コロラド州司法長官府が公開した同州プライバシー法の他州法との比較および同規則第3次草案の第3版の重要ポイントやUOOM、GPCの独自概念を検証

　2023年1月27日、コロラド州司法長官(Phil Weiser)府(以下、Colorado AGという)は、2022年12月21日に公開された修正された規則案(第2次草案)に対するパブリックコメントに基づいて、コロラド州プライバシー法(以下、ColoPAという)の規則草案(第3次草案)の第3版を発表した。2023年2月1日の規則制定公聴会で、Colorado AGは、利害関係者のフィードバックを取り入れ、規制に明確さと柔軟性を追加し、他の管轄区域のプライバシー制度との相互運用性を高めることを目的としていることを強調した。

Phil Weiser 氏

　本ブログは、まず(1) ColoPA規則第3次草案の変更点からの重要なポイントと最近の公聴会からの洞察内容、(2)コロラド州プライバシー法や同規則の独自な点につき関係blogを概観する。

Ⅰ．コロラド州プライバシー法や同規則の独自な点

 2022.11.17付けで掲載されたDIDOMI社の解説から抜粋、仮訳する。

１．ColoPA  とグローバル・ プライバシー・ コントロール

 ColoPA  は 2021 年 7 月 8 日に署名され、施行日は 2023 年 7 月 1 日である。コロラド州の消費者保護法の一部である ColoPA  は、コロラド州の住民の個人データを扱う対象企業に法的義務を課している。

　 ColoPA の大まかな概要が策定されてから 1 年以上が経過したが、企業は多くの詳細について明確化を求めてきた。Colorado AGは、ColoPA  の規則作成に取り組んでおり、2022年10 月 10 日に提案された規則草案を公開した。

　ColoPA は、米国の他の州のプライバシー法と内容はかなり重複しているが、カリフォルニア州、バージニア州、ユタ州などの州で採用されている規制アプローチからはいくつかの点で大きく異なる。

　ColoPA  の独自の規定の中には、後記Ⅲ．で述べるユニバーサル・オプトアウト・メカニズム (以下、UOOMという) を遵守するよう企業に要求するこの種の法律としては初めての規定がある。つまり規則草案では、UOOM はコロラド州の消費者に各企業に個別のオプトアウト要求を行うのではなく、個人データ処理をオプトアウトする権利を複数の企業に伝えるための「単一の単純な技術的メカニズム」を提供することを目的としていると説明している。

　 規則草案では、①UOOM の技術仕様、②通知と選択に関する規定、および③デフォルト設定について詳しく説明している。しかし、UOOM の条項で言及されていない用語である Global Privacy Control (以下、GPCという) が最も重要である可能性がある。 以下で、GPCにつき詳しく解説する。

　 GPCは、ユーザーがアクセスするすべての Web サイトにユーザーのプライバシー設定を伝えるブラウザ・ツールである。GPC をインストールしてオンにすると、ユーザーのデータを販売したり共有したりしないように企業に指示するユニバーサル・オプトアウト・ シグナルが送信される。インターネット検索エンジンであるBrave、Firefox、DuckDuckGo、Abine、Privacy Badgeなど、GPC 信号を送信するためのいくつかのブラウザーとブラウザー拡張機能が装備されており、さらに多くの GPC ツールが開発中である。

　ColoPA では企業が GPC を使用する必要はないが、最終的にColoPA UOOM 要件を満たす唯一のテクノロジーである。草案の行間を読むと、Colorado AG は、GPC シグナルを認識して尊重する準備をする必要があることを企業に効果的に伝えている。

　 ColoPA の対象となるすべての事業は、UOOM 規則の対象となる。UOOM を通じて消費者のオプトアウトを許可するための CPA 発効日は、2024 年 7 月 1 日である。

 ２．GPC オプトアウト後の再同意

 　EUの一般データ保護規則 (GDPR) と米国の州のプライバシー法との主な違いは、GDPR ではオプトインの同意が必要であるのに対し、米国の法律では消費者にデータ処理のオプトアウトの負担を課していることである。

　 しかし、2021 年 7 月にカリフォルニア州だけでなくコロラド州でも GPC シグナルに移行したことは、企業は GPC を正当な「販売禁止」要求として尊重する必要があると述べたものであり、米国のプライバシー モデルがヨーロッパのモデルに移行している可能性があることを意味する。

　「オプトアウト後の再同意」の概念は、CPA の規則草案に記載されている。Colorado AGによると 以下のとおり。

　 「管理者が、消費者がその目的での処理をオプトアウトした後、オプトアウトの目的で個人データを処理するための同意を積極的に取得したい場合は、管理者はそのウェブサイトまたはアプリケーションで、消費者から同意を得る。」

　ユニバーサル オプトアウト後に有効な同意を得るには、リンクまたはメカニズムは次のことを行う必要がある。

①同じ Web ページまたはアプリの他のリンクと同様のルック、フィール、およびサイズを持っていること。

②Web ページまたはアプリでのユーザー エクスペリエンスを「低下または妨害する」ポップアップ ウィンドウ、バナー、またはその他のインタラクティブな表示でもって表示しないこと 。

③CPA のその他すべての有効な同意要件を満たす こと。

　ColoPA  規則 7.03 では、消費者の同意は、次の要素が満たされている場合にのみ有効であると規定されている。

①これは、明確な肯定的な行動を通じて取得される(一般条件の受諾または事前にチェックされたボックスの使用は、「明確な肯定的な行動」を構成するものではない)。

②それは自由に与えられる (管理者は、サービスを提供するために個人データが必要でない限り、同意の提供を拒否したという理由で消費者へのサービスを拒否することはできない)。

③具体的であること(特定のデータ処理目的ごとに同意を与える必要がある。1 つの目的に同意しても、他の目的に同意することにはならない)。

④消費者に通知されること(同意要求では、管理者の身元、同意が必要な理由、処理の目的、処理されるデータのカテゴリー、およびデータにアクセスできる関係者のリストを開示する必要がある)

　さらに、消費者への同意の要求は、ColoPA   規則 7.04 に準拠する必要がある。この規則では、管理者(controllers)は「合理的な消費者が簡単に見つけられる」「他の利用規約とは別の明確な」「単純なメカニズム」を提供する必要があると述べている。

Ⅱ．ColoPAの規則第3次草案LexBlog解説の要旨

　Lexblog「Colorado Attorney General’s Office Releases Third Version of Draft Rules for Colorado Privacy Act: Key Takeaways」を要約、仮訳した。

(1)プライバシー通知の内容

　規則6.03(A)(1) 第3次草案は、管理者がプライバシー通知で処理慣行の「包括的な説明」を開示しなければならないという要件を明確にし、この基準は、以前に起草された「個人データ」だけでなく、「個人データの各カテゴリ」が特定の処理目的でどのように使用されるかについて有意義な理解を提供することであると指定している。

　この変更により、第3次草案の開示規則は、「カリフォルニア州消費者プライバシー法(以下、CCPAという」の最終提案規則で要求される規則内容よりも詳細になる。具体的にいうと、CCPAの最終提案規則では、対象となる企業が収集する個人情報のカテゴリー、個人情報の各カテゴリーが販売または共有されているかどうか(クロス・コンテキスト行動広告(注)の目的)、および個人情報の各カテゴリが企業の「収集時の通知」に保持される期間をリストする必要があるが、CCPAの最終提案規則では、処理目的をより一般的に特定でき、特定のカテゴリの個人情報にリンクさせる必要はないとする。

　規則6.04(B) 第3次草案では、管理者(controllers)は、「実質的または重要な」変更ではなく、プライバシー通知に「重大な」変更があった場合にのみ、コロラド州の居住者に通知する必要がある。さらに、同草案は「重要な」変更の定義を緩和する。以前の草案では、個人データを共有した関連会社、処理者、または第三者の身元が変更された場合、管理者は消費者に通知する必要があった(ColoPAはプライバシー通知でそのレベルの詳細を要求していないが)。

(2)公開されている定義(規則2.02) ColoPAの下では、「公開されている情報」は個人データの定義から除外されているため、法律の範囲外である。第1次草案では、「非公開の個人データと密接に組み合わされた」公開情報は、依然として公開されている情報と見なすことができる。以前の草案では、そのようなデータを公開情報の定義から明確に除外していた。

(3)消費者の個人データの権利。 2023年2月1日、コロラド州司法長官府は、第3次草案に関する公聴会で、他の包括的な州のプライバシー法が同様の消費者の権利を提供し、コロラド州司法長官府がColoPAの規則がそれらの体制と相互運用可能であることを目指していることを認めた。

①オプトアウトする権利(規則4.03)

・オプトアウト要求の対象となる個人データの処理を停止しうる期限: 第3次草案は、15日以内にオプトアウト要求を尊重するという以前の要件を削除し、「過度の遅延なし(without undue delay)」、つまりビジネスの規模と複雑さ、およびオプトアウトの運用の負担を考慮した状況テストの全体に置き換えた。

・プロファイリングの決定のオプトアウト:第3次草案では、管理者は、コロラド州の居住者が法的または同様に重要な決定をもたらすプロファイリングのための個人データの処理をオプトアウトする権利を行使するための明確で目立つ方法を提供する必要があるとする。これと対照的に、カリフォルニア州(CPPA)は、自動化された意思決定をオプトアウトする権利に関する規則をまだ発行していない。

②削除する権利(規則4.06(a) 第3次草案は、管理者が処理者および関連会社に削除要求を通知するという要件を削除した(ただし、この変更は、処理者が保持する削除要求の対象となる個人データを処理者が確実に削除することを管理者に免除させるものではない)。

(4)ユニバーサル・オプトアウト・メカニズム(UOOM) 2023年2月1日の公聴会で、コロラド州司法長官府は、相互運用性と柔軟性と技術仕様のバランスをとるために、第3次草案を改訂したと説明した。一般からの何人かの発言者は、定義されたスケジュールでリストを更新することを含め、公式に認められたUOOMのリストを生成するためのより定義されたパラメータを提供するルールの必要性を主張した。

　後記Ⅲ．で詳しく解説する。

①規則5.03(A) 第3次草案は、UOOMを開発または提供する者は、オプトアウト要求を容易にするUOOMの機能を消費者に開示する際に、コロラド州またはColoPAを調整または参照する必要がないことを明確にした。たとえば、UOOMが消費者に「州法の下で利用可能なすべてのオプトアウト権」を行使することを許可している開示は、開示が他の州の開示規則に準拠している限り十分である。

②規則5.05(B) 第3次草案はまた、管理者が他の管轄区域の認証要件に準拠するために必要な場合、UOOMを処理するために要求者から追加の個人データを要求できることを明確にした。以前の草案では、管理者がオプトアウトの信憑性と正当性を評価するために「厳密に必要」ではない個人データを要求することを禁止していた。

(5)規則案の次のステップ

　第3次草案に関するパブリックコメントは、2023年2月3日午後5時までに締め切られ、その後、最終規則で検討される。コロラド州司法長官府は、1年2023年7月1日までにUOOMの技術仕様に関する規則を最終決定する任務を負っている。なお、ColoPAの発効日と施行日も2023年7月1日に始まる。

Ⅲ．ユニバーサル・ オプトアウト・ メカニズム (UOOM)

Odia Kagan氏「The Colorado Privacy Act - What the Draft Rules Say About Data Portability and Authentication」から該当部を抜粋、仮訳する。

(1)消費者は、ユーザーが選択したユニバーサル・ オプトアウト・ メカニズム (UOOM) を通じて、ターゲティング広告または個人データの販売の目的で、技術的かつ規則で定めるところにより消費者に関する個人データの処理をオプトアウトする権利を行使することができる。

(2)UOOM は、「すべての目的」または「特定の目的」、あるいはその両方のためのものである。

(3)規則には、準拠する UOOM を設計するための要件が​​含まれる。

(4)ブラウザやオペレーティング システムなどのデバイスにプリインストールされていないが、プライバシー保護ツールとして、または特にユーザーがオプトアウトする権利を行使するように設計されたツールとして目立つように販売されているツールを採用するという消費者の決定による個人データの処理は、UOOM を使用する消費者の積極的で、自由に与えられた、明確な選択と見なされる。

〇UOOMに関する義務

①UOOM を処理する場合、消費者がコロラド州の居住者であることを確認するため、またはメカニズムが個人データの処理をオプトアウトするための正当な要求を表していると判断するために厳密に必要な範囲を超えて、追加の個人データの収集を要求することはできない。

②プラットフォーム、デバイス、またはオフラインでの UOOM の消費者の使用の認識を拡大する場合にのみ、追加の個人データを提供するオプションを消費者に提供できる。たとえば、UOOM またはシグナルを個人データのオフライン販売に適用したり、消費者のオプトアウト選択をデバイス間でリンクしたりできるように、電話番号または電子メール アドレスを提供するオプションを消費者に与えることができる。

③消費者による UOOM の使用を認識する条件として、消費者にログインまたはその他の方法で「認証」を要求することはできない。

④消費者のオプトアウト設定信号を処理した場合、目立つ方法で表示しうる

 (カリフォルニア州CPRA ではこれは必須である)。

〇UOOMは2024 年 7 月 1 日以降施行:

①UOOM を通じてオプトアウト要求を受け取った場合、規則上はメカニズムで示されているように関連付けられているブラウザまたはデバイス、および既知の場合は消費者向けに対象を絞った広告、個人データの販売、またはその両方を目的とした個人データの処理をオプトアウトするための有効な要求などを処理する必要がある。

②UOOM を使用して有効なオプトアウト要求を受け取った後、規則上ブラウザ、デバイス、または消費者がオプトアウトを上書きするまで、ブラウザ、デバイス、および消費者がオプトアウトの権利を行使したものとして扱い続ける必要がある。

〇オプトアウト後のオプトイン:

　消費者が以前に UOOM をオプトインへの同意として使用した後、UOOM シグナルがないと解釈することはできない。

　コロラド州の法務局は、規則の基準を満たすと認められた UOOM の公開リストを維持するものとする。最初のリストは 2024 年 4 月 1 日までに公開され、定期的に更新される。

************************************************************************

(注) ｢クロスコンテキスト行動ターゲティング広告｣とは、ビジネス、明確にブランド化されたWeb サイト、アプリケーション、またはサービス以外のビジネス、明確にブランド化された Web サイト、アプリケーションを横断した消費者の活動から得られた消費者の個人情報に基づいて、消費者に広告をターゲティングすることまたは消費者が意図的にやり取りするサービスを意味する。

********************************************************************

Copyright © 2006-2023 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

スイスの連邦情報保護に関する改正連邦法はEU加盟国等に比べ独自性がありその内容を検証する

　スイスは、「1992年の情報保護に関する連邦法」に代わりEUのGDPRや米国との個人情報の移動ルール、さらには欧州司法裁判所判決等を受け、市民のデータをより適切に保護するための2019年の新しい改正連邦データ保護法(Bundesgesetz über den Datenschutz (DSG); Federal Act on Data Protection　(FADP)(以下、本稿では「nDSG」という)を2023年9月1日施行する。(注1)

　”nDSG”は、個人データの処理を改善し、一般データ保護規則(GPDR)や英国のGDPRなどの他の包括的なデータ保護法と一致する新しい権利をスイス市民に付与する。この重要な法改正には、スイスで事業を行う企業等に対する多くの義務の増加も伴う。この法律は2023年9月1日に発効するため、企業は”nDSG”要件を迅速に把握する必要がある。企業は、GDPRおよび英国のGDPRへの準拠が”nDSG”に基づくコンプライアンスと同等であると想定すべきではない。この改正法はGDPRと多くの類似点があるが、企業が知っておくべきいくつかの大きな違いがある。

　今回のブログは、ジョーダン・ジェニングス(Jordan Jennings)氏のレポート「Nothing Neutral about the New Swiss Federal Act on Data Protection」およびSecuritiの解説ブログ「The Revised Swiss Federal Act on Data Protection」から抜粋、仮訳した。

Jordan Jennings氏

　なお、問題は“Bundesgesetz über den Datenschutz” (nDSG)の原文(ドイツ語)がスイス連邦法プラットフォームで閲覧できないことである。やっと探し出したURLは連邦議会サイトであった。さらに上記レポートやブログは残念ながら”nSDG”の条文とのリンクがほとんどなされていない。ロ―・レポートでは必須であることから、筆者の責任と判断であえてリンクを張った。

〇企業が知っておくべきことの主な内訳は次のとおりである。

(1)コンプライアンス猶予期間はない:データ保護法の最近の変更とは異なり、”nDSG”は企業がスピードを上げるための猶予期間を提供していない。したがって、スイス国民のデータを処理する企業は、準拠するまでにこれから約8か月強の猶予期間がある。

(2)罰則:”nDSG”第60条は、事業者に民事罰を課さない。ただし、この法律の意図的な違反は、事業体ではなく個人(潜在的にDPO(Data Protection Officer)および経営幹部)に対して最大250,000スイスフラン(CHF)(約3,575万円)の刑事制裁につながる可能性がある。(注2)スイス連邦情報保護及び情報自由化委員(Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB； FDPIC)には、刑事告発を行う権利はない。

　他方、法執行機関や検察当局は、従来どおり刑事制裁を執行する責任がある。個人は”nDSG”の下で罰金に直面するが、企業または組織内の罰せられる自然人を決定するための調査が不釣り合いな努力を伴う場合は、企業は最高50,000スイスフラン(約715万円)の罰金を科される可能性があるが、”nDSG”は個人の責任を問うことに焦点を当てており、当局は責任者を懸命に探す必要はない。”nDSG”に基づく制裁は、個人ではなく企業に違反に対してのみ罰金を科すGDPRとは極めて対照的である。

(3)機密データの定義を拡張:”nDSG”第5条は、「機密性の高い個人データ」のカテゴリに分類されるデータのリストを拡張した。新しいリストには、自然人を明確に識別する遺伝的および生体認証データが含まれる。機密性の高い個人データを処理する場合は、データ主体の明示的な同意が必要である。

　次のカテゴリの個人データは機密と見なされる。

・宗教的、イデオロギー的、政治的、または労働組合関連の見解または活動に関する個人データ、

・個人の健康、親密な領域、または人種的出身に関する個人データ、

・社会保障対策に関する個人データ

・行政または刑事訴訟および制裁に関する個人データ。

上記のカテゴリを保持しながら、”nDSG”は2つのカテゴリを追加した。

・遺伝子データ、

・個人を一意に識別する生体認証データ。

(4) データ主体の権利

　1992年の法律(DSG)では、データ主体につき次の権利を定める。

・処理に関する情報を受け取る権利、

・アクセス権、

・修正および削除の権利、

・個人データのコピーを受け取る権利、

・個人データを別の管理者に転送する権利、

・個人データの処理に異議を唱える権利、

・スイス連邦データ保護情報委員会 (EDÖB； FDPIC)に苦情を申し立てる権利

　前述のデータ主体の権利に加えて、”nDSG”では、次の2つの新しい権利が導入された。

・データポータビリティの権利:データ主体が一般的に使用される読み取り可能な電子形式でデータを送受信できるようにする。これは、データ主体の同意を得て、または契約に従って直接行う必要がある この権利は、データ主体の要求を満たすために管理者による不釣り合いな努力を必要とする場合を除き、無料である。(”nSDG”第28条)

・自動化された意思決定の場合に介入する権利:データ主体が自動化された意思決定の対象とならないことを選択できるように、データ管理者は、自動処理のみに基づいており、データ主体に法的影響を与える、またはデータ主体に大きな影響を与える決定をデータ主体に通知する必要がある。(”nDSG”第19条)

(6)プロファイリングに対処した:GDPRと同様に、nDSG第21条には、以前のFADPには含まれていなかったEUのGDPRに対応する「プロファイリング」の法的定義(注3)が含まれた。個人データのリスクの高いプロファイリング(パーソナリティ・プロファイルなど)には、データ主体の明示的な同意が必要である。

(5)「独立した」DPO任命の重要性を強調：DPOはGDPRおよびDSGの下で民間企業にとってオプションであるが、スイス連邦情報保護委員(EDÖB ；FDPIC)は、独立したDPO(Data Protection Officer )の重要性を強く強調している。 したがって、社内の立場や外部の弁護士を利用することは、DPOの独立性要件を満たさない可能性がある。民間企業の場合、DPOの任命は任意であるが、連邦機関の場合は必須である。さらに、EDÖB ；FDPICは、スイスのデータ主体と効果的にコミュニケーションをとるために、DPOがスイスの少なくとも1つの言語(フランス語、ドイツ語、イタリア語、ロマンシュ語など)を話すことを推奨している。特に、英語はスイス連邦の公用語ではない点に留意すべきである。

(6)重大な攻撃のみの違反通知+明確な通知時間枠なし：”nDSG”の第24条に基づき、データ管理者は特定の重大な個人データ侵害についてEDÖB (FDPIC)に「できるだけ早く」通知する必要がある。「できるだけ早く」の意味がGDPRに基づく72時間の要件よりも速いか遅いかは､なお不明である。

　またFDPICは、違反の通知は、データ主体に「差し迫った危険」をもたらす場合にのみ行われるべきであることを強調している。したがって、”nDSG”の下ではコントローラーは失敗したサイバー攻撃等についてEDÖB (FDPI)Cに通知することは必要ない。

(7)データ転送:スイスのみの転送には、スイス固有の標準契約条項(SCC)を使用することが期待されている。ただし、EDÖB (FDPIC)はまだスイスのみの転送メカニズムを発行していない。さらに、 EDÖB (FDPIC)は十分性認定を発表していないが、データ転送に適した国は欧州委員会の決定を反映することを前提としている。すなわち、シュレムスII事件における欧州連合司法裁判所の決定に続いて、FDPICは米国を「特定の状況下での適切なレベルの保護」のリストから削除し、米国ではデータ保護が不十分であると宣言した。その結果、スイス-米国間のプライバシー・シールドは、国境を越えたデータ転送に信頼できなくなった。適切な国のリストに含まれない国への国境を越えたデータ転送は、国際条約、データ保護条項、拘束力のある企業規則など、他の手段によって適切なデータ保護が保証されている場合にのみ実行できる。

　なお、暫定的には、EU標準契約条項(EU SCC)および承認された拘束的企業準則(Binding Corporate Rules：BCR)が、スイスとの間で個人データを転送するための適切なメカニズムといえる。

(8)プライバシー・ポリシーに関する考慮事項:nDSG第25条には、データ管理者がデータ主体に開示しなければならない最小限の情報の拡張リストが含まれている。プライバシー・ポリシーは、次の情報を反映するように更新する必要がある。

①管理者の身元と連絡先の詳細。

②データ処理の目的

③データの受信者の身元および第三者へのデータ転送の場合のデータ受信者のカテゴリ-。

④データが転送される管轄区域。

⑤国境を越えたデータ転送の場合に実施される必要な保護手段。そして

⑥上記のように、プライベートデータ管理者は、直接的または間接的に、時間的制約のあるデータまたはプロファイリング用のデータが収集されるたびに、事前にデータ主体に通知する必要がある。

(9)データ保護影響評価 (DPIA) が必須：データ保護影響評価はスイスのデータ保護法では目新しいものではなく、連邦機関はすでにDPIAを実施することが義務付けられている。”nDSG”第22条の下では、計画された処理がデータ主体のプライバシーまたは基本的権利に対する高いリスクを伴う可能性がある場合、民間部門のデータ管理者もDPIAを実施する必要がある。機密データのプロファイリングまたは広範な処理が計画されている場合、処理はリスクが高いと見なされる。

(10)一定規模以上ではスイスのデータ処理活動の記録が必要:nDSG 第12条では、データ管理者とデータ処理者の両方がすべてのデータ処理アクティビティのリストを保持する必要がある。このリストは、EU SCCsで見つかった附属書I.B.の処理の詳細を反映している。またリストは常に最新の状態に保つ必要がある。”nDSG”は、従業員が250人未満で、データ処理がデータ主体のプライバシー侵害のリスクが低い企業に対して、この要件の免除を定めている。

(11)関係業界などによる自主規制の支援の効果：

　行動規範の専門家、業界、およびビジネス団体は、”nDSG”第11条によって独自の行動規範を作成し、FDPICによるレビューのために提出し、後で公開することが奨励されている。これにより、組織は新しいFADPの実装に関する独自のサポートとガイドラインを作成する必要がなくなる。このタイプの自主規制の利点は、データ管理者が、古いがなお適用可能なDPIAに基づいており、個人情報と基本的権利の保護手段を含み、FDPICによって承認された行動規範を遵守している場合は、独自のデータ保護影響評価 DPIAを実行する必要がないことになる。

　(12) スイス国内での代表者の設置義務：

　”nDSG”の下では、スイス国外に設立されたすべての組織・団体等は、データ処理が、(1)スイスでの商品またはサービスの提供またはその行動の監視に関連し、(2)広範囲に及ぶ、(3)スイスで定期的に行われ、(4)データ主体の人格に高いリスクをもたらす可能性がある場合、スイスに代表者を置く必要がある。1992年DSGでは、スイスの代表者を任命するそのような義務は存在しなかった。

(13) EDÖB； FDPICの権限と決定：

　”nDSG”第52条により、 EDÖB (FDPIC)は行政手続法に基づく手続きを行うことができるようになった。これにより、EDÖB (FDPIC)は、連邦機関または民間のデータ処理者および管理者に対して正式に判決を下し、連邦行政裁判所に判決/決定を上訴することができる。さらに、EDÖB (FDPIC)は、データ処理の全部または一部を調整し、データ処理を停止または停止し、コンプライアンス違反の場合に個人データを消去または削除することもできることとなった。

*********************************************************************************

(注1) スイス連邦情報保護及び情報自由化委員(Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB； FDPIC)は改正連邦データ保護法の解釈などにつきガイダンスを公表している。

(注2) スイス連邦情報保護委員(EDÖB ;FDPIC))は2021年3月5日の nSDGが発効するまで、民間部門と連邦当局は、個人データの処理を新しい規定に適合させる必要がある。EDÖB は、考慮する必要がある最も重要な変更を以下の概説の中から「制裁」部分を抜粋、仮訳する。

　”nSDG”第50条は、個人に対して最高25万スイスフラン(約3575万円)の罰金を定めている。故意の作為または不作為のみが犯罪であり、過失の場合は責任は問われない。情報の提供と報告の義務違反、および職業上の機密保持の違反は、苦情のみで起訴できる。ただし、EDÖB の決定に従わなかった場合は、職権で起訴される。

　原則として、責任ある自然人のみが罰金を科される。ただし、法人の場合、企業または組織内の実際の責任者を特定するための調査が不釣り合いな努力を伴う場合は、最高50,000スイス・フラン(約715万円)の罰金を科される可能性もある。欧州データ保護監察官(European Data Protection Supervisor： EDPS)とは対照的に、EDÖB には新しい保護法の下で制裁を課す権限が割り当てられていない。一方、違反者は国の検察当局から罰金を科される。EDÖB は犯罪を報告し、手続きにおいて民間の請求者の地位を享受することができるが、刑事告発を行う権利はない。

　”nSDG”とは異なり、EUのGDPRに基づく行政処分は法人にのみ適用される。EUのデータ保護当局(EDPS)は、違反企業に対して最大1000万ユーロ(約14億2000万円)または同企業の全世界の年間売上高の4%の罰金を科すことができる(GDPR第83条(4)項)。

(注3)EU一般データ保護規則（GDPR）（General Data Protection Regulation）（以下、「同規則」）は、プロファイリングを次のように定義している（同規則4条4項）。

　「『プロファイリング』とは、自然人と関連する一定の個人的側面を評価するための、特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼性、行動、位置及び移動に関する側面を分析又は予測するための、個人データの利用によって構成される、あらゆる形式の、個人データの自動的な取扱いを意味する。」（日本の個人情報保護委員会の和訳より。）

　プロファイリングは、個人データを様々な角度から分析または予測するためのプロセッシング（取扱い）の一つであり、その取扱いが人間による手を経ない「自動的な取扱い」（automated processing）であるところに特徴がある。(弁護士 坂田 均「プロファイリングと欧州における一般データ保護規則(GDPR)」から一部抜粋)

****************************************************************

Copyright © 2006-2023 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

英国情報コミッショナー事務局が大手建設会社にセキュリティ義務違反で440万ポンドの罰金を科す

  ハントン・アンドリュース・カースLLP(Hunton Andrews Kurth LLP)法律事務所の投稿記事によると、 2022年10月24日、英国の個人情報保護機関である情報コミッショナー事務局(以下、「ICO」という)は、2019年3月から2020年12月までの期間、EU一般データ保護規則(「GDPR」)の第5条(1)(f)および第32条(注)に違反し､従業員の個人データを安全に保管しなかったとして、インターサーブ・グループ・リミテッド(Interserve Group Limited、以下“Interserve”という)に440万ポンド(約7億4,800万円)の罰金を科した。ICOは、このような違反により、2020年3月から2020年5月の間に発生したサイバー攻撃に対してInterserve自体が脆弱になり、最大113,000名のInterserve従業員の個人データに影響を与えたと判断した。侵害されたデータには、連絡先の詳細、国民保険番号、銀行口座の詳細、民族的出自、宗教、身体障害の詳細、性的指向、健康情報などの特別なカテゴリのデータが含まれていた。

 　わが国でもニトリ、イトーヨーカドー等大量の顧客情報漏洩事件が跡を絶たない。日経新聞記事から一部抜粋

　同様なグローバル・スタンダードとなりつつあるGDPR違反行為が判明したときに、わが国の法執行機関や法務省等法執行機関は如何なる制裁行為を取るであろうか。特に、今回の事案では被害者は従業員である。

　以下、投稿記事を仮訳する。

　個人データ侵害の最初の原因は、Interserveのシステムによって隔離またはブロックされていない従業員に送信されたフィッシング・メールであった。この電子メールは、コンテンツを表示およびダウンロードした別の従業員に転送され、その結果、従業員のワークステーションにマルウェアがインストールされた。Interserveのアンチウイルスはマルウェアを隔離してアラートを送信したが、攻撃者はInterserveのシステムにアクセスできたが、ICOはInterserveが攻撃者の活動内容を徹底的に調査していれば、このような被害は起こらなかったと判断した。

　ICOの調査では、Interserveが疑わしい活動に基づくアラートのフォローアップに失敗し、古いソフトウェアシステムとプロトコルを見直さず導入し、かつ適切なスタッフ・トレーニングと不十分なリスク評価が不足していたため、最終的にサイバー攻撃にさらされ、脆弱になったことが判明した。

　罰金に関する声明で、英国情報コミッショナーのジョン・エドワーズ（John Edwards）氏

John Edwards氏(Wikipediaから引用 )

は、他の企業・組織に対し次のメッセージを伝えた。「企業が直面する最大のサイバーリスクは、社外のハッカーからではなく、社内の自己満足からである。あなたのビジネスがシステム内の疑わしい活動を定期的に監視しておらず、専門家の警告に従わなかったり、ソフトウェアを更新せず、スタッフにトレーニングを提供しなかったりした場合、あなたのオフィスに同様の罰金が科せられる。

　この点でICOは、人々のデータをよりよく保護するために、企業・組織は「(1)疑わしいサイバー活動を定期的に監視し、最初の警告を調査する必要がある。(2)常にソフトウェアを更新し、古いプラットフォームまたは未使用のプラットフォームを削除する。(3)定期的なスタッフ・トレーニングを提供し、十分安全なパスワードと多要素認証の採用を奨励する。(4)厳格なプランバシー・ポリシーと安全なデータ管理システムを更新すべきである。」と述べている。

*******************************************************************

(注)わが国の個人情報保護委員会のGDPRの仮訳から抜粋する。

第5 条 個人データの取扱いと関連する基本原則

１．個人データは・・・

(f) 無権限による取扱い若しくは違法な取扱いに対して、並びに、偶発的な喪失、破壊又は損壊に対して、適切な技術上又は組織上の措置を用いて行われる保護を含め、個人データの適切な安全性を確保する態様により、取扱われる。（「完全性及び機密性」

第32 条 取扱いの安全性

１．最新技術、実装費用、取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者及び処理者は、リスクに適切に対応する一定のレベルの安全性を確保するために、特に、以下のものを含め、適切な技術上及び組織上の措置をしかるべく実装する。

(a) 個人データの仮名化又は暗号化；

(b) 取扱システム及び取扱サービスの現在の機密性、完全性、可用性及び回復性を確保する能力；

(c) 物的又は技術的なインシデントが発生した際、適時な態様で、個人データの可用性及びそれに対するアクセスを復旧する能力；

(d) 取扱いの安全性を確保するための技術上及び組織上の措置の有効性の定期的なテスト、評価及び評定

のための手順。

２．安全性の適切なレベルを評価する際、取扱いによって示されるリスク、特に、送信され、記録保存され、又は、それ以外の取扱いがなされる個人データの、偶発的又は違法な、破壊、喪失、改変、無権限の開示、又は、アクセスから生ずるリスクを特に考慮に入れる。

３．第40 条で定める行動規範又は第42 条で定める承認された認証メカニズムに忠実であることは、本条第1 項に定める要件の遵守を説明するための要素として用いることができる。

４．管理者及び処理者は、管理者又は処理者の権限の下で行動し、個人データにアクセスする自然人が、管理者の指示に基づく場合を除き、EU 法又は加盟国の国内法によってそのようにすることを求められない限り、その個人データを取扱わないことを確保するための手立てを講ずる。

***********************************************************************:

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

ルクセンブルグのDPAであるCNPDがGDPR違反を理由に米Amazon LLCに対し過去最高額7億4600万ユーロの制裁金を科す旨公表

Last Updated: August 7 ,2021

　8月1日付けの朝日新聞等はルクセンブルグのデータ保護当局が欧州連合の「一般データ保護規則(GDPR)」に違反したとしてアマゾンに対し制裁金7億4600万ユーロ(約969億8000万円)を科したと報じた。

　GDPR違反による制裁金の額としては2019年1月21日、フランスのデータ保護規制当局であるCNIL（Commission nationalede l'informatique et des libertes：情報処理及び自由に関する国家委員会）は米国Googleに対し、GDPR違反で5000万ユーロ（約62億円）の罰金支払いを命じており(注1)、今回の制裁金額は過去最高であると欧米メディアが報じていると書いてある。

　筆者も毎日手元に届くEUの各Watchdogからの情報で読んだ記憶がないため、改めて一般メディアではなく米国SEC専門サイトや関連サイトにあたってみた。取り急ぎ明らかになった点を今回は整理する。

 　また、さらに気が付いた極めて興味深いサイト” GDPR Enforcement Tracker”である。同サイトはCMS international law firmが作成し、DPAの公式リリースへのリンクが100%保証されている。現在時点で783件がエントリーされている。低額の苦情・制裁事件としては500ユーロ(約65000円)といったものまである。

　これらエントリーされた高額制裁金が科された事件を筆者なりにリストアップした。これまでわが国のメディアではほとんど報じられていない事件を含め一覧にしたので補足しながら紹介する。

 　一方、これに比してわが国の個人情報委員会の規制機関の機能はいかがであろうか。

　令和２年度 年次報告（概要）(令和３年６月個人情報保護委員会)を読む限り個人情報保護法に基づく監督等として(1)1,027件個人データの漏えい等事案の報告の受付件数1027件、(2)報告徴求354件(第40条)、(3)立ち入り検査2件(第)、(4)指導・助言198件（第41条）、(5)命令2件(第42条)である。

　平成15年(2003年)に制定された個人情報保護法82条以下に罰則規定があるが、これまで罰金が科されたことは0件であり、これが我が国のWatchdogの実態である。

１．事実の概要

　Techcrunch記事を仮訳する。

　2021年7月16日、ルクセンブルク大公国のデータ保護機関（Commission Nationale Pour LaProtectiondesDonées：CNPD）は、 EU一般データ保護規則（GDPR）の違反の申し立てに基づきAmazon Europe CoreS.à.r.l(注2)に対し過去において記録的な7億4600万ユーロの罰金を科す旨決定した。 またCNPDは、Amazonにその個人情報処理の実務慣行の一部を改訂するように命じた。Amazon LLCはルクセンブルクにEU本社を置いているため、CNPDはアマゾンのEUにおける主要なデータ保護監督機関として機能している。

　各報道とAmazonの公式声明に基づくと、罰金はAmazonがターゲットを絞った広告目的で顧客データを使用することに関連しているようである。

 罰金の額は、以前に報道機関で報告された決定案で提案された罰金よりも大幅に高くなっている。

　CNPDの決定は公開されていないが、この決定はAmazon LLCのSEC様式10-Qファイリング(注3)によって確認された。Amazon LLCは、CNPDの決定に対して上訴することを示している。 

 2.フランスCNILの規制委員会の権限と機能

(1)規制委員会 (注4)

○GDPRおよびフランスのデータ保護法に違反している場合、CNILの委員長は、規制委員会に照会して、法違反を行ったとされる組織が審理される手続きの最後に1つまたは複数の措置を講じることができる。

 (2)規制委員会に認められたさまざまな権限

　GDPRまたはフランスのデータ保護法に違反した場合、制限された委員会によって次の是正権限が行使される可能性がある。 

 ①戒告(reprimand)。

②処理をテキストによって提供される義務に準拠させるための命令、または個人の権利を行使するという要求を満たすための命令。 この命令には、1日あたり最大10万ユーロの遅延による定期的な罰金支払いが伴う場合がある。

③処理、その禁止、または承認の取り消しに対する一時的または決定的な制限を課す。

④許可証明書の撤回。

⑤第三国または国際機関に所在する受信者に宛てられたデータフローの一時停止。

⑥拘束力のある企業規則を承認する決定の部分的または完全な停止。

⑦GDPR第83条第5項および第6項に記載されている要素に基づいて金額が決定される行政罰金。 

３．GDPR違反として高額制裁金が科された事件

ＣＭＳの資料に基づき筆者なりにリストアップした。

*******************************************************************************

(注1) GDPRに違反した制裁金としては、2019年のグーグルへの5,000万ユーロ（約65億円）がこれまでの最高である。2020.12.10フランスDPAであるCNILの当時の発表内容を見ておく。

「米国Google LLC(有限責任会社)に対して6,000万ユーロ(約78億円)、またGoogle Ireland Limited に対して4000万ユーロ(約52億円)を科した」

○2020年12月7日、制裁を科すうえで責任を持つCNILの規制委員会( restricted committee)(注3)は、事前の同意を得ることなく、また適切な情報を提供することなく、検索エンジンgoogle.frのユーザーのコンピューターに広告用Cookieを配置したとして、米国Google LLCとGoogle Ireland Limitedの2企業に対し、合計1億ユーロ(約130億円)の罰金を科した。 

　2020年3月16日、CNILはウェブサイトgoogle.frでオンライン調査を実施し、ユーザーがこのウェブサイトにアクセスすると、ユーザーが何もしなくてもCookieが自動的にコンピューターに配置されることを明らかにした。 これらのCookieのいくつかは、広告目的で使用されていた。 

○フランスのデータ保護法の違反問題

　各制裁を科す責任があるCNIL内の規制委員会(restricted committee)は、フランスのデータ保護法第82条に関し3つの違反事実に気がづいた。すなわち、ユーザーの事前の同意を得ずにCookieをデポジットしていた。

　ユーザーがウェブサイトgoogle.frにアクセスすると、広告目的で使用されるいくつかのCookieが、ユーザー側で何もすることなく、自動的に自分のコンピューターに配置された。

　このタイプのクッキーは、ユーザーが同意を表明した後にのみ置くことができるため、規制委員会は、サービスに不可欠でないクッキーを置く前に、事前の同意の収集に関して、フランスのデータ保護法第82条に規定された要件を遵守していないと判断した。

　ユーザーがページgoogle.frにアクセスすると、ページの下部に情報バナーが表示され、「Googleからのプライバシーのリマインダー」というメモが表示され、その前に「後でリマインダー」と「今すぐアクセス」の2つのボタンがある。

　このバナーは、サイトに到着したときにすでにコンピューターに配置されていたCookieに関する情報をユーザーに提供しなかった。彼または彼が「今すぐアクセス」ボタンをクリックしたときも、この情報は提供されなかった。

　したがって、規制委員会は、企業が提供する情報は、フランスに住むユーザーが自分のコンピュータ上のクッキーの預け入れに関して以前かつ明確に知らされること、これらのクッキーの目的とそれらを拒否することを可能にする利用可能な手段を知らせることを可能にしなかったと考えた。

（以下、略す)

　なお、CNILは2021年7月21日、アマゾンに対する差止命令の閉鎖する旨をリリースした。主要部を仮訳する。

 2021年7月21日 2021年7月8日の決定により、CNILの制限する命令により、2020年12月7日にAMAZON EUROPEC　ORE社に対して発行された差止命令が終了した。 2020年12月7日、CNILの制限付き命令は、3,500万ユーロの罰金に加えて、3か月以内にAMAZON EUROPE  COREに関係者に事前に、明確かつ完全な方法で通知するように命令した。たとえば、最初にアクセスしたページに関係なく、インターネットユーザーが最初に「Amazon.fr」サイトにアクセスしたときに表示される情報バナーでは、次のようにする。 

・同意が必要なすべてのCookieの正確な目的。 

・Cookieを拒否するためにユーザーが自由に使える手段。 

　AMAZON EUROPE CORE社からの期限内の回答を考慮し、発布した差止命令を満たしていることを考慮して、規制委員会は2021年7月8日に訴訟を終了することを決定した。 この閉鎖は、2020年12月7日の審議において制限された当事者によって宣言された差止命令の境界にのみ関連する。

(注2) ”Amazon Europe CoreS.à.r.l”は、本社がルクセンブルクにあり、データ処理、ホスティング、および関連サービス業界の一部である。”Amazon Europe  CoreS.àr.l” には2,521社のファミリー企業があり、アマゾンはヨーロッパ本社として、ルクセンブルクに有限会社としてアマゾンを登録している。その有限会社の名前がAmazon EU S.a.r.L.である。ルクセンブルクという国は企業に対しての課税率が低いため、言わばタックスヘイブンとしてインターネット関連企業の多くがヨーロッパ本社をここに置いている。なお、SARLはフランス法における有限会社（société à responsabilité limitée; s.à r.l.; SARL（エス・アー・エール・エル）という意味である。

Amazon Europe CoreS.à.r.l”には710人の従業員がおり、売上高は85億1,000万米ドル（USD）である。 

(注3)Form 10-Q(Quarterly Report)SEC Filingは米国上場企業の正式な報告資料である。

第1四半期(１Q)～第3四半期(３Q)決算で提出が義務付けられているのがForm 10-Q(Quarterly Report)である。日本でいうところの四半期報告書にあたる文書で。Form 8-Kの後に提出される。Form 10-Qの提出期限は会社の時価総額によって異なり、四半期末日から40日または45日以内と決められている。

(注4)フランスのデータ保護規制当局であるCNIL（Commission nationalede l'informatique et des libertes：情報処理及び自由に関する国家委員会）の中にある規制委員会の権限と機能についての解説はあまり例がない。本ブログで簡単に解説する。

*************************************************************************

【DONATE(ご寄付)のお願い】

本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。 

◆みずほ銀行　船橋支店(店番号　282)

◆普通預金　１６３１３０８

◆アシダ　マサル 

◆メールアドレス：mashida9.jp@gmail.com

【本ブログのブログとしての特性】

１．100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。

２．本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。

このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。

３．上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。

　このような経験を踏まえデータの入手日から最短で1～2日以内にアップすることが可能となった。

　なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。

　本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。

４．他にない本ブログの特性：すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。

その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。

他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。

５．内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。

【有料会員制の検討】

関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。

　　　　　　　　                                                 Civilian Watchdog in Japan & Financial and Social System of Information Security　代表　　　　　　                                                                                                   　　　  　

*************************************************************************************************************************:

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

最近のEU加盟国におけるGDPR違反に基づくDPAの制裁処分、解釈の明確化ならびに独自の裁判所制度をつくり上げたハンガリーの司法制度の実態を探る

　筆者は7月29日付けの”GDPR HUB”を読んだ。このサイトはわが国ではほとんど言及されていない。しかし、7月29日の記事を読んだだけでも次のような記事がとりあげられている。

 ちなみに、GDPR hub .eu は以下示すように①係属裁判所名、②管轄国、③GDPRの関係条文、④決定日、⑤事件番号、⑥下級審の決定情報、⑦原データの言語などが表示されている。

　運営主体は”noyb”である。代表者はオーストリア国籍のマクシミリアン・シュレムス(Maximillian Schrems：通称Max Shrems)氏であり、筆者はブログで取り上げている。

①ベルギー：2021.7.29 GDPR Today

　ベルギーのブリュッセル控訴裁判所は、検索結果の上場廃止に関する事件でベルギーDPAが課した是正措置は、ベルギーの設立された(Googleベルギー)の活動がGoogle LLCと密接に関連していることを十分に説明していなかったため、Googleベルギーではなく、コントローラである(Google LLC)に課されるべきであると判断した。

②フランス：CNIL - SAN-2021-010　

　フランスのDPAであるCNILは、DGPR第5条のデータ保持原則に違反したとして、保険会社および補充年金会社€1,750,000(約2億2750万円)の罰金を科した。

③ドイツ：ラインラント=プファルツ州高等行政裁判所判決(2021.6.25)j 10 A 10302/21　

　ドイツ高等行政裁判所は、切替式監視カメラがGDPRの適用範囲内に収まらないと判示した。さらに、GDPR第58条(2)(f)は、DPAが(電源を切った)カメラの取り外しを命じるためまでの権限を与えないと判示した。

　なお、ドイツ裁判制度全体図を参照されたい。

④ハンガリー：NAIH - NAIH-2894-3/2021　

　ハンガリーのDPA(Nemzeti Adatvédelmi és Információszabadság Hatóság (Hungarian National Authority for Data Protection and Freedom of Information：NAIH)は、そのようなデータへのアクセスを許可されていない一般の実務家にパスワード保護なしで健康データを転送することは、自然人の権利と自由に高いリスクをもたらす個人データの侵害を構成するという考えを保持した。Covid-19パンデミックによって引き起こされる緊急事態中でも、公的機関が適切なデータセキュリティ対策を取ることおよび合法的に個人データを処理する義務を免除しないと決定した。(注1)

⑤ハンガリー：NAIH - NAIH-4495-1/2021　

　ハンガリーのDPAである(National Authority for Data Protection and Freedom of Information：NAIH)は、従業員の電話での会話の記録は、有効な法的根拠なしに、申立人にデータ処理に関する情報を提供することなく行われたと述べた。会社が従業員の電話での会話を録音したい場合は、個人データへの影響が少ない他の措置を講じることができるかどうかを評価する必要がある。

　いずれグローバルな情報を有するローファーム”One TRust LLP”の”Data uidance”(注2)(注3)等がとりあげるであろうが、筆者が毎日Watchしている作業が効率化できそうである。しかし、さらに進んで実際その記事内容を正確に理解しようとするとかなりの障害があることもはっきりした。

　すなわち、各国の裁判制度の最新かつ正確な説明が伴わないと、翻訳解説作業が停滞することもはっきりした。

　ちなみに、今回はEU加盟国の中で独自の裁判制度を有するハンガリーの裁判制度を取り上げ、解説を試みる。

１．ハンガリーの裁判所制度(概要)

Judicial system 英語版を仮訳する。

　司法組織は、ハンガリーの法の支配の基本的な柱の1つである。現在、4層の階層には、憲法裁判所(curia )、地方控訴裁判所(Regional Courts of Appeal)、地方裁判所(Regional Courts)、地区裁判所(District Courts)、労働裁判所(Labour Curts)、行政裁判所(Administrative Courts)の計158の裁判所がある。

　異なる裁判所レベルは密接に相互に関連しているが、それぞれのレベル間に従属はない。つまり階層の上位に位置する裁判所には、指示を与える権利はない。裁判官は独立しており、裁判官の裁定活動に関する指示に従わないものとし、適用法および彼ら自身の信念に従って決定を下す。主要な司法機関は、法廷を拘束する一貫した正義の分配のために決定を下し、一貫した正義の分配を保証する司教機関である。

　全国で約11,000人がの法廷制度で働いており、裁判官の数は3,000人をわずかに下回っている。この人員数は、完了を待つ大幅に増加したワークロードとは対照的に、2011年以降基本的に変更されていない。 

２．国家司法庁(NOJ)長官の権限の範囲と国家司法評議会(NJC)の中央行政監督の関係

(1)ハンガリー裁判所の自治制度の運営の始まり

　1997年の改革によって作られた司法制度は、国家司法評議会(NNational Council of Justice :NCJ)を裁判所の行政に自治機関として委託し、ヨーロッパにおける斬新でユニーク制度である。1990年代の前例のない機能を考えると、その形成と機能の方法は、改善の方法でいくつかの改正が必要であった。

(2)2012年の新しい裁判所自治の形成

　2012年1月1日に施行された新しい規則は、新しい司法自治制度を導入し、NCJに属する権限と新たに設立された2つの司法機関の間で権限を分割した。それ以来、裁判所の中央管理の任務は、副長官と事務局によってサポートされた「国家司法庁(NOJ)」の長官によって行われる。NOJ長官の行政業務は、「国家司法評議会(NJC)」によって監督される。

　NOJ長官は、国家司法評議会の議長の能力を維持し、更なる権利は、操作性を確保するために、長官に与えられる。後者の一部に言及すると、規制、決議、勧告を発布する権利は、通常、国家の能力範囲を持つ機関の長によって行使される権利であるが、NOJの長官は、司法の独立の憲法上の原則に関して、中央行政及びその効果的な運営、すなわち、議会法に定められた長官の職務を遂行する重大な個人的責任を負う。

(ⅰ)NOJ長官は、次の業務を重大な管理下で行う。

①長官は、裁判所の運営及び関連する意思決定の広報活動を行う。

②長官は、NOJ長官の決定、規制、勧告、報告書に関して出版および通知の義務を負う。

③委任の終了にかかる規則にもかかわらず、協調制御は優先される。NOJ長官の就任後の権限剥奪は、NJCによる3分の2の過半数の投票で採択された決議で開始される可能性がある。

④予算の見出し作成の担当としての慣習的な制御。

⑤長官は、擁護団体の権利を保障する

⑥裁判所が受け取った新しい事件に関してのみ、

⑦受領後15日以内に行われた動議に対してのみ、

⑧裁判所の動議に対してのみ(または刑事事件における検事総長の動議に基づき)

⑨ケース数、スタッフ番号等に関する特定のデータに基づき、

⑩関係する裁判所(検事総長)の意見を求める際に。

(ⅱ)NOJ長官の決定は、以下につき憲法裁判所によって裁かれた事案につき関係者によって控訴される可能性がある。

①情報提供の義務

②長官は、半年ベースで自身の活動に関してNJCに通知しなければならない

③長官は毎年、憲法裁判所、高等裁判所、審判裁判所(tribunals)の長官に通知しなければならない。

④長官は、毎年、議会に対し一般的状況について報告しなければならない。

⑤裁判所および裁判所の行政的活動に関して、そして議会の司法委員会の間に年次報告書を報告する。

⑥裁判所幹部の任命

 なお、裁判所幹部の任命に関し、司法機関が任命に関する意見を形成する権利は変わらない。裁判所の幹部の一部はNOJの長官によって任命され、幹部の大部分は高等裁判所および審判裁判所の長官によって任命されなければならない。

　また、意見を形成する司法機関の権限は、すべての幹部の任命に関してそのまま残っている。確かに、NOJの長官の権利は、高等裁判所や裁判所の長官の権限よりも制限されている。NOJの長官は、任命に関する意見を形成する司法機関の過半数の票を得ていない幹部を任命したい場合は、NJCの事前意見を取得する必要がある。NOJ長官は、任命と同時に、NJCに書面による通知を行い、意見を述べる機関が提案したものよりも別の人を任命する場合には、NJCの次のセッションで決定の理由を提示しなければならない。

　NOJ長官は、裁判所に影響を与える法律の利益のために法律を開始することを提案することができる。

３．国家司法評議会(NJC)の中央行政監督権　

　NJCは、以下のとおり、NOJの長官に対する中央行政監督権を有する。

①NOJ長官の中央司法行政活動を監督し、必要に応じて通知を行う。

②裁判所に影響を与える法律の作成に関しNOJ長官への提案を行う。

③NOJ長官が発布した規則・勧告に関する意見を述べる。

④裁判所サービスの手続き規則を承認し、中央のウェブサイで公開する。

⑤見出しの予算に関する提案と予算の実施に関する報告書に関し意見を形成する。

⑥詳細な条件とその他の利点の量に関し意見を形成する。

⑦個人的なインタビューに基づいて、NJO長官および憲法裁判所長官に指名された人に対する予備的な意見を表明する。

⑧ランキングの2番目または3番目のポジションにいる申請者にポジションを授与するために、彼らの権限を使用して、アプリケーションを裁定する際に、NJO長官と憲法裁判所長官によって適用される諸原則を決定する。

⑨NJO長官または憲法裁判所長官がランキングの2番目または3番目の位置の申請者にポジションを授与することを希望するアプリケーションの裁定に同意する権利を有する。

⑩審査委員会の承認を得られなかった裁判所指導者の任命に関し同意の権利を行使する。

⑪毎年、NOJ長官のイニチアティブに関し、司法ポストおよび裁判所の執行役の申請の評価に関するNOJ長官長および憲法裁判所長官に関連する実務慣行に関し意見を公表する。

⑫裁判官の財産申告に関連するチェックを行う。

⑬事務局が既に2回の申請者によって満たされている場合特定の上級事務官の繰り返しの任命を決定する。

⑭NOJ長官または憲法裁判所長官が任命に関する意見を形成した機関の多数意見を延期したい場合は、重要ポストの申請に関する事前意見を形成する。

⑮審査員の研修制度および研修義務の履行に関する規則について意見を述べる。

⑯NJCのメンバー委員は、NOJおよびNOJ長官の運営に関する書類を遵守し、NOJ長官にデータおよび情報を要求することができる。

⑰NOJ長官の職務の由来は、NJCによって開始される可能性がある。 

４．ハンガリー：国立司法管理庁（NOJ）：

　それはハンガリー裁判所制度の中央管理責任を持つ。

NOJの長官は、憲法の原則を十分に考慮して、司法の独立–裁判所の管理の中心的な義務を遂行する。

①NOJの長官候補は、共和国大統領によって提案される。

②NOJの長官候補は、共和国大統領によって提案される。

　a.長官の候補者は、少なくとも5年の司法実務を伴う無期限に任命された裁判官でなければならない。 

③司法問題を担当する議会の委員会が候補者から意見を聞く。

　全国司法評議会(NJC)は候補者の意見を聞き、候補者について意見を述べる。

議会は、任期9年間の投票の2/3の過半数で候補者を選出する。なお、再選はできない。 

５.ハンガリー憲法裁判所

ハンガリー憲法裁判所の解説を仮訳する。

○憲法裁判所の管轄権

　ハンガリー基本法第25条(Courts)によると、憲法裁判所はハンガリーの最高司法機関である。それは法律の統一された適用を保証し、統一された管轄権に関するその決定は他の裁判所を拘束する。

「裁判所の組織と管理に関する2011年の法律CLXI(ACT CLXI OF 2011 ON THE ORGANISATION AND ADMINISTRATION OF COURTS OF HUNGARY )」

に基づいて、憲法裁判所の責任は次のとおり。

a）法律で定義されている場合、郡裁判所および地方控訴裁判所の決定に対して提出された控訴を審理する。

b）特別な救済策によってこれらが異議を唱えられた場合、最終決定を見直す。

c）他のすべての裁判所を拘束する統一的決定を採用し、

d）均一性に関する苦情を聞き、決定する。

e）司法慣行を調査および調査するための最終決定を分析し、

f）地方自治体の法令が法的規則に違反した場合、決定を下す。

g）地方自治体に関する法律に定められているように、地方自治体が立法に失敗した場合の決定を下す。

h）法律によりその権限に言及された他の義務を遂行する。 

***************************************************************************

（注1）EU の EUデータ保護会議(EDPB)は「 ハンガリーのDPAである”Nemzeti Adatvédelmi és Információszabadság Hatóság (Hungarian National Authority for Data Protection and Freedom of Information：NAIH”が2020年9月8日、ハンガリーForbes publicationに対しGDPR違反を理由に計 450万forints(約163,000円)の罰金を課したと報じた

　NAIHは、2020年7月23日の決定番号NAIH / 2020/1154/9で、9月に発行された最大の家族事業を含むForbes出版物の印刷版およびオンライン版に関して適切な利害関係評価を実施しないことを命じた。 2019年、および2020年1月に発行された50人の最も裕福なハンガリー人を含むForbes出版物の印刷版とオンライン版、および申立人（データ主体）に自身の正当な利益を比較した結果について事前に通知しなかったため、出版社は、第三者（一般の人々）および申立人の、一般データ保護規則の第6条（1）（f）に違反したとされた。

　さらに、NAIHは、データ処理のすべての本質的な状況および個人データの処理に異議を唱える申立人の権利についての適切な情報を申立人に提供しなかったこと、およびその可能性に関する情報を提供しないことを確認した。申立人は、データ主体としての権利を行使するという申立人の要求に応じて権利を行使するため、出版社は一般データ保護規則第5条（1）（a）、第5条（2）、第12条（1）および（4）、第4条、第14条、第15条および第21条（4）を侵害したとしたのである。 

(注2) 　特記すべき記事をData Guidanceから抜粋引用し、仮訳する。なお、AEPD決定やLGT等原データへのリンクは筆者の責任で行った。検索画面は以下のとおり、決定番号を入力する際は5桁(00223)で入力すること。

(1)スペインDPAである”Agencia Española de Protección de Datos：AEPD”は、事前承諾のないテレマーケティングを行ったとしてVodaphone Ono, S.A.U.に10万ユーロ(約1,300万円)の罰金を命じた

　スペインのデータ保護当局(AEPD)は、2021年7月27日に罰金手続きを進める決定PS/00223/2021を発出し、Vodaphone Ono, S.A.U.(以下”Ono”)に対して、一般電気通信法 ( Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.(以下、LGT)の第48条(1)(b)に違反して事前承諾のないダイレクトマーケティングに対して10万ユーロ(約1300万円)の支払を命じた。

　特に、AEPDは、EU一般データ保護規則(EU)2016/679('GDPR')の第21条第2項(データ主体の異議を述べる権利)において特に規定されているように、直接マーケティング目的でデータ処理に異議を唱える権利を行使したにもかかわらず、苦情の申立者が”Ono”から電話で商業マーケット通信を受けたことを発見した。

　また、AEPDは、義務的な義務の絶対的な不作為と同様に、その行為の金銭的動機を完全に欠いて、実施された組織的および技術的措置の不備に起因する”Ono”の行為の永続的な性質を考慮して、LGTの第77条(7) (注4)に従い”Ono”の行為を「重大」に分類すべきと判断した。

　最後に、このAEPD決定では、”Ono”側の自発的な罰金を支払うという性質に鑑み罰金額が80,000ユーロ(約1,040万円)に減額されたことを概説している。

(2)7月30日ドイツ連邦カルテル庁(Bundeskartellamt)は、2021年7月29日にモバイル・アプリ部門に関する報告書を発表した。特に、カルテル庁 は、Android または iOS オペレーティング・システムを搭載したモバイル・デバイスに関連して、次の問題を特定し、分析した。

①ユーザーに対する情報提供の不足、つまり、アプリを使用する際に第三者企業が個人データをどの程度受信するか、および実際に関与しているデータについて不十分な情報が得られる。

②契約パートナーに関するユーザー説明の透明性の欠如。

③個人データの処理に対するユーザーの制御性の欠如。

　さらに、カルテル庁は、明確な情報を簡単な設定オプションと組み合わせて、消費者がアプリを通じてデータへのアクセスを効果的にオフにし、システムに関連しないすべてのアプリを削除できるようにする必要があることを主張した。

　カルテル庁のアドレアス・ムント(Andreas Mundt)長官は、「ユーザーは個人データへのアクセスに関する情報をほとんどまたはまったく受け取らず、データが誰に向かっているのか分からない。我々の調査・研究は、プロバイダーがより透明性と消費者に優しくなる必要があることを明らかにした。この文脈では、新しい規則だけでなく、効果的な法執行機関の可能性についても議論する必要がある」と述べた。

Andreas Mundt 氏

(注3)”Data Guidance”は1週間で10記事が無料で読める。また、簡単な概要解説はあるが、判決原本は原語で読む必要がある。

(注4) 「LGT第77条　重大な犯罪」を仮訳する。

LGT第77条

以下の行為は重大な違反行為と見なす。

第7項.この法律の立法のための規則によってその目的のために確立した要件に従わずに、公共の無線電気ドメインを使用する目的を持つ有効な所有権の譲渡または権利の譲渡行為。 

Artículo 77.  Infracciones graves.

Se consideran infracciones graves:

7. La  transferencia  de  títulos  habilitantes  o  cesión  de  derechos  de  uso  del  dominio 

público radioeléctrico, sin cumplir con los requisitos establecidos a tal efecto por la normativa 

de desarrollo de esta Ley.

********************************************************************

【DONATE(ご寄付)のお願い】

本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。 

◆みずほ銀行　船橋支店(店番号　282)

◆普通預金　１６３１３０８

◆アシダ　マサル 

◆メールアドレス：mashida9.jp@gmail.com

【本ブログのブログとしての特性】

１．100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。

２．本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。

このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。

３．上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。

　このような経験を踏まえデータの入手日から最短で1～2日以内にアップすることが可能となった。

　なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。

　本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。

４．他にない本ブログの特性：すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。

その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。

他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。

５．内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。

【有料会員制の検討】

関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。

　　　　　　　　　　                                            　 Civilian Watchdog in Japan & Financial and Social System of Information Security　代表　　　                                                                                                   　　　  　

***************************************************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．