Last Updated : January 29, 2019
さる1月24日、プライバシー問題の専門サイト”Inside Privacy”は「日本とEUは相互に個人データ保護の適切性に関し合意した」と報じた。
この問題は、わが国では2019年2月1日に発効が予定される「日本とEU経済連携協定」が発効する問題の裏に隠れている気がするが、逆に考えるとはたしてわが国の情報保護監視機関である「個人情報保護委員会」の法施行能力、制裁権限も含めEU加盟国と同等といえるか、かなり疑問があると思う。
今回のブログは、前述の”Inside Privacy”blogを仮訳しつつ、1月23日の欧州委員会のファクト・シート等関係サイトにリンクを張り、この点を明らかにすることに重点を置く。
なお、これに関し、先般フランスの監視機関であるCNILが米国googleに対し、「EU一般データ保護規則」(以下、GDPRという)に基づき最も厳しい罰金刑を課した点も筆者ブログ(その1)、および同(その2完)で紹介したが、その他、(ⅰ)ドイツのバーデンヴュルテンベルク州の保護当局(「LfDI」)はGDPRの第32条( 取扱いの安全性)(筆者注1)の下でのデータセキュリティ義務の違反に対するソーシャル・メディア・プロバイダー(Knuddels .de)に対し20,000ユーロ(約248万円)の罰金、(ⅱ)2018年7月、ポルトガルのDPA(「CNPD」)は、患者データへの不正アクセスを防止できなかったことを理由に、Hospital do Barreiro病院に40万ユーロ(約4,960万円)の罰金、(ⅲ)2018年10月、オーストリアのDPA(「DSB」)は、会社が公共の場でのCCTVの使用について、適切な透明性措置と予告を行わなかったとして、4,800ユーロ(約596,000円)の罰金、(ⅳ)2018年11月、オランダ監督当局(Autoriteit Persoonsgegevens:AP)はUber B.V.(USV)及び Uber Technologies, Inc (UTI)に対し合計60万ユーロ(約7,440万円)の罰金, (ⅴ)2019年2月7日、イタリアのDPA(Garante)が移動体通信事業者”Wind Tre”に対し同意を得なかった点など重大な法違反があったとして60万ユーロ(約7440万円)を科すなどGDPRに基づく罰則強化の傾向は顕著である。このGDPRの基づくEU加盟国の法改正動向や罰則強化については別途、本ブログで取り上げる。
1.欧州委員会と日本の相互のデータ保護法が適切なレベルの個人データ保護を与えるものと承認
2019年1月23日、欧州委員会と日本は、互いのデータ保護法が適切なレベルの個人データ保護を与えるものと認めた(欧州委員会のプレスリリースを参照 )。その結果、ほとんどすべての個人データがEUと日本の間を自由に行き来できるようになった。欧州委員会の本決定は、当該データが報道、学術、宗教または政治目的でそれぞれ処理される限りにおいて、メディア運営者、学術機関、宗教団体および政治団体へのデータの移送には適用されない。
本決定は、EUのデータ保護基準を満たすために2018年12月に日本が講じた追加の保障措置に従うものである。その具体的保護手段は次のとおりである。
① 日本の個人情報保護法に関連し、特に、データ移送に関して特別な保証を提供するEUから個人データを受け取る日本の事業体に適用される「補足ルール」を定めた。補足ルールの要旨は欧州委員会がまとめた。
② 日本のデータ保護当局(個人情報保護委員会)の監督の下で、日本の公的機関による彼らのデータへのアクセスに関するEU市民からの苦情を調査し解決するための苦情処理メカニズムを設定。(筆者注2)
③ 日本政府がEUから発信された個人データにアクセスすることに関する保護措置として、刑法の執行および国家安全保障上の目的に必要かつ適切なものに限定され、独立した監視および効果的な救済メカニズムの対象となることの保証。
2019年2月に日・EU経済連携協定が発効することを考慮すると、決定のタイミングは偶然ではない。
2.欧州委員会の日本の適切性判断に関する質疑応答の概要説明
2019年1月23日に公表された 欧州委員会の日本の適切性判断に関する質疑応答の概要説明(Fact Sheet)を仮訳する。
(1) 適切性の判断(adequacy decision )とは何か?
欧州委員会の適切性判断とは、欧州委員会が、国内法または国際約束を通じて、第三国が欧州連合と同等レベルの個人情報保護を提供していると判断した決定である。 その結果、それ以上の安全対策や承認を受けることなく、個人データが欧州経済地域(EEA)(EU加盟28カ国、ノルウェー、リヒテンシュタイン、アイスランド)から安全にその第三国に流れることができます。 この適切性の決定は、日本の「個人情報の保護に関する法律(Act on the Protection of Personal Information:APPI)」に基づいて提供される保護に関係する。したがって、EUから日本の事業者への個人データの転送すべてに適用される。
この適切性の判断は、2018年5月25日に発効した「一般データ保護規則」(筆者注3)の下でEUから第三国へ個人データを転送するために提供されるツールの 1つである。
(2) 適切性を評価するための基準は何か?
十分であるためには、第三国のデータ保護システムがEUのものと同一である必要はない。 それは「本質的同等性」基準に基づいている。 それには、この国のデータ保護の枠組み、個人データに適用可能な保護の保証、および利用可能な関連する監督と救済のメカニズムの両方の包括的な評価が含まれる。「 欧州データ保護監察機関(European Data Protection Authorities:EDPA )」(筆者注4)は、他国のデータ保護の妥当性を評価する際に「考慮に入れなければならない要素のカタログ」を別途作成した。
(3) 日本は適正基準をどのような意味で満たしているか?
1月23日、欧州委員会は、EUと日本におけるデータ保護のレベルは同等であるという決定を採択した。これと並行して、日本は同様の決定を採択した。 これにより、高レベルの保護に基づく安全で無料のデータ転送の世界最大の分野が生まれる。 EUが他のいくつかの国との一方的な妥当性決定をすでに持っていても、これはEUと第三国が適切なレベルのデータ保護の相互承認に同意したのは初めてである。
EUと同様に、日本は最近データ保護法を近代化した。 とりわけ基本的権利としてのデータ保護の認識、共通の一連の保障措置および個人の権利、ならびに独立したデータ保護当局による監督および法執行に反映されているように、これにより2つのシステム間の収束性が高まった。
EU側では、この妥当性の認定は、日本が自国に移転したときに日本がヨーロッパ人のデータに適用する一連の追加の保障措置に基づいて決定された。 これらの保護措置は、2つのデータ保護システムの違いを橋渡しするものである。例えば、機密データの日本の定義が拡大され、個人の権利の行使が促進され、ヨーロッパ人のデータが日本から他の第三国にさらに転送されるであろう際により高いレベルの保護を受ける。 また、日本は、日本のデータ保護当局(個人情報保護委員会)の監督の下、苦情の処理および解決のシステムを確立し、日本の法執行機関および国内の人々による自分のデータへのアクセスに関して欧州からの潜在的な苦情を保証することに合意した。安全保障当局は効果的に調査し、解決する。
(4) 適切性判断はいつ適用可能になるか?
欧州委員会は、2018年9月に一般データ保護規則の下で適正性決定の採択に至るプロセスを開始した。 これには、加盟国すべての国内データ保護当局(DPA)をまとめる「 欧州データ保護監察機関(EDPA)」からの意見の取得およびEU加盟国の代表者で構成される委員会からのゴーサインが含まれていた。この手続きが完了したので、委員会は2019年1月23日に適切性判断を採択した。同じ日に日本によって採択された同様の決定と共に、それは1月23日から適用され始める。
(5) 適切性判断がEUの日本との貿易協定に与える影響は?
EUにとって、プライバシーは取引される商品ではない。 データ保護と第三国との貿易交渉に関する対話は別々の道をたどらなければならない。
EU・日本の経済的パートナーシップ契約は、データ保護の分野における各当事者の法律に害を及ぼすことなく適用される。 同時に、EUと日本の間での個人データの安全な転送を可能にすることによって、相互的な適正の調査結果は商業交流をさらに促進し、それによって経済的パートナーシップ協定の利益を補完し拡大するであろう。
(6) 適切性の監視体制の内容は?
時間的な制限はないが、適切性の判断は定期的に監視される。 欧州委員会は、採択の2年後、その後少なくとも4年ごとに、日本の妥当性判断の最初の見直しを実施する。
適切であると判断された第三国の保護の水準に影響が及ぶような進展があった場合、適切性の決定は綿密に監視され、調整され、場合によっては取り下げられる。
(7) EUはすでに他のどの国との間で適切性に関する決定を下しているか?
欧州委員会は、以下の国および地域に適切性の決定を採択した:アンドラ、アルゼンチン、カナダ、ファロー諸島、イスラエル、マン島、ジャージー、ニュージーランド、スイス、ウルグアイおよび米国( EU-USPrivacy Shield )(筆者注5)。一般データ保護規則が適用されるようになって以来、日本の適切性に関する決定が最初に採択された。
カナダと米国に関する決定は、「部分的な」適切性決定である。 カナダに関する決定は、カナダの個人情報保護および電子文書法の適用範囲に含まれる個人事業体にのみ適用されます。 米国に一般的なデータ保護法がない場合、拘束力のあるプライバシー・シールドの原則を遵守することを約束している会社のみが無料のデータ転送の恩恵を受けるため、EU-USプライバシー・シールドの枠組みは「部分的な」適切性の判断といえる。
欧州委員会はまた、韓国との間で適切性の決定について交渉中である。
(8) 日本との間で適切性を判断することのメリットは何か?
それはヨーロッパの市民と企業の両方に利益をもたらすであろう。 ヨーロッパ人は、彼らのデータが日本に転送されるとき、EUの高いプライバシー基準に沿った強化されたレベルの保護から利益を得るであろう。
EUと第三国たる日本は、初めて、適切な保護レベルの相互承認について合意した。 したがって、ヨーロッパの企業は、日本との間での邪魔にならないデータ転送と、その1億2,700万の消費者市場への特権アクセスから恩恵を受けるであろう。このように、これらの適切性に関する調査結果は、2019年2月1日に発効する経済連携協定の恩恵を補完し強化するものである。
3.欧州委員会による日本の「補完的ルール」の要旨
以下、委員会サイトから抜粋し、仮訳しておく。
〇EUから日本に移転された個人データはどう処理されるか?
日本は最近、民間部門に適用されるデータ保護法を近代化し、ヨーロッパの基準に近づけた。 欧州委員会との交渉の後、日本政府はEUから移転されたデータにのみ適用される「補足ルール」を採用し、それによって残りのギャップを埋めた。その結果、データがEUから日本に移送されるときはいつでも、以下のとおり、それらと同じ保証があり、EU法の下で適用され続ける。
〇個人データはEU市民が別の目的のために処理することに「同意」しない限り、EUから合法的に移転された目的のためにのみ処理される。
〇個人データはその目的に必要な範囲で処理される。
〇個人データはその目的のために必要以上にもはや保管されない。
〇個人データは正確かつ最新の状態に保たれている。
〇そのような転送についてEU市民たる個人の「同意」が得られない限り、適切な保護レベルを保証しない日本以外の個人または団体に当該データがさらに転送されることはない。
〇データ処理は適切なセキュリティ対策の下で行われるべきであり、許可されていない、または違法な処理および偶発的な損失、破壊、損傷に対する処理、さらに健康状態、性的指向、政治的意見などを明らかにするデータ等の機微データには追加の保護措置が適用される。
4.EUが認めたわが国の補完的情報保護ルールおよび関連する「個人情報の保護に関する基本方針」の一部改正の内容
(1)個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール (平成30年9月 個人情報保護委員会 ) (全12頁)を参照されたい。
なお、補完ルールの前文から重要箇所を抜粋する。(下線部の表示は筆者が独自に行った)
「これに基づき、本ルールは、EU域内から十分性認定により移転される個人データを受領する個人情報取扱事業者を拘束し、個人情報取扱事業者はこれを遵守する必要がある。
本ルールは法的拘束力を有する規律であり、本ルールに基づく権利及び義務は、本ルールがより厳格でより詳細な規律により補完する法の規定と同様に個人情報保護委員会の執行対象となる。
本ルールに定める権利及び義務に対する侵害があった場合は、本ルールがより厳格でより詳細な規律により補完する法の規定と同様に、本人は裁判所からも救済を得ることができる。
個人情報保護委員会による執行に関しては、個人情報取扱事業者が本ルールに定める一つ以上の義務を遵守しない場合、個人情報保護委員会は法第 42 条に基づく措置を講ずる権限を有する。(筆者注6)一般的に、EU域内から十分性認定により移転を受けた個人情報について、法第 42 条第1項の規定による勧告を受けた個人情報取扱事業者が正当な理由(※2)がなくその勧告に係る措置をとらなかった場合は、法第 42 条第2項に定める「個人の権利利益の重大な侵害が切迫している」と認められる。
(2) 今回のEUと合意した補完ルールに関し、わが国の「個人情報の保護に関する基本方針」の一部改正の内容
関係する部分を抜粋する。
② 個人データの円滑な国際的流通の確保のための取組
・・・・・個人情報保護委員会は、個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している国との間で、相互に円滑な個人データの移転を図るために、国際的に整合のとれた個人情報に係る制度を促進する方法としての枠組みを構築するための措置を講ずることとする。
個人情報保護委員会は、個人情報保護法を所管する機関として、外国から移転される個人情報の適正な取扱いを確保する観点から、法第6条に基づき、日本と当該外国との間の制度及び運用の差異を埋めるために必要な措置を講ずる権限を有している。個人情報保護委員会は、必要に応じ、法及び政令で規定された規律(例えば、要配慮個人情報や保有個人データの定義に係る規律等)を補完し上回る、拘束力のある規律、すなわち、国内の個人情報取扱事業者に対して執行可能な、より厳格な規律を設けることを含め、一層の個人情報の保護を行う権限を有している。
また、個人情報保護委員会は、当該外国当局との執行協力及び法制度の理解に関する対話を行うこととする。
(4) 個人情報の保護及び円滑な流通を確保するための国際的な取組
また、個人情報保護委員会は、情報通信技術の進展や個人情報を含むデータの国境を越えた流通の増大を受け、法第75条の趣旨を踏まえ、必要に応じて海外執行当局と連携し、国内にある者に対して物品や役務の提供を行う外国事業者における個人情報の適正な取扱いを確保するため、適切な対応を行うものとする。
**************************************************************
(筆者注1) GDPR第32条( 取扱いの安全性)の訳文は、以下のURL37頁以下を参照されたい。
https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf
(筆者注2) わが国の情報保護委員会のHPで見ると、EU市民からの直接的な苦情受付に該当する箇所がない。欧州委員会などとの協議の段階でこの点はどのように解決したのであろうか。同委員会の英語版の解説を見ても「Mediation of Complaints」とあるが、あくまで”Complaint Mediation Line for MY NUMBER”である。
(筆者注3) The GDPR came into effect on 25 May 2018. As an EU Regulation, it will be directly effective in each EU Member State, but all Memnting lber States are expected to pass national implemenber States are expected to pass national implemeting legislation.
(筆者注4) EDPSの具体的な任務は,EUの行政機関が個人データを処理する際の個人データとプライバシーの保護の監視,EU行政機関に対する個人データ処理に関する助言,個人データ保護に影響を及ぼす新たな技術の監視,EU司法裁判所における専門的意見の提供のための介入,国の監督機関との協力である。なお,GDPR適用後は,EDPSに「欧州データ保護会議(EDPB)」の事務局が置かれることとなる。
(筆者注5) 1月24日、欧州データ保護会議(「EDPB」)は、EU-USの プライバシーシールドに関する第2回年次レビューに関する報告書を採択した。 報告書に付随するプレスリリースで、EDPBは、特に最近の恒久的なオンブズマンの任命を含む、プライバシーシールドを実施するためのEUおよび米国当局による努力を歓迎した。 しかし、EDPBはまた、プライバシーシールドの実施に関して一定の懸念が残っていることにも留意した。以下略すが、詳細は1月28日付けの”Inside Pribacy”blog を参照されたい。
(筆者注6) わが国の情報保護法の法執行に関する規程が、法第42条だとすれば法第42条は「勧告及び命令」にかかる規定であり、EU加盟国のような市民からの申し立ての基づく制裁金制度がない点はきわめて運用の厳格性につき疑問が残る。
***************************************************************
Copyright © 2006-2019 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.