)は、EU-USの プライバシーシールドに関する第2回年次レビューに関する報告書を採択した。 報告書に付随するプレスリリースで、EDPBは、特に最近の恒久的なオンブズマンの任命を含む、プライバシーシールドを実施するためのEUおよび米国当局による努力を歓迎した。 しかし、EDPBはまた、プライバシーシールドの実施に関して一定の懸念が残っていることにも留意した。以下略すが、詳細は1月28日付けのInside Pribacy”blog を参照されたい。

(筆者注6) わが国の情報保護法の法執行に関する規程が、法第42条だとすれば法第42条は「勧告及び命令」にかかる規定であり、EU加盟国のような市民からの申し立ての基づく制裁金制度がない点はきわめて運用の厳格性につき疑問が残る。

***************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

フランスCNILの米国Googleに対するEU一般データ保護規則にもとづく罰金命令の意義と検証(その2完)

2019-01-26 16:35:57 | EU加盟国・EU機関の動向

2. CNILの決定 

(1) CNILの罰金の決定

  2019年1月21日、フランスのデータ保護監督当局である「情報処理及び自由に関する国家委員会(Commission nationalede l'informatique et des libertés:CNIL)」は、EUの「一般データ保護規則(「GDPR」)の違反について、Googleに対して5,000万ユーロ(約62億円)の罰金を決定した(この決定は、正式にはフランス語で公開された)。 このCNILの決定は、9,974人(筆者注7)を代表する2つの非営利団体からの苦情によって引き起こされ、この訴訟では、以下述べるとおり、プライバシーに関するいくつかの重要な問題を発生させた。 

  第一に、グーグル・アイルランド・リミテッド(Google Ireland Limited )はコンピュータ処理が中心でグーグルのEUにおける主要な拠点ではないとすることで、この決定はGDPRのワンストップ・ショップの適用を却下する(これはアイルランド監督当局をCNILの代わりに管轄当局にするであろう) 。 CNILによると、AndroidとGoogleのアカウントに関連するデータの処理に関する意思決定権限は、米国のGoogle本社(Google LLC)にあるため、GoogleはEU内に主な拠点はない。CNILは、グーグルのプライバシーポリシーがグーグルアイルランドリミテッドをコントローラーとして言及しておらず、グーグル・アイルランド・リミテッドがEUにおけるグーグルの処理業務を監督するためのデータ保護責任者を任命していないという事実に他の理由も含めてこの結論を下した。 

 さらに、CNILは、その結論はGoogleによって支持されていると主張し、2019年1月までにアイルランド本部の意思決定力を強化するための措置を講じると公に述べた。EUに主要な事業所がない場合、Google LLCはフランスを含むGoogleが事業所を有するEUのあらゆる監督当局による執行の対象となる可能性がある。この決定は、規制当局が「主たる拠点」の概念を限定的に解釈する意思があることを示している。これは、非EUに本社をもつ企業にとって、ワンストップショップ適用を不要にし、EU加盟国の複数の監督当局による法執行にさらされる可能性があることを意味する。 

 CNILは、2019年1月21日に、苦情に関する最終決定を下し、同時に次の点を明らかにした。

(ⅰ) GoogleのプライバシーポリシーおよびAndroidモバイルユーザーの使用条件(利用規約)に関して、GoogleはGDPRの第12条(データ主体の権利行使のための透明性のある情報提供、連絡及び書式) (日本語訳 15頁および第13条( データ主体から個人データが取得される場合において提供される情報)16頁に記載されている透明性および情報提供義務に違反していた。

(ⅱ) Googleによるターゲット広告のための個人データの処理に関して、Googleは、ターゲット広告についてGDPRの第6条(取扱いの適法性)8頁に規定されている法的根拠を有する義務に違反していた。 

 透明性と情報提供義務に対するGoogleの以下の点でGDPR違反の疑いについて、CNILは、プライバシーポリシーと利用規約はAndroidモバイル・ユーザーに提供されるものであると判断した。

① 情報が複数のドキュメントに分散されているため、情報が断片化されていて、そのすべてにアクセスするためにユーザーが何度もクリックする必要があるため、検索が困難であった。

② 特に「大規模でかつ侵入的な」処理操作に基づく特定の結果をユーザーが明確に理解することを許可しなかった。

③(同意に基づく)複数のデータの組み合わせによるターゲット広告の実行の法的根拠と、(合法的に基づく)閲覧活動などを使用した他の形態のターゲットとの間のGoogleの区別をユーザーに理解させなかった。

 Googleがターゲット広告の法的根拠を有する義務は侵害していない主張していたが、CNILは、Googleのターゲット広告に対するユーザーの同意は次の点で有効ではないと判断した。

① 当該情報が複数の文書にまたがって断片化されているため、ユーザーにとって十分な情報が得られていない。

② ターゲット広告を含む、この同意に基づいてGoogleが実行したすべての処理操作の目的に対して、ユーザーが完全に同意を示すことを要求されたため、「特定」でも「明確」でもないものであった。

 第二に、罰金の額の計算方法についてのCNILの決定は曖昧である。しかし、GDPRの罰金の上限であるは2,000万ユーロを超えており、これはGDPRの全世界の売上高の4%という「しきい値」に基づいていることを意味する。Googleのフランスの「限られた」売上高を考えると、罰金は明らかにGoogleの持株会社である”Alphabet. Inc”(筆者注8)の売上高に基づいている。 これは面白い点であり、GDPRが4%の計算基準を明確にしていないことはよく知られている。 持株会社の売上高を基準として、CNILは長期にわたる合法的な保証付き戦闘の舞台を整えている。この結果として、今後3〜5年間このブログをフォローし続けるよう読者に勧める。(筆者注9) 

第三に罰金の額に関しては、CNILは4つのポイントを提示した。

① CNILによると、GoogleはGDPRのデータ保護の2つの基本原則を侵害している。「透明性の原則(すなわち、個人データの処理について個人に知らせる義務)」と「合法性の原則(すなわち、各データ処理活動をGDPRの第6条に記載されているいずれかの法的根拠に関連付ける義務)」である。CNILによれば、これらの原則は、個人が自分の個人データを管理し続けるための基本的権利に変換される。 

 ② 侵害がなされた期間: CNILは、GDPRに違反しているというCNILの立場にもかかわらず、Googleの継続的な侵害は是正されなかったと述べた。

③ 侵害の範囲 :罰金を計算する際に、CNILはフランスのオペレーティングシステム市場におけるGoogleの顕著な地位、Googleのサービスを利用する個人の数、処理される個人データの量と種類、そして“無制限”の可能性を考慮した。Googleはデータを一致させる必要がある(ユーザーの個人データの「大量かつ煩雑な」処理を可能にします)。 

④ Googleの侵害から得られた利益: CNILは、Googleがそのデータ処理活動から(特にそのオンライン広告サービスから)得ることを考えると、その処理活動がGDPRを遵守していることに特に注意を払わなければならないという立場をとる。

 実質的には、今般のCNILの決定は2つの主側面に焦点を当てている。(i)GDPRに基づくGoogleの透明性義務の違反(特にGDPR第12条および第13条に基づく)および(ii)個人データ処理の法的根拠の欠如(GDPR第6条の「同意」要件に基づく))である。 

(ⅰ) 透明性義務の違反 

① GDPRの下では、管理者は、データの処理に関する個人情報の取扱いについて「簡潔で、透明性を持ち 、わかりやすい言葉で」提供しなければならない。 CNILによると、AndroidソフトウェアをインストールしてGoogleアカウントにサインアップする個人には、さまざまなポリシーや通知にまたがる「散在した」情報が提供されているが、CNILは、これがユーザーがGDPRの下で必要とされる情報のいくつかを見つけるのを困難にするという立場をとる。

② CNILによれば、Googleが提供する情報は、グーグルのデータ処理活動の特定の結果を「十分に理解する」ことをユーザーに許していない。すなわち処理の目的は「不正確かつ不完全」であり、時には矛盾する。CNILは、近年の処理活動をより透明にするためのGoogleの取り組みを認識しているが(たとえば、「プライバシー診断(Privacy Check-UP)」「Dashboard」などのプライバシーツールを介して)、これらのメカニズムはユーザーがすでに処理に同意したとき後の段階でのみ提供される。

(ⅱ) Googleが主張する「同意」は法的根拠を欠く 

 CNILは、Googleが取得した「同意」はGDPRに基づく同意の要件を満たしていないと考える。GDPRの下では、「同意は」個人の意思の「自由に与えられた、具体的な、情報に基づいた、かつあいまいな徴候を確立する明確な肯定的行為によって与えられる」必要がある。CNILによると、Googleは、十分な情報を提供する選択をするために必要とされる十分で理解可能でアクセス可能な情報を個人に提供しなかった。CNILは、以前のVectaury (筆者注10)の決定に沿って、Googleが各処理活動について具体的な同意を求めるのではなく、ユーザーが最初にすべての処理活動を許可または拒否することを許可することも主張している。ユーザーが「その他のオプション」をクリックした場合にのみ、データ処理の個々の目的を個別に受け入れることができる。CNILはまた、「同意」ボックスにはデフォルトで「オプトイン」ではなく「オプトアウト」のように表示されている点を違法であるとみている。

3.法的考察

 今回のCNIL決定は、今後、国務院(筆者注11)で再検証される可能性が高いが、それは暫定的に企業に次のようないくつかの重要な検討課題を提供する。

 (ⅰ) 企業がワンストップショップの仕組みの利用する場合の条件: EU域に本店を置くと主張してワンストップショップの仕組みに頼ることを望む企業は、本店が以下に関連する「意思決定力」を持っているという証拠を提供する必要がある。問題の処理 組織は、自らの方針やガバナンス構造を見直し、説明責任の原則に沿って、意思決定権がどこにあるのかを証明する文書により、EU内に本部にあることを確実にするべきである。(その意味でGoogleの主張は失敗)

 (ⅱ) ターゲット広告:収益創出のためにターゲット広告に依存している企業は、EU加盟国のDPAの調査および法執行措置の対象になる可能性がある。そのような事業体は、さまざまな種類のプロファイリングにユーザーの個人データを使用するための現在の基礎を注意深く検討する必要がある。 プロファイリングが特に障害となる場合は、GDPRに準拠したデータ主体の「同意」が必要となり、この「同意」自体を明確にする必要がある(本人のプライバシーポリシーの承認のみによるものでは不十分)。

 (ⅲ) ユーザーにとって透明性を持ったアプローチの担保:EU加盟国さまざまなDPAガイダンスによって、階層化されたアプローチ、またはプライバシーセンターによる透明性への他の創造的なアプローチが奨励されているが、事業体はユーザーがコア処理のアクティビティをより容易に理解できるようにする必要がある。

4.わが国のGAFA等海外電気通信企業企業に対する「通信の秘密」やプライバシー保護強化法制化等の検討

 今回は、時間の関係で以下の研究会資料のリンクのみ行うが、研究会の報告書でも指摘されているとおり、法制度、IT技術等多方面にわたる問題に関係するため、政府や監督省庁には専門的かつ横断的な取り組みを期待したい。

・2018.12.21 総務省「「プラットフォームサービスに関する研究会における検討アジェンダ(案)」に対する提案募集の結果及び検討アジェンダの公表」

・ 2019.1.21 「プラットフォームサービスに関する研究会(第5回)配布資料)」

・2019.1.21 資料1「プラットフォームサービスに関する研究会 主要論点(案)」

 

**********************************************************************

(筆者注7) La Quadrature du Netのサイトでは12,000名とある。

(筆者注8) Alphabet Inc.(アルファベット)は、2015年にGoogle Inc.及びグループ企業の持株会社として設立された、アメリカの多国籍コングロマリットである。本拠地はカリフォルニアに置かれ、Google Inc.の共同設立者であるラリー・ペイジおよびセルゲイ・ブリンが、それぞれCEOおよび社長である。GoogleからAlphabetへの再編は、2015102日に完了した。

(筆者注9)  2018.12.28 Livedor News2018年、GDPR について学んだ5つのこと」を一部抜粋する。

3. 当局の取り締まりは始まったばかり

 GDPR発効してからの6カ月間、規制当局はとても静かにしていた。が、その後、罰金や警告が嵐のように襲ってきた。英国の規制当局である情報コミッショナー局(Information Commissioners Office、以下ICO)はFacebookなどの企業に重いペナルティーを科した。Facebookは、ケンブリッジ・アナリティカ(Cambridge Analytica)によるデータ不正流用スキャンダルにまつわる件で、50万ポンド(約7,200万円)の罰金を科すという警告を受けた。ウーバー(Uber)もまた、サイバー攻撃の最中に顧客データを保護する対策をしなかったとして385,000ポンド(約5,300万円)の罰金を科せられている。ただし、どちらもGDPR発効以前の罰金であり、データ保護法(Data Protection Act)のより寛大な条件の下で科されたものだった。2019年はこんな程度ではすまないだろう。

 フランスのデータ保護機関である情報処理及び自由に関する国家委員会(Commission nationalede l'informatique et des libertés:CNIL)は、位置情報を利用するアドテクベンダー厳しく非難し、フィズアップ(Fidzup)やティーモ(Teemo)、さらに11月にはベクチュアリー(Vectaury)といったアドテクベンダーに対して公開警告書を出して、大きな注目を集めた。罰金は科されていないが、ベクチュアリーのような企業にコンプライアンスに従うよう命令が出たことで、現行のアドテクのビジネスモデルのなかには終わりを迎えるものが出てくるかもしれない。(以下、略す)

(筆者注10) IAB EUROPEThe CNILs VECTAURY Decision and the IAB Europe Transparency & Consent Framework」米ネット広告業界団体Interactive Advertising BureauIAB)のCNIL決定の解説参照。なお、その後のCNILのVectauryに対する警告通知についての詳細は、筆者ブログ「CNILは”Vectaury”にGDPRに基づく明確な「同意」を課すべきとの警告(その1)」「同(その2完)」を参照されたい。

(筆者注11) フランス政府の「国務院の日本語解説」を抜粋、引用する。

国務院(Conseil d’État)は、政府が法律案や政令案 などを準備する際に、

政府から 諮問を受けて答申します。また、法に関わる問題について、政府から求められた場合は、意見を述べます。

さらに、政府からの要求に応じ、又は自ら率先して、行政問題や公共政策に関する問題について研究を行います。

国務院は、行政最高裁判所の機能も有しています。国務院は、国、地方公共団体、行政施設などの行為に対する最終審裁判所です。

これら二つの役割(勧告と裁判)によって、国務院は、フランスの行政が、法に従って適正に行われることを保障します。

さらに、国務院は、第一審行政裁判所と行政控訴院を統括して管理する権限も持っています。

********************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida). All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

フランスCNILの米国Googleに対するEU一般データ保護規則違反にもとづく罰金命令の意義と検証(その1)

2019-01-26 16:07:27 | EU加盟国・EU機関の動向

 筆者は、2018年5月25日から適用が開始された欧州連合(EU)の統一プライバシー規制規則である「一般データ保護規則(General Data Protection Regulation: GDPR」)について、これまで適宜ブログで解説してきた。

 さる1月21日にわが国のメディアでも言及されているとおりフランスのデータ保護監督当局である「情報処理及び自由に関する国家委員会(Commission nationalede l'informatique et des libertés:CNIL)」は、EUの「一般データ保護規則(「GDPR」)の違反したとして、Googleに対し5,000万ユーロ(約62億円)の制裁金を課す旨決定した。これまでのフランスのCNILが課しうる制裁金の上限額が30万ユーロ(約3,720万円)(筆者注1)であったことと比較してGoogleの負担する経済的ダメ―ジは言うまでもない。

 さらに、CNILへの申立者であるLa Quadrature du Netサイトによると、「CNILの制裁対象企業は2018年5月28日、12,000人を代表して、Google、Apple、Facebook、AmazonおよびMicrosoftに対してCNILに対して告発したとある。その間、CNILはGoogleに対して苦情を申し立てることを決定したが、他の苦情はアイルランドとルクセンブルクの監督当局に提出され、同時にCNILに対しオーストリアの人権擁護NPO団体”NOYB”(筆者注2)から別の苦情が寄せられた」とある。

 わが国のメディアでは詳しく論じられていないが、今回のCNIL制裁処理のポイントは、CNILが被告としてEU内のGoogleの拠点であるグーグル・アイルランド・リミテッドではなく、米国Google.LLC(およびGoogle持ち株会社)を被告とした点である。すなわちGDPRの定めるワンステップ・ショップ(筆者注3)の適用を否定した点にある。この解決方法は、米国のグーグル、アマゾン、フェイスブック、マイクロソフト、アップルというIT独占企業であるGAFMAの市場独占にくさびを打つというEUの戦略が見える。

 このようなきわめて政治的な動きをとれるのは、EUの主たるプライバシー規制機関であるCNILであるがゆえにできた決定ともいえる。

 さらに、CNILの制裁金額の決定はGoogleの違反行為がGDPRが定める制裁金額の重度の違法性があったと判断した点である。今回のCNILの制裁金の決定は今さら始まったものではない。

 一方、わが国に目を転じると、1月25日のわが国の主要メディアである朝日新聞は総務省の有識者会議がGoogle等GAFAに対しわが国の電気通信事業者と同様に「通信の秘密」保護の義務付けに関する検討に入ったと報じた。この記事にあるとおり、最大の論点はGoogleのように米国に本社があり、たとえ日本法人があっても実質的に機密保持のにかかる社内の重要な決定権限が存しない場合はわが国の行政機関や司法機関は規制できないのかという点が中心的論点のようである。今春に報告書をまとめるということであるが、筆者なりに調べたがここでいう有識者とは具体的にいかなる人々であろうか。わが国のメディアの情報源調査の不十分さは本ブログでも重ねて指摘してきたとおりであるが、具体的に調べたので巻末にURLのみ引用しておく。

 今回のブログは、記事の内容から見て正確性を優先させて、(1)2019.1.22 Covington & Burling LLP.「グーグルはGDPR違反でフランスで5000万ユーロの罰金を科した 」、(2) 2019.1.21 Latham&Watkins LLP解説記事「フランスのデータ保護当局、画期的なGDPR訴訟で5,000万ユーロの罰金命令を発布」の主な内容をアレンジして原稿とした。

 なお、わが国のメディアはほとんど論じられていないが、GoogleのGDPRに基づく「忘れられる権利」の対応にかかるCNIL, 国務院決定の問題も重要な点であるが、時間の関係で別途取り上げたい。(筆者注4)

 今回は2回に分けて掲載する。

1.CNILに対する人権擁護NPO団体からの苦情申し立てとCNIL決定の経緯

(1) EUの人権擁護NPOからの苦情申し立て 

  2018年5月25日に「EU一般データ保護規則2016/679(以下、GDPR)」が施行されてから1週間以内に、フランスのデータ保護当局(CNIL)は2つの非営利団体からGoogle LLC(以下、Google)に関する個別の苦情を受けた。活動家である弁護士マックス・シュレムス(Max Schrems )によって設立された”La Quadrature du Net”   (筆者注5)および「あなたのビジネスのどれも」1万人近い個人を代表して組織が行った苦情内容は、次のようにまとめることができる。 

 ① Android携帯端末のユーザーは、Googleのプライバシーポリシーと利用規約を受け入れる以外にデバイス利用上の選択肢はないと主張した。

② La Quadrature du Netは、Googleが有効な法的根拠なしにターゲット広告のために個人データを処理したと主張した。

(2) CNILの調査とGoogleの対応

 CNILは直ちに訴状に基づく調査を開始した。 2018年10月末までに、CNILはすでに調査を完了しており、GDPR違反の疑いがあるとして5,000万ユーロの罰金を科すというCNILの提案をGoogleに提起した。 

 これに対し、Googleは、EU内のグーグルの本部はアイルランドを拠点としているため、CNILは直ちに苦情をアイルランドの監督機関であるデータ保護委員会(Data Protection Commission:DPC)に送付するべきであると主張した。

(3) CNILのアイルランド・グーグルのEU内の「本拠」論の却下

 CNILは、Googleアイルランドの施設内に重要な財源と人的資源が存在することを認めながらも、GDPRの第4条16号(主たる拠点の定義)および前文(recital )36(Recital 36 :Determination of the main establishment*)の意味においてEU内の「主要施設」にはなり得ないと判断した。CNILの主張は以下の点を含んでいた。

① CNILに対する苦情があった当時、米国Googleの事業体が唯一の意思決定事業体であった。Google事業体のみが「処理の目的と手段に関する主な決定を決定する管理活動の効果的かつ実際の行使」を行ったからである。

② CNILは、Googleのアイルランドの拠点である「グーグル・アイルランド・リミテッド」 (筆者注6) が関連する情報処理活動に参加したことを認めたが、CNILは、オペレーティングシステムAndroidおよびグーグルLLCによって提供されるサービスの文脈において実行された処理操作について「意思決定力」を有していなかったと結論づけた。携帯電話の設定中にアカウントを作成することに関連しています。 EUに本部を置くことなく、CNILは、米国Googleが管理する処理を管轄すると結論付けた。

(4) この結論をさらに支持して、CNILは、Googleが最近アイルランドのDPCに、EU個人に関する一定の処理についての責任のアイルランド設立への移管は2019年1月末までに完了することを通知するように書面で書いたという事実にも言及した( すなわち苦情がなされた後である)。

(5) 苦情に対し加盟国の主権当局に不確実性がある場合、CNILは「欧州データ保護委員会(EDPB)」にこの問題を問い合わせるべきであるというGoogleの反論に応えて、CNILは、主な機関がない場合は主権を特定する必要はないと主張し、EUでは、ワンストップショップの仕組みは単に適用できなかったためである。CNILは、受けた苦情を直ちにすべてのEU加盟国のデータ保護当局(DPA)に転送したがらのすべておよびEDPBの議長からも、主たる当局の特定のためにこの問題をEDPBに委ねる必要はないという回答があった。  

***********************************************************************

(筆者注1)これまでのCNILの制裁金の上限は30万ユーロ  ブログの注5参照。

(筆者注2NOYB ( ヨーロッパのデジタル人権センター)は、2017年に設立されたオーストリアのウィーンに拠点を置く非営利団体である。NOYBは、オーストリアの弁護士およびプライバシー保護活動家であるMax Schremsによって設立された。 EU一般データ保護規則、提案されているePrivacy規則、および一般的な情報のプライバシーを支持するメディアイニシアチブ団体である。 多くのプライバシー保護団体が政府に注意を向けているのに対して、NOYBはプライバシー問題と民間部門におけるプライバシー侵害に焦点を当てている。 

(筆者注3) ワンストップ・ショップ制度に、ついてわが国では詳しい解説は少ない。Internet Initiative Japanの解説を一部抜粋引用する。(GDPRの規定との関係は本文で述べる)

(b)ワンストップ・ショップ制度

ワンストップ・ショップ制度は、複数の加盟国内に拠点を有する管理者/処理者の処理を担当する監督当局を一つに集中させることを狙いとしています。具体的には、管理者/処理者の主たる拠点の監督当局が、国境を越えた処理に関する主要監督当局としての役割を果たし、管理者/処理者にとって、越境での処理に関わる唯一の窓口となります。

主要監督当局は、意見の一致を図り、すべての関連情報を交換するよう、他の関連する監督当局と協力します。主要監督当局は、他の監督当局が相互支援や共同作業を行うよう要請し、特に、他の加盟国内に拠点をもつ管理者/処理者に関わる調査や対策実施の監督を行います。

もっとも、各監督当局は、違反被疑事実がある加盟国内の拠点にのみ関係する場合、または当該加盟国内のデータ主体にのみ実質的な影響を与える場合には、受けつけた苦情申立てに対処する権限を持ちます。

(筆者注4) 以下のURLを参照されたい。

・http://www.conseil-etat.fr/Actualites/Communiques/Droit-au-dereferencement

・https://www.theguardian.com/technology/2016/may/19/google-right-to-be-forgotten-fight-france-highest-court

(筆者注5)La Quadrature du Net” は、フランスのデジタル権び市民の自由権の擁護団体である。

(筆者注6) 2016.8.1 のリリース「グーグル(Google)社、アイルランド・ダブリンに170億円規模のデータセンターを新設」を以下抜粋、引用する。

「アイルランド共和国(首都ダブリン)のエンダ・ケニー首相は本日、グーグル社が同国のウェストダブリンにて、1億5,000万ユーロ(約174億円)を投じて建設したデータセンターが新たに正式開所したことを発表しました。」

 アイルランドにおけるグーグル社の大型データセンターであると解説されているが、筆者の見解はEUの中核的データセンターであるとしても、果たして本社機能はもっているだろうか。(Bloombergの企業解説:Google Ireland Limited does not have any Key Executives recorded. という記述からみてもCNILの判断は正しいであろう)

 筆者はCNILがGDPR第4条16号(主たる拠点の定義)および前文(recital )36(Recital 36 :Determination of the main establishment*)の意味においてEU内の「主たる拠点」(筆者注6-2)にはなり得ないと判断した点に組したい。

(筆者注6-2) GDPRの「主たる拠点」について詳しくはジェトロ「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(第29 条作業部会ガイドライン編)」5頁以下を参照されたい。

***********************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする