Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

連邦主要行政機関の機能不全手前のトランプ政権

2019-02-23 17:07:05 | 国家の内部統制

 Last Updated:Feburary 23, 2019

 2月18日付の朝日新聞(ワシントン特派員)は、昨年12月米国の次期国連大使としてトランプ大統領から指名(筆者注1)されていたヘザー・ナウアート(Heather Nauert)国務省首席報道官が就任を辞退したという記事が大きく掲載された。

 この記事の取材元は、米国メデイアに基づくものと思われるが筆者が毎日国務省のプレスリリースを読んでいたことと大いに関係する重大な政権問題である。すなわち、ナウアート報道官のプレス・ブリーフィングン内容、話し方等もとメディア出身だけあって国務省の個々の外交問題につきタイムリーに姿勢が明確に理解できたのである。

 簡単に負うと彼女は、国務省の長官以上に国務省の「顔」であった気がする。また重任を負いつつ10歳と8歳の2人の男の子(筆者注2)を育てたキャリアウーマンの典型と感じたのは筆者だけであるまい。

 しかし、国連大使なると話は別である。前任のニッキー・ヘイリー氏(Nikki Haley)(筆者注3)がサウスカロライナ州知事、下院議員から国連大使になったことと比較して修羅場である国際舞台の場で十二分な活動ができるのか、疑問を持ったのは米国のメディアだけではあるまい。

 彼女の国連大使の就任辞退の本当の理由は筆者もよくわからない。筆者が重要視するのは国連大使の重責を負うべき人物の任命が共和党が多数を占める上院の中でも順調に承認されないとなること自体が大問題と考える。

 また、今回あまり大きく取り上げられていないが、2月14日第85代司法長官としてウイリアム・P・バー(William Pelham Barr (1950年5月23日生まれ)氏の上院での承認、宣誓による就任も重要な問題である。バー長官は1991年から1993年までジョージ・H・W大統領のもとで第77回米国司法長官を務めていたため、今回は2度目の司法長官への就任となる。バー氏はまた、1990年から1991年までは法務副長官、1989年から1990年までは法務顧問弁護士補佐官も務めた。金融機関、公民権、独占禁止法の合併ガイドラインなど、さまざまな分野で新しい執行ポリシーを確立する責任を負っていた。

 筆者がここで問題視するのは、このようなトランプ政権幹部の人事の停滞や連邦機関の一時閉鎖問題ではない。開かれた米国連邦行政府の在り方である。

 このようなトランプ政権の混乱の中で大統領は2月22日にまたして国連大使の第二番目の候補をツイートした。現カナダ大使であるケリー・ナイト・クラフト(Kelly Knight Craft)である。彼女の3回目の配偶者の夫(Joseph W. Craft III)は、米国東部で2番目に大きい石炭生産企業である”Alliance Resource Partners、L.P”の億万長者(筆者注5)の炭鉱経営者である。

 彼女は夫も含め米国議会上院の長老等の友人も多く、また国務省のサイトで見ると、地域社会奉仕と教育の向上をキャリアの礎としてきたリーダー、起業家、そして慈善家と書かれている。カナダ大使時代、彼女はアメリカ - メキシコ - カナダ間の貿易協定、北米自由貿易協定の改訂を促進することにおいて役割を果たしたとある。

 また、米国メディアによると彼女は内閣としてのポストを要求していないとも記されている。

 いずれにしても国連という場でいかほどの手腕を機能させるのかを注視したい。

1.国務省のプレス・ブリーフィングの開催状況とその中身

(1) プレス・ブリーフィングの開催状況

 以下の述べるとおり、昨年11月以降国務省のプレス・ブリーフィングはほとんど行われていない。ナウアート時代は週2回ベースで行われていたし、丁寧に精査・推敲された原稿の内容、直近の重要テーマの取り上げ方、そこでの記者とのやりとりはトランプ大統領のツイートよりよほどよくできていた。

 この点は、以下のナウアート氏のブリーフィング例をよく吟味されたい。

20187月3日のブリーフィングを見ておく。

(2) 国務省のプレスブリーフィング回数の大幅減と首席報道官は今、誰?

 昨年9月以降の開催回数は大きく減り、副報道官( Robert Palladino:Deputy Spokesperson)が時たま代行するのみである。

また、国務省のサイトで見ても首席報道官はナウアート氏のままである。もしかすると、彼女は再度、首席報道官の任務に戻ってくるのかもしれない。

〇大幅に減った国務省のブリーフィング回数

2018年8月の実績

2018年12月の実績

 2.わが国の内閣官房長官の記者会見との比較

 わが国で米国務省のプレスブリーフィングに該当するものは、内閣官房長官の記者会見であろう。政府インターネットテレビで見れるし、閣議の概要は印刷も可であるが、官房長官の冒頭発言のない場合は閲覧者は動画で長官発言を繰り返し確認するしかない。

 

 一方、米国務省のプレスブ・リーフィングは前述の2月7日付の国務省サイトにあるとおり、必ず”TRANSCRIPT”(公式記録)がある。

 この問題は公文書の重要性の認識の日米比較を行う上で基本的な問題といえよう。

**********************************************************

(筆者注1) 2018年12月7日のトランプ大統領のツイート

(筆者注2) Nikki Haley氏の国連大使の退任のあいさつツイート(2019年1月1日)

(筆者注3) ナウアート氏は家族の写真を積極的に出すタイプではない。母の顔として貴重な写真である。

 (筆者注4) Kelly Knight Craft氏の写真

(筆者注5) Joseph W. Craft III氏は2012年Forbesの米国の億万長者400人の1人であった。Net worthが14億ドル(約154億円)とある。

    ***************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

 

 

 

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

欧州委員会のGDPR施行後の適用状況”infographic”、仮名化やわが国の匿名加工情報およびCCTVの設置等に関するガイダンス問題

2019-02-14 14:31:39 | 個人情報保護法制

 2月1日付けのHunton Andrews Kurth LLPのブログが興味深い記事を載せていた。「欧州委員会がGDPR施行後のEU域内における適用状況を数字で見る”GDPR infographic”を発行」というものである。

 インフォグラフィック(筆者注1)を使ったGDPRの啓蒙サイトはEU加盟国でも普及し始めている。公的機関でいえば、例えば、欧州委員会の「GDPRの中小・零細事業者向け一般的解説:Data protection :Better rules for small business」 (筆者注2)、アイルランドのDPA(Coimisiún Cosanta Sonraí)の[GDPR Infografic] 欧州連合理事会の[GDPR Infografic」などがあげられる。

 本ブログは第1編で欧州委員会のInfograficを仮訳するが、その内容は決して十分な説明とはいいがたい。したがって、筆者なりの集めた情報やリンク情報を追加するものである。なお、一部の情報はすでに筆者のブログで概要を取り上げている。

 第2編は、わが国では本格的に論じられていない、(1)EU加盟国のマーケティング活動や医療活動における匿名化、仮名化さらにはわが国の匿名加工情報の在り方等、(2)CCTV(ドライブレコーダー)の設置と運用等に関する的確なガイダンスの内容について例示的に解説を試みる。

 1.欧州委員会の「インフォグラフィック」の内容

 GDPRが2018年5月25日に施行されて以来、そのフォローを目的として2019年1月25日に欧州委員会(以下「委員会」)は、EUの「一般データ保護規則(GDPR)の遵守および執行および認識に関する「インフォグラフィック」を発行し、以下の最新情報を明らかにした。

(1) GDPRに基づくEU市民からの苦情件数と内容

① GDPRに基づき、95,180件の苦情がEU各国のデータ保護当局(DPA)に提出された。ほとんどの苦情は、CCTVカメラの使用とダイレクトマーケティング活動(テレマーケティングおよび宣伝用Eメール)に関連している。

② 41,502件のデータ侵害の苦情がDPAに通知されている。

③ DPAは、EUの国境を越えたデータ処理活動に関連して255件の調査を開始したが、そのほとんどは個々の国民の苦情に従ったものである。

(2) GDPR施行後で見てEU域内でこれまでに3件の罰金処分 

1) 2018年9月12日、オーストリアのDPA(DSB) (筆者注3) (筆者注4)は、違法なビデオ監視を行ったことを理由にスポーツ・ベッティング・カフェに計4,800ユーロ(約595,200円)の罰金を課した。2)2018年11月21日、ドイツのバーデンヴュルテンベルク州のDPA(Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-WürttembergLfDI) (筆者注5)は、ユーザーの個人データの保護に関し不十分であったとして、ソーシャルネットワーク事業者に2万ユーロ(約248万円)の罰金を課した。3) 2019年1月21日、フランスのDPA(CNIL) は 、GDPRの透明性、通知および同意の要件に対する違反を理由に、5,000万ユーロ(約63億円)の罰金をGoogleに課した。

 なお、筆者が調べた範囲で以下、追加する。GDPR施行前の事案であるが、オランダ監督当局(Autoriteit Persoonsgegevens:AP)は2018年11月”UberB.V.(USV)”および ”Uber Technologies,Inc(UTI)”に対し合計60万ユーロ(約7,440万円)の罰金を課した。また、2018年7月、ポルトガルのDPA(「CNPD」)は、患者データへの不正アクセスを防止できなかったことを理由に、Hospital do Barreiro病院に40万ユーロ(約4,960万円)の罰金を課した。

 23 ヵ国のEU加盟国は現在、自国の国内法をGDPRに適合させている。また、5ヵ国(ブルガリア、ギリシャ、スロベニア、ポルトガル、チェコ共和国)は、まだGDPRの国内法化を準備中である。なお、国際プライバシープロフェッショナル協会(IAPP)がまとめたGDPRの国内法化一覧「EU Member State GDPR Implementation Laws and Drafts」Alston & Bird LLPの「”GDPR TRACKER”:”EEA country GDPR Implementation”」等はGDPRの規定と国内法との比較を国別に極めて詳細な解析を行っている。筆者自身が解析中であり、別途取りまとめる予定である。

2.GDPRの運用や解釈をめぐるわが国の企業活動やCCTV等市民監視の在り方

 本ブログでは時間の関係で詳しくは論じないが、EU加盟国のGDPRの解釈や運用を見る限り、従来どおりで良いか気になる課題は多い。今回は、例示的に2つの課題を取り上げる。

(1)EU加盟国のマーケティング活動や医療活動における匿名化(Anonymisation)、仮名化(Pseudonymisation)さらにはわが国の匿名加工情報の在り方等

A.EUにおける匿名化、仮名化の一般的な解説およびGDPRの解釈問題

 一般的な解説としては、「GDPR 匿名化 仮名化:どこが違うの?」

三宅法律事務所「EU一般データ保護規則(GD5R)(第2回):用語について 」「EY Japan」の解説 (筆者注6)が具体例を加えてあり比較的にわかりやすい。

 まず、「匿名化」「仮名化」の定義を正確に理解しておく必要がある。富士通研究所の論文「パーソナルデータの安心・安全な利活用を支えるプライバシー保護技術」が図解入りでわかりやすく説明しているので該当箇所を抜粋、引用する。なお、法令へのリンクは筆者が独自に行った。

仮名化は,実名を仮名に置き換えることで個人特定を防ぐ手法である(図-1)。この手法は,「田中」という氏名が「ID23052」に置き換わるため,仮名化後も同一人物を追跡できるところが利点であるが,性別,年齢などの属性の組み合わせから,個人が特定されてしまう危険がある。例えば図-1の場合,「男性,103歳」に該当する個人が「田中平助」さんであることを知っている人には,どのレコードが田中さんに対応するか特定できてしまう。

k-匿名化は,組み合わせによって個人特定が可能となる属性を準識別子として定義し,同一の準識別子の組み合わせが必ずk人以上存在するようにデータを加工する手法である。図-2は,k=2,準識別子を性別,年齢と定義した例で,性別,年齢が同じ組み合わせの人が二人以上となり,どのレコードが田中さんであるかを特定できないようにしている。k-匿名化は,組み合わせによって個人特定が可能となる属性を準識別子として定義し,同一の準識別子の組み合わせが必ずk人以上存在するようにデータを加工する手法である。図-2は,k=2,準識別子を性別,年齢と定義した例で,性別,年齢が同じ組み合わせの人が二人以上となり,どのレコードが田中さんであるかを特定できないようにしている。

 ところでさらにわが国の2015年「改正個人情報保護法」では,パーソナルデータを匿名加工することにより、一定の制約のもとで、本人の同意がない場合でも第三者提供が認められるようになった。この「匿名加工情報」は,特定の個人を識別できず、かつ復元が不可能となるように加工された情報である。

 第三者に匿名加工情報を提供するに当たっては,匿名加工基準を満たした加工を行う必要がある。匿名加工基準は,個人情報保護法施行規則の第19条に定義されている。この規則に対するガイドライン「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」が個人情報保護委員会から公開されている。(筆者注7)

(2)CCTVの設置と運用等に関する的確なガイダンスの内容とは?

(A) わが国でまず引用されるのが経済産業省・総務省の「カメラ画像利活用ガイドブック」(平成29年1月ver1.0 IoT推進コンソーシアム総務省・経済産業省)、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(平成29年2月16日(平成30年7月20日更新)Q1-11、Q1-12)であろう。しかし、特に後者については、その内容はEUの情報保護機関(DPA)の基準をクリアできるとは思えない。

 また、前者についても一部で詳細な内容がある一方で最近話題になっているドライブレコーダやタクシー内部の監視カメラの法適用ガイドラインについては、全く言及していない。

(B)市町村レベルの遵守ガイドライン

 比較する意味で、札幌市、大阪市や相模原市(筆者注8)のガイドラインを参照してみた。ここでは、札幌市のガイドラインを抜粋、引用する。(筆者注3)~(筆者注5)で引用したようなEU加盟国のDPAの行政罰処分の適用の有無の判断にとって有用な内容と考えられよう。

更新日:2018年3月15日「札幌市防犯カメラの設置及び運用に関するガイドライン」

1)ガイドラインの対象となるカメラ及び画像

以下の3つの要件すべてに該当するカメラ

①不特定多数の者が利用する施設や場所に継続的に設置するカメラ

②施設管理、事故防止、防火・防災の予防を目的として設置するカメラ

③画像記録機能を備えているカメラ

2)設置目的の明確化及び撮影の範囲

3)管理及び運用の体制(防犯カメラ及び画像の適正な管理及び運用に係る責任者(以下「管理責任者」といいます。)を指定します。※管理責任者とは、防犯カメラ設置店舗の店長や警備責任者など、防犯上必要な業務を適切に遂行できる地位にあり、防犯カメラ及び画像の管理運用を行う者をいいます。

設置者又は管理責任者は、必要があると判断する場合には、防犯カメラの操作及び画像の取扱いを行う担当者(以下「操作担当者」といいます。)を指定し、それ以外の者による操作及び取扱いを禁止します。)

4)設置自体の表示

5)画像の適正な管理(画像記録装置の設置場所)

〇防犯カメラの画像記録装置は、施錠可能な事務室内など、一般の者が出入りできない場所に設置します。

〇画像の保管

画像を記録した媒体は、施錠可能な事務室内、事務室内の施錠可能な保管庫内などで保管します。

〇画像の保存期間

画像の保存期間は、原則として1ヶ月以内とし、保存期間を経過した画像は、速やかに消去します。)

6)画像の適正な利用

以下の5つの場合に限り、例外的に画像を目的以外に利用し、又は提供することができることとします。1から5のいずれかに該当する場合、設置者は、理由・日時・提供した相手先など、管理上必要な事項を記録しておきます。

〇法令に基づく手続により照会等を受けた場合

〇捜査機関から犯罪捜査の目的により要請を受けた場合。ただし、捜査機関が画像の提出を求める場合は文書による。

※個人に関する情報であることから、提出にあたっては、より慎重を期すべきであり、提出先等の記録を明確に残しておけるよう、文書(刑訴法197-2に基づく捜査関係事項照会書等)による依頼に基づくことが適当です。

〇個人の生命、身体又は財産の安全を守るため、緊急かつやむを得ない場合

(例)行方不明者の安否確認、災害発生時に被害状況を情報提供する場合など。

〇本人の同意がある場合

〇本人の請求に基づき、本人に提供する場合

7)苦情に対する迅速かつ適切な処理

(C)タクシーの顧客向け監視カメラ(ドライブレコーダー」)の設置ガイドライン

 平成28年12月1日付けで国土交通省自動車局安全政策課長 旅客課長名による 公益社団法人日本バス協会会長殿・一般社団法人全国ハイヤー・タクシー連合会会長殿・一般社団法人全国個人タクシー協会会長殿宛て通達「ドライブレコーダーの映像の適切な管理の徹底について:ドライブレコーダーの映像に関しては、乗客のプライバシーを十分に配慮した上で、社内規程の作成を含め適切な管理を徹底するよう、貴会傘下会員に対し改めて周知されたい。」を行った。これだけである。

 一方、東京都個人タクシー協会「車内防犯カメラ設置及び運用基準」の内容は、比較的に前述の防犯カメラのガイドラインの内容に即したものであり、参考になろう。

(D)個人があおり運転対策として設置するドライブレコーダの情報保護法上の遵守ガイドラインとは?

 ドイツではドライブレコーダーの情報保護法や著作権法に違反するとして証拠能力が否定されている。(筆者注9) わが国の解釈について筆者はあらためて調べたいが、特に撮影した内容をSNSなど広く第三者に公開するとなると肖像権やプライバシー侵害の問題は依然残ると考えるべきであろう。

*****************************************************************:

(筆者注1) インフォグラフィック(英語: infographics)は、情報、データ、知識を視覚的に表現したものである。インフォグラフィックは情報を素早く簡単に表現したい場面で用いられ、標識、地図、報道、技術文書、教育などの形で使われている。また、計算機科学や数学、統計学においても、概念的情報を分かりやすく表現するツールとしてよく用いられる。科学的情報の可視化にも広く適用される。(Wikipdiaから抜粋)

(筆者注2) ここではgdprの附則(ANNEX)にある中小・零細事業者の定義等には言及していない。筆者は別途オランダ法務省の法律訳作業を進めているが、そこで言及する予定である。

(筆者注3) EDPBのリリース要約記事「First Austrian Fine: CCTV Coverage - Summary 」を以下、仮訳する。

2018年9月12日に、オーストリアのDPAは、GDPRとオーストリアのデータ保護法の侵害について、最初の行政上の罰則を決定した。

 オーストリアのDPAは、画像処理システムにつきGDPR第4条7 項のビデオ監視における管理者(コントローラー)の意味の範囲内で、コントローラーとしてスポーツ賭博カフェを経営している有限責任会社に罰金を課した。対象となるカメラは少なくとも2018年3月22日以来使用されている。

 同コントローラーはDGPR第5条1項a. C, 第6条およびオーストリアのデータ保護法(DSG)のいくつかの規定に違反した。これらの管理上の違反により、管理責任者としての有限責任会社は、総額4,800ユーロ(約595,200円)の罰金が課された。

 保護法の侵害につきDPAは次のように言及している。1)ビデオ監視システムは公共の通りだけでなく、駐車場、スポーツ賭博カフェの入り口の前に公共のエリアの一部までをカバーしている。これは処理の目的にとって十分でなくまた必要な範囲に限定されない違法性を示す。2) コントローラーはビデオ監視処理操作のログを保持していない。3)ビデオ監視によって記録された個人画像データはオーストリアのデータ保護法で定められているように72時間以内に削除されず、この点に関して処理のための個別のログもなく、長期間の保存理由もない。それに加えて、4)コントローラーは撮影された地域はCCTV監視についての十分な説明看板を掲示していない。

 コントローラーは、この決定に対して連邦行政裁判所に苦情を申し立てた。

(筆者注4) オーストリアのDPA(DSB)によって発行された最高の罰金(日付:31.12.2018)は、4,800ユーロ(事業所における違法なCCTVビデオ監視:違法性の理由は次の通り。

公共スペースでの撮影、2)CCTV使用の指示表示がない、3)長すぎる撮影データの保管時間、4)処理操作のログ記録がない、5)匿名化の欠如、さらに6)ダッシュボードと自分の車の後部に取り付けられたドライブレコーダー(Dash-Cams)による道路交通の撮影でさえ、運転手にとって罰金につながった。まだ最終決定ではない決定(DSB-D550.038 / 0003-DSB / 2018)入手可能)。

なお、起業家の年間収入を考慮して、オーストリアのDPAは違法なビデオ監視活動に対して4,800ユーロの罰金を課した(オーストラリアのDPAの命令文の一部引用して仮訳した)。

(筆者注5) チャット・プラットフォームの約33万人のユーザーの個人データが侵害され、2018年9月にハッカーによってデータが公開された。データ漏えいに関する通知の一環として、プロバイダーはユーザーのパスワードが暗号化されていない形式で保存されていることを明らかにした。ドイツのバーデンヴュルテンベルク州のデータ保護当局(DPA)は、これを適切な安全対策を実施する義務の違反があったとみなし(GDPR第32条:Security of processing)、やや控えめな2万ユーロの罰金を課した。

 課される罰金の額を決定する際、DPAは特にプラットフォーム・プロバイダーが以下のことを考慮した。

•① 義務違反ん事実をDPAおよびデータ主体に法が定める期限内に通知した。

•② DPAに全面的に協力した

•③ データセキュリティの実装レベルを向上させる方法に関するDPAの勧告に迅速に従った.(2018.12.19 Baker Mckenzie LLPの解説記事仮訳した)。

(筆者注6) 「EY Japan」の解説が具体例を加えてあり比較的にわかりやすい。以下で、引用する。

「仮名化(Pseudonymisation)とは、個人を特定できる追加情報とは別に保管され、かつ技術的および組織的対策により、追加情報なしでは個人を特定できないように個人データを処理することを言います(GDPR第4条(5))。たとえば、ポイントカードの利用者の情報は、カードID、氏名、連絡先、生年月日を保有していますが、カードID以外の情報を削除して、カードIDのみを残した場合、これを仮名化といいます。仮名化されたデータは、それ単独では個人を特定できませんが、追加情報を使用すれば個人を特定できることから、仮名化されたデータは、個人データとして取り扱われます。

一方、匿名化(Anonymisation)は、特定の個人を識別できないように個人データを復元不可能な状態に加工することを言います。たとえば、小売店はポイントカードから顧客の売り上げデータを収集していますが、このデータを匿名加工して、商品メーカに提供しています。いつどの店でどんな商品を購入したのか、購買活動データから個人が識別できる情報を除外し、復元不可能な状態である場合、これを匿名化といいます。匿名化データは個人データに該当しないことから、GDPRの適用対象外となります(GDPR前文26項))」

(筆者注7) 2017年2月 個人情報保護委員会事務局レポート「匿名加工情報パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」参照。

(筆者注8) この2つの市のガイダンスを引用したのは内容的に見て充足していると判断したからである。

(筆者注9) ブログ「個人情報の侵害に?ドライブレコーダーに関する議論高まる」でドイツの裁判所の以下の判決例が紹介されている。

証拠品としては無効。ドイツの「法」という存在

しかし、ミュンヘンの裁判局は「レコーダーで撮影したビデオは証拠品にはならない」と、車載カメラのレコーディングの有効性を否定しました。その理由として挙げられたのは、「特定の理由がないまま交通を継続的に監視及び録画するという行為は個人情報保護法と著作権侵害に触れる」とのことでした。

つまり、映っている人・モノに対して許可をなく撮影することは、プライバシー侵害であるということ。確かに、ドライブレコーダーというものは運転している間は事故があろうとなかろうと断続的に撮影をしているわけです。事故というのは予想できないからこそ、こういったものが役に立つわけですが、「密かに撮影する」というのは、個人法やこの情報に対する自己決定権を著しく侵害するものであると、ドイツはNOサインを出しました。

****************************************************************************************************:

Copyright © 2006-2019 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

イタリアGaranteが違法なテレマーケティング行為を理由に”Wind Tre”に60万ユーロの罰金命令を下す

2019-02-08 15:23:39 | 個人情報保護法制

 さる2月5日付け筆者ブログで、イタリアの情報保護機関GPDP(Il Garante per la protezione dei dati personali :Garante)はEU「一般データ保護規則(GDPR)」の国内法準拠の観点から「イタリアの移動体通信事業者である「H3G」の子会社である同国の移動体通信事業者(MNO〔mobile network operator〕「 Wind Tre S.p.A(以下,Wind Treという)」 (筆者注)は、迷惑ビジネス通知を止めさせるべく、電話や販売促進目的のSMS(promotional sms)を管理するうえでの合併後の手順を見直す必要がある。この措置に伴い、自由意思によりかつ有効な同意を表明していない主体の個人データをマーケティング目的で使用することはできない」という警告を行った点を述べた。

 これを受けたGPDPの具体的な法執行命令が2019年2月7日にWind Treに下した旨リリースした。その内容は、テキストメッセージによるものを含む電話マーケティング活動の過程における個人データの保護に関する法律の重大な違反に対し、60万ユーロ(約7,440万円)の罰金の支払い命令を下したというものである。

 今回のブログは、GPDPサイトの2月7日のリリース内容を仮訳するとともに、その違法性判断の根拠等について解説部分を引用するものである。

1.Garanteが明らかにした違法性の根拠

 この制裁処分は、新しいEUのDGPRが2018525日に発効する前に採択された措置の後に行われたものであるが、Garanteは、多数の報告に基づいて、電話会社によって行われたマーケティング目的でのそのようなデータのさらなる使用を行ったとする顧客データの違法な取り扱いの事実の存在を宣言した。Wind Treは、実際には販売促進の目的で「同意なし」に顧客データを使用しており、常に「同意なし」にそれらを商業パートナーのネットワークに伝達していた。ここでいう違法な取り扱いは主に次の2つの違反行為に由来する。

 1つ目は、信用情報機関において存在していた、会社が保有している広告目的での連絡を希望しない人のリスト(「ブラック・リスト」)を検証しなかった点である。

 2つ目は、第三者つまり正確にはビジネスパートナーへの体系的で長期にわたる不法な顧客データの通信に依存していた点である。事実、同社は販売時点(POS)情報の大部分をデータ管理者としてではなく、独立した保有者として誤って認定していたため、不正な通信が行われていた点である。

 今回の制裁金の算出額を定義する際に、Garante当局は、さまざまなコンタクトチャネル(電話、テキストメッセージ)が宣伝キャンペーンの侵入を急激に増加させて使用されているという事実など、問題となる事実の重大性を考慮に入れた。なお、Garaneは Wind Treが、禁止措置の採択前に重大な問題を排除するための自律的なイニシアチブを実施したことや、その後、EU規制(GDPR)によって導入された変化に適応するためにさらに強化されたという事実には好意的でである。

2.イタリアの制裁金の支払い規定及び一般裁判所への反訴手続き

 当該罰金命令の通知から30日以内に、添付の書類に記載されている手続に従って、60万ユーロの合計額を支払うことである。

 また、被告たるデータ管理者は命令の伝達の日から30日以内(海外に居住している場合は60日以内)に、データ管理者が居住する場所の通常の裁判所に反訴を提案することができる。

 なお、GPDPによるとWnd Treは定められた期限内に罰金を支払い始めたとある。

****************************************************************

 (筆者注) 香港特別行政区のCK Hutchison Holdings (長江和記実業)とオランダのVimpelComはイタリアにおける移動体通信事業者を統合した。

CK Hutchison Holdingsは3 Italiaブランドを展開するH3Gを通じて、VimpelComはWind Telecomunicazioniを通じてイタリアで移動体通信事業を手掛けていた。

H3Gを存続会社とする吸収合併方式でH3GとWind Telecomunicazioniの合併を完了し、合併後の会社をCK Hutchison HoldingsとVimpelComの合弁会社としてイタリアで移動体通信事業を継続する。

合弁会社は2016年12月31日より正式に発足しており、正式社名をWind Tre S.p.A.に変更している(Blog of Mobile記事から一部抜粋)

********************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

イタリア個人情報保護庁(del Garante per la protezione dei dati personali :Garante)の最近のトピックスを読む

2019-02-05 17:51:17 | 個人情報保護法制

Last Updated:Feburary 2,2019

 筆者の手元にイタリア個人情報保護庁(以下、Garante)から新しいニュースが届いた。筆者のつたない語学力でどこまで正確に仮訳できるか自信はないが、あえてこの機会にEU加盟国でフランスやドイツと異なるイタリアが抱える3つの現下の情報保護面の課題を取り上げる。

 わが国でイタリアの情報保護法制度につき詳しいものとしては、総務省の委託研究「EU各国における個人情報保護制度に関する調査研究報告書」(平成30年3月29日)があり、また、GDPRの国内法化については、駒澤綜合法律事務所 IT LAW「イタリアのGDPRと国内法の統合」があるが、その他GPDPサイトの英語版も含め詳しい解説は残念ながら皆無に等しい。

 また、これら2つの報告書はイタリアの情報保護法制を体系的に見た予備知識がないとチンプンカンプンにならざるを得ないし、イタリアの監督機関の現下の関心テーマが浮かび上がってこない。従って、本ブログの後半でDPDPサイトに基づき、(1)GPDPの組織や任務の概要、(2)法律、行動規範、雇用関係等における機微情報等の処理にかかる一般的承認事項、(3)第三国への情報のフローにかかる一般的承認事項、(4)イタリア個人データ保護法典の構成とGDPRの国内法化統合等を概略説明するとともに、これまでのDPDPの主な決定事項に関するリンク情報にも言及する。

 なお、本ブログは2018年7月に一度掲載したが、その後の情報等を追加して再度、掲載する。

1.Garanteの最新トピックス

 6月21日Garanteニュースを引用、仮訳する。なお、Garanteの解説には個別に原データへのリンクが張られているが、本ブログでは略す。 

(1) Garanteはイタリア移動体通信事業者の合併時の迷惑テレマーケティングの在り方 :データ主体の同意なしにデータの処理を禁止する 

  イタリアの移動体通信事業者である「H3G」の子会社である同国の移動体通信事業者(MNO〔mobile network operator〕「 Wind Tre」 (筆者注1)は、迷惑ビジネス通知を止めさせるべく、電話や販売促進目的のSMS(promotional sms)を管理するうえでの合併後の手順を見直す必要がある。この措置に伴い、自由意思によりかつ有効な同意を表明していない主体の個人データをマーケティング目的で使用することはできない。これが、企業の商用ネットワークによって引き起こされた攪乱に対して抗議した多数のユーザーの報告書から引用することによって開始したGaranteの検査の終了時に、Garanteが採用した決定である。 

 Garanteが、イタリア財務警察( Guardia di Finanza)  (筆者注2)の協力を得て2016年に開始した調査では、異議を申し立てる権利の行使よりも遅れてビジネスコンタクトを受け取るなど、複数の法違反があることが確認された。ユーザーからの苦情に直面して、移動体通信会社は特定できない技術的問題を引用することによってしばしば当該行為を正当化してきた。  

 移動体通信事業者が行うデータ保護主体のプロファイル(筆者注3)に関して、特に商用ネットワークに関してガバナンスを構築しているという形で重大な欠点も出てきている。”H3G”は、パートナーが連絡を取った顧客のデータ管理者であるにもかかわらず、販売店の大部分を独立した所有者として誤認していた。また”H3G” は、マーケティング目的で既にデータの処理に反対していた人々の販売促進キャンペーンにパートナーが数字を挿入するのを防ぐ除外リスト(いわゆるブラックリスト)を設定していない。  

  Garanteは、検出された不正性に照らして、ユーザが自身の表現にもとづく有効かつ予防的同意がない場合、”Wind Tre”がマーケティング目的で個人データをさらに処理することを禁止している。また、プライバシーに関する法律、特に設計による公平性とプライバシーの原則に完全に準拠するための重要な技術的および組織的措置の採択を規定している。

  したがって、移動体通信事業会社は、ビジネスパートナーが宣伝連絡先を進める前に相談しなければならない除外リストを作成する必要がある。 これらのリストは、販売促進キャンペーンに参加しているパートナーと即座に更新し、毎日共有する必要がある。 電話や宣伝用のSMSに異議をとなえるユーザーは、苦情申し立ての際に使用できるユニークな確認コードを通知される必要がある。利害関係者に対するより面倒な権利行使を制限するか、またはそれを必然的に伴う行為は、排除されねばならない。  

 Garanteは、既に明白となった行政違反に挑戦するために、自主的な制裁手続を立ち上げた。  

(2) 列車内等でのボディ・カメラの装備使用:はい、撮影された人のプライバシー権は尊重されねばならない 

 公共輸送会社は、警備員や船長等に身体装填式カメラを装備して、近年増加している盗難や破壊を防ぐことができる。しかし、プライバシーが失われた人々のプライバシーを守るための適格な措置が講じられなければならない。  

 実験プロジェクトに認可を与えるために、プライバシー監督機関は、1)古い時期に建設された列車にカメラを設置する技術的な不可能性、2)多数のサービス利用者に対する特定のセキュリティ目的、3)企業資産の保護の目的等を考慮した。 しかし、監督当局は従業員とユーザーを保証するための一連の予防措置を定めている。  カメラは常にスイッチ・オンになるわけではなく、人や物に対し真に危険がある場合にのみキャプテンやセキュリティスタッフによって起動される。この場合、カメラの赤色のLEDが点灯する。  

 カメラ装置はリアルタイムで指令室に画像を送信する。撮影者は、それらを修正したり、削除したり、複製することはできない。明確に許可された異なる撮影者だけが、収集された画像が真に危険な事実に関係することを確認した場合のみ、可能な抽出を廃棄処分することができる。 これら一連の活動は追跡する必要がある。  

 また、公共運送会社はビデオ撮影されることに「弱者」たるデータ主体(目撃者、犯罪の被害者、未成年者など)が関与する場合には、装置の起動方法や装置の起動を正当化する特定の条件を規制する、あるいは特定の秘密保持の期待を持つ場所(トイレなど)では再開させることができる。  

 許可された一定の当事者のみがアクセスできる収集された画像は、暗号化された形式で保存され、司法機関による調査と評価が必要な場合は、1週間の予定期間が経過すると自動的かつ不可逆的に削除する必要がある。  

 公共運送会社は必要としないオーディオ機能を無効にしなければならず、保険会社へ撮影の通信する場合、関与していない人々のイメージ画像をぼかさなければならない。  

  また、モバイル・ビデオ監視システムとその機能の存在をユーザーに警告するために、車に搭載された適切なコミュニケーションツールが必要となる。  

 さらに公共運送会社はボディ・カメラの使用について従業員に適切な情報を提供しなければならないし、また、労働者への遠隔制御の禁止規定を尊重し、労働組合との特別協定に署名することに尽力せねばならない。  

(3) マーケティング:同意を含むポップアップを停止  

 イタリア情報保護庁(Garante)は、ウェブサイト(住宅ローン、保険、光、ガス、電話)上で比較サービスを提供する会社が、マーケティングおよび販売目的で、他の企業に、ポップアップで収集されたデータをユーザーからの必要な同意を得ずに行うことを禁止する。Garanteの介入は、具体的ケースすなわち、エネルギーや通信会社が同じ会社が電話または電子メールで受け取った必要としない販売促進・コミュニケーション、またはセクター内の企業に代わって行われた固定電話およびモバイル・ユーザーの欲しない迷惑宣伝行為に直接介入する。 

 イタリア財務警察のプライバシー保護特別ユニットの助けを借りてGaranteが実施した査察では、ユーザーが1つの同意をもってサービスを受け入れなかった場合、ポップアップが提供されるサービスへのアクセスを許可していないことが確認された異なる目的(マーケティングまたは第三者とのデータ通信を含む)のためのデータの存在が判明した。 

   データ主体の同意を欠くテキストボックスに入力する場合、ウェブサイトは入力されたデータを取得せず、要求を処理することを許されなかった。したがって、たとえ開示がデータ処理のさまざまな目的を言及したとしても、ユーザーは法律で要求されるように、特定の差別化された同意を表明することができなかった。 ポップアップは、販売促進目的(または他の目的)のためにデータを収集するためになお使用したい場合、ユーザーが許可するかどうか、および許可する目的を自由に選択できるようにする必要がある。  

  禁止措置を取る際に、Garanteは、インフォームド・コンセントの義務に違反して行われた個人データの繰り返しの収集および/または保管は、それ以降の使用の有無にかかわらずデータの不正な取り扱いを示すこととなり、ポップアップで収集されたデータはユーザの要求の実行にのみ使用できる。 

  Garanteは、他の企業が取得したリストから取得したデータの処理も禁止しており、企業はマーケティングや目的のために他の当事者とのコミュニケーションのために自由なデモンストレーションや販売推進につき具体的な同意を示すことができなかった場合の通信を禁じる。  

  さらに、Garanteは、会社に、個人データのリストを転送したすべてのユーザーに、活動に必要な同意を得ずに使用できないことを通知するよう命じた。  

  あきらかとなった違反に対して、会社はすでにイタリア財務警察特別プライバシ―ユニットによって争われている行政上の制裁に対する異議を放棄した。 

   「餌食となった」データの流通や、本人が欲しないテレマーケティングなどの可能性のある不正行為に対抗するため、Garanteは当該企業の商業パートナーをも調査する権利を留保している。  

 2.イタリアGaranteの概要

 イタリアの個人情報保護庁(Garante)の任務を概観する:Garanteはいかなる機関か?

 いうまでもなく“Garante”は個人データの処理に関連して基本的な権利と自由を守り、個人の尊厳を尊重するために設立された独立機関であり、旧データ保護法が施行された1997年に設立された。

 決定機関である委員会は4人の対等の権限を持つ委員による組織で、議会により各7年間の任期で選出される。 当機関はローマに事務局があり、現在、事務局長以下約125人のスタッフがいる。

 イタリアGaranteの対等の権限をもつ委員会は、現在以下の4名で構成されている。

    アントネッロ・ソーロ(Antonello Soro):委員長

    アウグスタ・イアンニーニ(Augusta Iannini ): 副委員長

    ジョヴァンナ・ビアンキ・クレリリ(Giovanna Bianchi Clerici ):委員

    リーチア・カリファーノ(Licia Califano ):委員 

その他、ジョゼッペ・ブージア(Giuseppe Busia)は現在、DPAの事務局長である。

(1) Garanteの任務と法的根拠

 Garanteの任務は、「個人情報保護法典(法令第196/2003(Personal Data Protection Code - Legislat. Decree no.196 of 30 June 2003)」ならびに他の国内およびEUの規制手段に定める。(筆者注4)

 イタリアの個人情報保護法典の適用範囲:法典は国およびその領土内のすべての処理に適用される。 また、イタリア国内にあるPCおよびその他のコンピュータベースのシステム機器を使用する外部組織にも影響を及ぼす。(法典第5条(Section 5 (Subject-Matter and Scope of Application))を参照)。 EU域外の本拠地を置く団体、組織がイタリア領土に関する個人情報を処理している場合、イタリア法典の適用についてはイタリアでの代理人を任命しなければならない。(通知が必要な場合は、Garanteに通知し、かつ情報主体に当該情報の通知を提供する必要がある) 。

 Garanteは、すべての公共および民間セクターにおいて、法律の要求に従ってデータが処理され、個人データが処理されるたびに個人の権利が尊重されることを保証するように努めている。

 Garanteの仕事には以下のものが含まれるが、これに限定されるものではない。

(1) Garanteは、個人データが法令に基づいて処理されていることを確認し、必要に応じて、ルールに従ってデータを処理するためにデータ・コントローラーとデータ・プロセッサーに特別な措置を講じるよう指示する。

(2) Garanteは苦情を処理する。

(3) Garanteは、そのようなデータの性質または処理のメカニズムまたは効果がデータ主体に実質的に影響を及ぼし得る場合、個人データの処理の制限を全面的または部分的に禁止することができる。

(4) データ保護の法律で想定されている対策を講じる。

(5) 適切な場合には、様々な生活の中で特定の法律や規則を通過する必要性につき政府と議会の注目を集める。

(6) Garanteは、議会の前の公聴会を通じて、法律作成活動に関する議論に参加しています。

(7) Garanteは、独自に意見を出すことができる。

(8) Garanteは、自身の活動と現在行われているプライバシー法の施行の年次報告書を作成し、議会と政府に提出する。

(9) EUおよび国際レベルでのデータ保護関連活動に参加し、欧州警察機構(Europol)、Schengen VIS (筆者注5)および同様の情報システムに関する監督および支援活動を実施する。

(10)  Garanteは市民の個人情報保護問題とデータセキュリティ対策の意識を高めさせる。

(11) 市民とステークホルダーの関与を、一般的な申請措置の策定に際して調査結果が考慮されたパブリック・コンサルテーションを通じて求める。

 (2) イタリアの2003年情報保護法典(2003年法律第196号) 及び関係法令、規範

 Garante per la protezione dei dati personali (Garante))サイトのItalian legislationの英語版を仮訳する。(仮訳とともに筆者の責任で関係情報を追加し、附記した)。なお、同法は全体が、1部(一般規定)、2部(特定セクター)、3部(救済及び制裁)と附則A及びBに分かれている。

(ⅰ) 2003年6月30日のイタリアの「個人情報保護法典(政令2003年第196号)」の逐条内容については、統合した原文および英訳版(unofficial)を参照されたい。

 このイタリアの統合情報保護法典は、1996年以来のデータ保護に関するさまざまな法律、規範および規制をすべてまとめたもので、1997年5月に施行された1996年12月31日法律第675号「個人データの処理における人および他の情報主体の保護に関する法律(Legge n. 675 del 31 dicembre 1996 - Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali ) に優先するものとして2004年1月1日に施行された。

 この政令や行動規範は、国内法制度をGDPR 2016/679に適応させた立法命令(2018年8月10日の立法命令第101号「個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/ECを廃止する欧州議会及び理事会の2016年4月27日の規則(EU) 2016/679 (一般データ保護規則))」の国内法の適応に関する規定」」(DECRETO LEGISLATIVO 10 agosto 2018, n. 101)によって一部改正されたことに注意されたい。

 すなわち、その規定のいくつかは修正または廃止され、セクションが追加され,2003年法のいくつかの条項は、GDPRと矛盾したり重なったりしていないこと、および過去15年間の実施経験に基づいて関連する利害関係者に付加価値を提供することが判明したため、そのまま残されている。

 なお、本規範の新しい文章および連結規範の英訳に関するより詳細な情報は、このセクションでまもなく入手可能になる。

(ⅱ) データ保護にかかる行動規範 ("Codici di condotta")

 以下のイタリアにおける①~⑥の各行動規範についてGranteサイトではリンクによる確認はできなかった。これは、EUのGDPR第40条によることを意味すると筆者は理解した。

① 防衛的犯罪捜査等の観点から行われる個人データの処理に適用される行動規範 

② 消費者の信用、信頼性、および支払いの適時性に関して、民間団体が管理する情報システムに適用する行動規範および職業上の実務慣行 

③ 統計的および科学的目的のための個人データの処理に適用される行動規範および職業上の実務慣行

④ 国家統計システムの枠組み内での統計的および科学的研究目的のための個人データの処理に適用される行動規範および職業上の実務慣行 

⑤ 個人データの処理について歴史的目的のための行動規範と職業上の実務慣行

⑥ ジャーナリズム活動の実践における個人情報の処理に関する業務規範 

⑦ ビジネス情報を目的とした個人データの処理における倫理規範および行動規範

(3) 機密データの処理のために特に許可された一般権限(現在有効なもの)

① 雇用関係に基づく機密データの処理に関する許可:No. 1/2014

 健康や性生活の開示に適したデータの処理に関する許可:No. 2/2014

③ 協会及び財団による機微なデータの処理に関する許可:No.3/2014

④ 自営業の専門家による機密データの処理に関す許可:No. 4/2014

⑤ 各種データ管理者による機密データの処理に関する許可:No. 5/2014 

⑥ 私立探偵による機密データの処理に関する許可:No. 6/2014

⑦ 私企業、利益を求める公的機関および公共機関による司法データの処理に関する許可:No.7/2014

⑧ 遺伝データの処理に関する許可:No.8/2014

⑨ 科学研究目的で個人データを処理するための一般的な許可:No.9/2014 

 (4) 第三国への国境を越えたデータフローに対して発行された一般的権限 

 例示的に①、②のみリンクを張り、以下は略す。

① イタリア領土からウルグアイ東部共和国への個人データの転送許可

② イタリアの領土からニュージーランドへの個人データの転送許可

③ イタリアの領土からイスラエル国へ個人データの転送許可 

④ アンドラ公国に個人データの転送許可 

⑤ "Safe Harbor Principles"に基づく米国へのデータ転送の許可 ( プレスリリース: 米国へのデータ転送: "Safe Harbor"の承認は無効である 2015年11月6日) 

⑦ スイスへのデータ転送許可 

⑧ ハンガリーへのデータ転送の許可[これはすでに有効ではない

⑨ 標準契約条項(コントローラ間)に準拠したデータ転送の許可や承認

⑩ Bailiwick of Guernsey(ガーンジーは、イギリス海峡のチャンネル諸島に位置するイギリス王室属領である)への個人データ転送許可 

⑪ カナダへのデータ転送許可 

⑫ イタリアの地方領土から第三国へ個人データを転送する許可 

⑬ マン島へのデータ転送許可 

⑭ イタリア地方領土から国土安全保障省の米国U.S. Customs and Border Protection (CBP)オフィスへの個人データの転送許可 

⑮ アルゼンチンへのデータ転送許可 

*************************************************************

 (筆者注1) イタリアでは、香港の大手コングロマリット「長江和記實業有限公司(Cheung Kong (Holdings) Limited/CK Hutchison Holdings Ltd./CKハチソン・ホールディングス/長和:H3G)(CK Hutchison Holdings Limited (CK Hutchison) is a renowned multinational conglomerate committed to innovation and technology. Our diverse businesses employ over 300,000 people in over 50 countries across the world).は、CK Hutchison Holdingsが「3 (Tre)ブランド」を展開するH3Gを通じて、またオランダVEONが「Windブランド」を展開するWind Telecomunicazioniを通じて移動体通信事業を手掛けていたが、2016年12月31日を効力発生日としてH3GとWind Telecomunicazioniの事業を統合し、CK Hutchison HoldingsとVEONの折半出資合弁会社であるWind Treを通じてイタリアで移動体通信事業を展開していた。しかし、CK Hutchison Holdingsは24億5,000万ユーロ(約3,152億円)でVEONが保有するWind Treの株式をすべて取得することでオランダVEONと合意した。

 取引が完了すれば、CK Hutchison HoldingsによるWind Treの持分比率は50%から100%となり、すなわちCK Hutchison HoldingsがWind Treを完全子会社化する。 

(筆者注2) イタリア財務警察 (Guardia di Finanza) は経済財務省の所属であり、脱税、密輸から麻薬取引などを中心に捜査している。人員は約6万8千名。1774年10月5日にサルデーニャ王国で設立された国境警備部隊が前身となっている。経済犯罪、脱税事案、知的財産権事案、組織犯罪、税関任務、国境警備、不法移民事案を行う。国境警備隊・沿岸警備隊としての側面もあり、準軍事組織となっている。そのため、第一次世界大戦および第二次世界大戦にも参加している。約80機の航空機と300隻以上の船舶を有する. (Wikipediaから抜粋)

 (筆者注3) わが国の情報保護専門家のレポートでは以外に「プロファイル」とプライバシー侵害リスクを論じているものは少ない。他方、欧米先進IT企業「adobeサイト」の問題意識を見ておこう。

「・・また、PII に関連付ける閲覧情報の種類と、閲覧情報を PII に関連付ける状況について、プライバシーポリシーに明記することをお勧めします。最後に、顧客に提示するオプトアウトの選択肢では、消費者が未認証のプロファイル情報投稿をオプトアウトできるかどうかと、その方法を明確に示すようにすることを強くお勧めします。 」

(筆者注4) 本文と重複するが、Garanteの法典の概要部分をGaranteサイトから抜粋し仮訳する。

*イタリアの統合法典たる個人情報保護法典は、2004年1月1日に発効した。この法典は、1996年以来、データ保護に関連するさまざまな法律、規範および規則をまとめたもので、特に、1997年5月に施行された1996年データ保護法(No. 675/1996)に取って代わるものである。

この法典の背後には、第2章で概説する次の3つの主要指針(1)単純化、2)調和性および3)効率性)がある。

法典は次の3つの部に分かれる。

第1部は、すべての団体、組織等に適用される一般的なデータ保護の原則を示す。

第2部は、医療、電気通信、銀行や金融、人材等特定の分野の組織が実施する必要がある追加的措置を提供している。第3部は保護違反に対する制裁と救済に関する定めを置く。 セクターコードの導入により、法典の第2部がさらに発展することが期待されている。

(筆者注5) シェンゲン・ビザの名は 1990 年より続くシェンゲン条約(Schengen Agreement)に由来します。シェンゲン条約は「シェンゲン協定(Schengen Agreement)」の元となり、それが転じて 5 年後の1995年に「シェンゲン圏(Schengen Area)」が定められました。 シェンゲン圏はシェンゲン協定に属する 26 のヨーロッパ諸国からなる区域で、互いに接する国境の警備隊を撤廃することに合意したものです。これは圏内における国境警備を緩和するだけでなく、シェンゲン圏外の国境に対する警備の強化も可能としています。 現在協定に加盟しているか国にはノルウェー、アイスランド、スイス、リヒテンシュタ インら 4 つの非EU加盟国も含まれる。一方、アイルランド、イギリスの二ヵ国は自国の国境警備維持と共通旅行区域(CTA)制度の国境警備方針を他の EU 諸国と共有するために協定から脱退しました。ブルガリア、クロアチア、キプロス、ルーマニアらはじきにシェンゲン協定に加盟する予定です。(European Travel Information and Authorisation Systemの日本語解説から抜粋)

 *******************************************************************

 Copyright © 2006-2019 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする