タイ王国のサイバーセキュリティ法および個人情報保護法が国民立法議会で可決(その１)

タイ、ベトナム、ミャンマーに拠点を持つローファーム(有限責任会社)Law Plus Ltdが標記レポート(サイバーセキュリティ法と個人情報庇護法)を出した。

　特に、個人情報保護法をフォローすべく筆者はNorton Rose Fulbright LLP のブログ・サイト”Overview of Thailand Draft Personal Data Protection Act ”やBaker Mackenzieのブログ”The First Thailand Personal Data Protection Act Has Been Passe”で本件を読んでいたが、東南アジアの地元の法律事務所の解説も読んでおきたい気持ちがあり、保留していた。 

　今回のブログは、東南アジアの法律事務所のレポート、１）Law Plusの記事および2)Tilleke & Gibbins International Ltd (注1)の記事を仮訳し、3)極端に重複しない程度でNorton Rose Fulbright LLPのブログとBaker Mackenzieのブログの要旨を仮訳し、併せて4)タイ政府の公式サイトから同法の内容のポイントとなる点を概観しておく。

　言うまでもなく、タイの保護法案の内容は、他のアジア諸国と同様にEU「一般データ保護規則(以下”GDPR”)」等の影響を大きく受けていることは、本ブログを読んで理解できよう。

　なお、今回引用するローファームのレポートは執筆時期の関係で内容的に若干齟齬がある。後日、最終的なレポート等で確認されたい。

　最後に追加するが、タイのサイバーセキュリティ法（「CSA」）については、第1-1項で簡単に言及するが、詳しくはBaker Mckenzieのブログ「Thailand: Cybersecurity Bill Revised and Reissued in November 2018」を参照されたい。

　今回は2回に分けて掲載する。

１-1．Law Plus Ltdのブログ「タイ王国のサイバーセキュリティ法および個人情報保護法が国民立法議会で可決」(2019年3月11日発刊)の仮訳

　2019年2月28日、タイ王国の立法機関である国民立法議会（NationalLegislativeAssembly：NLA）は、タイのサイバーセキュリティ法（以下、「CSA」という）および個人情報保護法（以下、「PDPA」という）を可決した。それらは、その承認のために国王に提出され、後に発行された日の翌日から施行される前に、官報で発表される。ただし、第2、3、5、6および7章と節は除く。PDPAの95条と96条は、発行日から1年の猶予期間の後に施行される。

　原則として、CSAは公共および民間の両方のデータベースをカバーするサイバースペースにおける国家安全保障の確保を目的としているが、PDPAは、データ管理者を含む他の当事者による個人データの収集、使用または開示に先立ちデータ主体からの明確な「同意」を求める。

　CSAの下で、首相を議長、国防大臣を第一副議長およびデジタル経済社会大臣（「 MDES 」）を第二副議長としてとして、「国家サイバーセキュリティ会議（ NCSC ）」が設置される。

　CSAの最も重要な規定は、NCSC事務局およびNCSC事務総長の以下の権限に関連するものである。

① 情報を収集し、状況を分析し、国家のサイバーセキュリティに対するサイバーセキュリティの脅威としての影響を評価する。

② 不正行為に対して責任を負うことなく、情報や文書を提供するように人に命じ、財産や事業所に入ることによって情報を収集する。

③ コンピュータまたはコンピュータシステムの所有者または所有者または使用者に、コンピュータまたはコンピュータシステムにアクセスする権限を含む何らかの行為を行うかどうかを指示することにより、重要なサイバーセキュリティの脅威を防止、処理、軽減する。

④ 危険なサイバーセキュリティの脅威を防止し、処理し、施設に侵入し、情報にアクセスし、コンピュータプログラムをコピーし、コンピュータまたはコンピュータシステムをテストするか、または重要なサイバーセキュリティの脅威に関連すると疑われるコンピュータまたはコンピュータシステムを奪取する事前の裁判所命令を下す。 

　一方、PDPAは、タイ王国「消費者法(CUSTOMS ACT B.E. 2560 (2017)」に基づくプライバシーの権利に準拠したデータ保護を管理する最初の特定の法律である。PDPAの遵守を規制するために、個人情報保護委員会（Personal Data Protection Commission： PDPC ）が設立される。そこでは 欧州連合の「一般データ保護規則2016/679（ GDPR ）」からの多くの原則、例えば域外適用性がPDPAに採用され、適応されている。

　PDPAのいくつかの重要な規定は、以下のとおりである。

① 特定の方法での個人データの収集、処理、および使用に関する同意要件（特定の例外がある場合）

②データ主体の権利およびデータ管理者またはデータ処理者の義務

③ 第三国への個人データの転送に対する制限

④法律の域外への効果 

⑤ 責任の制限なしにタイに現地代理人を任命するために個人データを収集、使用または開示するタイ国外のデータ管理者に対する要求

　PDPAの施行までの1年間の猶予期間中に、いくつかの実装規則がPDPCによって起草され、発布行されよう。 一般の人々はそのような規則を起草することに参加する機会があるであろう。

　CSAとPDPAが官報に掲載されたら、読者に向けニュースレターの今後の号で内容を更新する。 

１－２　Tilleke & Gibbins International Ltdのブログ「最終検討段階でのタイの個人情報保護法草案」　(2019年1月22日発刊)の仮訳

　2018年12月に首相府(Council of State )によって承認されたタイの個人情報保護法（PDPA）の草案は、現在、国民立法議会（NationalLegislativeAssembly：NLA）の審議中であり、NLAは、詳細を検討するための特別委員会を任命する予定である。同委員会が法草案を承認すると、NLAは彼らの意見を検討し、最終的な承認を出し、それを国王に提示して法律に調印する。

　草案は2019年以内に予想される施行になる前に政府公報に出版されるであろう。一般的にはほとんどの法律は政府官報に出版されてから180日後に施行される。

　現在のPDPA草案のハイライトは次のとおりである。

① タイ国以外の企業への遵守効果： 海外のデータ管理者および処理者は、タイのデータ主体に商品またはサービスを提供したり、タイ国内で発生した行動を監視したりする場合、PDPAの適用対象となる可能性がある。そのような海外のデータ管理者および処理者はまた現地の代理人(駐在員事務所等)を任命し、PDPAを遵守しなければならない。この概念はEUのGDPRが実質的に採用されている。

②個人データの定義： 「個人データ」の定義は、以前の草案、すなわち直接的または間接的にその人の識別を可能にするが、特に死亡者のデータを除外することができる人に関するデータから変更されていない。個人データには、ビジネス情報（役職、住所、および連絡先の詳細）は含まれていない。

③ データ主体の定義： この定義は前回の審問以来、完全に削除されている。「データ主体」の解釈は、各条ごとに異なる。 

④ 同意を求める： 同意の要求は明確でなければならず、データ主体をだましたり誤解を招くようであってはならない。その性質上不可能な場合を除き、同意は書面または電子的手段で行わなければならない。 重大な利益、合法的な利益、公益、および契約上の義務の履行を含むなど、いくつかの状況では同意を免除することができる。

⑤未成年者に対する保護者の同意：PDPA草案では、10歳未満のデータ主体に対する親の同意、および10歳以上の未成年者に対する特定の状況における親の同意が依然として必要である。

⑥ 機密性の高い個人データの意義： 労働組合関連データ、遺伝的データ、バイオメトリックデータなど機密性の高い個人データの扱いは前回の草案と変わっていない。

⑦ 第三国への移転：適切な保護レベルを持たない（一般的に厳しく禁止されている）第三国への個人データの移転に関する要件と免除の条件は変更されていない。 免除できるは次のとおりである。 

 ⅰ) 適用法に従って個人データを移転すること。

 ⅱ) 第三国が適切なレベルのデータ保護を欠いていることを知らされたデータ主体からの同意を得たとき。

 ⅲ)データ主体が当事者である契約を遵守すること、または契約を結ぶ前にデータ主体の要求に従うことが必要である。

 ⅳ) データ主体と他の主体との間の合意に従ってデータ主体の利益のために移転すること。

 ⅴ)  その時点でデータ主体の同意が得られなかった場合、データ主体、または他の人の生命、身体、または健康への損害を防止または中断するため。 

  ⅵ)実質的な公共の利益目的のために必要なとき。 

⑧ データ主体のポータビリテイの権利： PDPAは依然としてデータ主体にデータのポータビリテイの権利を与える。

⑨データ保護責任者(オフィサー)： 個人データ保護によって指定されたように、個人データを大規模に所有しているために、個人データの収集、使用、または転送が定期的に個人データまたはシステムの監視を要求する場合、コミッション、またはその中心的な活動が、機密の個人データの収集、使用、または転送に関連する場合、データ管理者およびデータ処理者はデータ保護担当者(オフィサー)を任命する。

⑩ 民事罰： 民事責任規定は変わっていない。 裁判所は、実際の損害の2倍の額の懲罰的損害賠償を命じることができる。

⑪ 行政罰： 行政罰金は、前回の草案と同様に、100万バーツ(約353万円)から500万バーツ(約1760万円)の範囲である。

2－1　Baker Mckenzie のブログ「タイの立法議会、データ保護法を可決」 (2019年3月9日発刊)の仮訳

 　タイ王国の個人情報保護法(PDPA)は、2019年2月28日に国民立法議会によって最終的に承認された。この法律は国王の承認とその後の官報への掲載のために提出される予定である。

　約20年間に及ぶ数々の試みの後（最後の挙げた下記の一連のクライアントへの警告を参照いただきたい）、タイの個人情報保護法がついに承認され、2019年2月28日に国民立法議会によって承認された。DPAは国王の承認とその後の官報への掲載のために提出される。

　このPDPAは、タイ王国における個人情報保護の展望を変える。タイ憲法はプライバシーの権利を支持しているが、タイはこれまでデータ保護全般を統括するいかなる連結法も持っていなかった。 電気通信、医療、銀行、信用調査機関など、特定の事業部門には特定の法律しかなかった。PDPAは、タイで一般に情報保護を管理する最初の連結法となる。

　 PDPAには、企業が認識すべきいくつかの重要なポイントがある。すなわち、タイ以外の域外適用可能性、データ主体への通知要件、同意要件、未成年者の同意、個人データの収集、使用、開示、および国境を越えたデータ移転である。機密データの明示的な同意要求とそれに関連する免除条件、データ主体の権利、セキュリティ対策、データ漏洩とその通知、処理活動の記録、タイ国内に確立されていない管理人または処理者の代理人の選任、データ保護責任者(オフィサー：DPO）同一事業グループ内での移転に対する国境を越えた移転要件の免除、規定された刑事上(注2)および行政上の罰則、ならびに民事責任に対する実際の懲罰的損害賠償等である。

 　PDPAはEU一般データ保護規則（GDPR）からさまざまな概念を引き出しているが、PDPAはタイの観点から開発された概念も反映している。GDPRへの準拠は、必ずしもPDPAへの準拠を意味するわけではない。したがって、企業はPDPAおよびGDPRに完全に準拠するためには、慎重な検討が不可欠である。

 　PDPAの最終版はまだ官報で公表されていないが（このクライアントからのアラートの発表日現在）、近々正式に発表される予定であり、官報に掲載された後、各事業体はPDPAの遵守に備えるための移行期間を持つことになる。 PDPAはタイ国内外のほとんどの事業体に適用されるため（例外はない）、すべての事業体は、個人データ関連の活動（顧客データ、サプライヤー・データ、従業員データ、請求および支払い文書など）の見直しを開始してほしい。 PDPAが施行されたら、データマッピング、個人データ関連文書の作成、およびPDPAを完全に遵守するためのその他の必要な企業内手順等の策定が必要となる。

＊タイ王国の情報保護法案に関するこれまでのBamer mckenzie の情報提供リスト

 日付およびタイトル  

① 2018年9月   公聴会のために発行された新しい個人データ保護法案 - GDPRに続く大幅な変更 

② 2018年4月   新ドラフト；タイ個人データ保護法案 - 領土外適用性の導入

③ 2018年1月   更新：タイの個人情報保護法案に関する公聴会、新しい規定を含む  

④ 2015年7月   タイにおける個人情報保護法案の最新動向 

⑤ 2015年1月   デジタルエコノミーイニシアティブの下での法案の起草

 ２－２ Norton Rose Fulbright LLPのブログ 「タイの個人情報保護法草案の概要 」(2018年8月6日発刊)の仮訳

 　アジア各国のデータ保護法は、引き続き導入され更新されている。とりわけ東南アジアにおける最新の立法動向の一つはタイである。

　2018年5月22日、タイの内閣は原則として、タイで最初の個人情報保護法（以下、「法草案」という）の改訂された草案を承認した。この草案法は、現在「国家立法議会」で審議中である。 

　タイには現在、データ保護を規制する特定の法律がない。2014年に首相府が最初に法草案を発表した。法草案は数回の改定を経ており、本ブログは最近承認された法草案の概要を概説することを目的とする。

　法草案は、世界のデータ保護法、特にEU「一般データ保護規則(以下「GDPR」という)」に共通する多くの概念と義務等を複製、取り込むように改訂された。 以下でこれらの主要な義務のいくつかを強調して説明する。

(1) 重要な項目の定義 

　法草案には、他国のデータ保護法に似たいくつかの重要な定義がある。

① 「個人データ」は、生きている個人を直接的または間接的に識別できる情報として広く定義されている。 

② 「データ管理者」とは、個人データの収集、使用または開示について決定を下す権限を持つ人物（自然人および法人）である。 

③ 「データ処理者」とは、データ管理者の指示に従って個人データを収集、使用または開示する者（自然人および法人）である。

(2) 個人データ保護のタイ国外への適用

　法草案は、タイにあるかどうかにかかわらず、タイの個人から収集した個人データを収集、使用または開示する（それらの個人がタイ国民であるかどうかにかかわらず）データ管理者とデータ処理者の両方を規制する。これは、タイ国外の団体・組織は法草案の適用を受ける可能性があることを意味する。 

(3) 一般的な保護原則である「同意」原則 

　規定された例外のいずれかが適用されない限り、個人データの収集、使用または開示の前またはその時点で、書面または電子的手段を介してデータ主体から特定の「同意」が必要である。データ主体は、同意を取り消すことに関する法律または契約の下での制限がない限り、いつでも自分の同意を取り消すことができる。

 ******************************************************************************:

(注1) Tilleke & Gibbins International Ltd法律事務所は、Cambodia, Indonesia, Laos, Myanmar, Thailand, Vietnamに事務所を置く。

(注2) 筆者は、刑事罰の具体的内容の確認はできなかった。タイ王国の政府官報でも未確認であり、法律の原文で「行政罰」と「刑罰」の定義・内容を確認した段階で本ブログを修正したい。

*************************************************************

 Copyright © 2006-2019 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

 

 

 

 

デンマークのデータ保護局のGDPR違反に基づきタクシー会社に対し120万DKK(約2,011万円)のはじめての罰金の告発を受け、裁判所命令が下る (その２完)

3)検査官の結論のより詳細なレビューは以下のとおりである。 

 項目1：乗車記録の匿名化について 

　Taxaが個人データを処理するシステムの1つにDDSパスファインダーシステムがある。 このシステムは、顧客の注文や課税にかかる乗車記録等に使用される。 

　すなわち、タクシーに乗ってDDSパスファインダーに登録すると、たとえば顧客の名前、電話番号、実行日時、乗車の開始時刻と終了時刻、走行距離（キロメートル）数、支払い、GPS座標や住所などの座標として指定された乗車開始位置と終了位置等に関する情報が格納される。タクシーで乗車を予約した顧客にリンクできる限り、記載されている情報は顧客に関する個人情報と見なされる。  

　検査訪問に関連して、タクシー会社は、乗車に関するDDSパスファインダー内の情報は2年後に匿名化され、この匿名化は顧客の名前がタクシーから削除されることにあると説明した。 Taxaはまた、顧客の電話番号は5年間保存されており、これは事業開発のためのデータ基盤としてのみ利用されえいると述べた。

　「個人データの匿名化」とは、情報に基づいて、または他の情報と組み合わせて、自然人を後で識別することができないことを意味する。その情報は人格的ではないということ。 これが取消不能であることは匿名化の条件である。 問題となっている自然人がいかなる方法でもその情報にリンクバックすることはできない。匿名化された情報は、もはやGDPRの適用対象にならない。 

　検査訪問中に、検査官はDDSパスファインダーでスポットチェックを実施した。記録から、顧客の電話番号が検索されたときにタクシーに乗ってから2年以上も顧客の納税申告書を検索できることが判明した。 顧客の名前のみがタクシーから削除されるという匿名化のためのTaxaの手順では、情報の本当の匿名化は行われないというのが検査官の意見である。特に、Taxaは、顧客の電話番号、走行日、走行の開始と終了、走行距離、支払い、GPS座標および/または住所として記載された開始位置と終了位置、および走行後2年後のその他の座標に関する個人データを処理し続けていた。 

　さらに、検査官は、Taxaが顧客の電話番号を継続的に処理し、それによって処理されたタクシー料金に関するその他の情報が匿名ではないことは、GDPRの第5条第1項に準拠していないと判断した。同項は、問題の個人データが処理される目的のために必要とされるよりも長い期間にわたってデータ主体を識別することが不可能であるような方法で個人データが格納されなければならないこと明記している。

　これに関連して、Taxa自身は、情報を2年間処理することだけが必要であると評価したことに注意すべきである。  

項目2：データ最小化の要件に関連して、顧客の電話番号を5年間保存した点 

　GDPRの第5条第1項 (c）は、個人データは十分で、関連性があり、それらが処理される目的のために必要なものに限定されなければならないと明記している。

　検査訪問に関連して、Taxaは検査官に対し顧客の電話番号がタクシーの運転後5年間保存されると述べた。さらに、Taxaは、顧客の電話番号はもっぱら事業開発のためのデータベースとして扱われ、その電話番号はDDSパスファインダーシステムの共通参照フレームであると述べた。 

　最後に、Taxaは検査官に、2年が経過した後に別の固有のID番号が電話番号と同じ目的を果たすことができるが、電話番号をID番号などに置き換えるためにシステムが逆行することはできないと説明した。

　検査官の見解では、顧客の電話番号がシステム内で重要かつ共通の参照フレームワークとして使用されているTaxaのDDSパスファインダーのレイアウトは、電話番号自体は問題の目的に必要ではないので、GDPRの第5条第1項(c)に準拠していない。これに関連して、検査官は、乗車に関する情報を新しいデータ構造に移行することに関連するコストは、2年後に顧客の電話番号を削除できなかったことを正当化する理由にはあたらないと指摘した。  

項目3：DDSパスファインダーのためのデータ修復手順の不明瞭さ 

　監査訪問の際に、Data Inspectorateは、顧客の電話番号の取り扱いに関して、Taxaが5年間の削除期限を決定する際にどのような考慮を払っているかを尋ねた。 

　これに関連して、Taxaは、電話番号がDDSパスファインダーの背後にあるデータベース全体への鍵であり、したがってTaxaの製品および事業開発に必要であると述べた。 

　検査訪問の後、北欧のローファーム「NORDIA Advokatfirma I / S（以下”NORDIA”という）」は 2018年11月28日付けの手紙で、Taxaは「タクシーの注文に従って最長5年間注文された電話番号を保持する」と述べた 。 同じ手紙の中で、NORDIAは、 「電話番号の保持はDDSパスファインダー・システムが機能するための前提条件である」と述べている。 これは、DDSパスファインダーシステムの共通の参照フレームが、旅行先から注文された電話番号であるためであった。

　 2018年12月7日付けの書簡で、データ検査官はタクシーに顧客の電話番号を5年間保存する理由を述べるようタクシーに要求した。同時に、データ検査担当者は、タクシーの注文を遵守するために保管が行われる場合には、さらに詳しく説明するために、タクシーの注文時に具体的に記載されているタスタをTaxaに要求した。 

 　2018年12月13日、NORDIAは、2018年12月7日の検査官の書簡に対する返事を送った。そこでは、Taxaは次のように述べていた。「"電話番号はTaxaシステムの鍵である。 したがって、Taxaが事業を遂行することと、Taxaの事業開発の基盤としての両方が維持される。 同時に、NORDIAは、「タクシーの注文に関する保管の理由は誤解によるものである」と述べた。 

　GDPR第5条第1項 (b）は、個人データは明示的かつ合法的な目的のために収集されなければならないと述べている。それはまた第5条第2項「管理者は、第1項について責任を負い、かつ、同項遵守を証明できるようにしなければならないものとする。（「アカウンタビリティ」）」からも導き.出される。

　 Taxaは、顧客の電話番号の法的根拠がDDSパスファインダーで扱われているかどうかについて何度も不確かであったため、Taxaがデータ保護規則の第5条第2項に基づく説明責任の要件を満たしていないと考えている。

項目4：削除手順の文書化について 

　個人データの削除の要件へのTaxaのGDPR準拠の監視の一環として、検査官は、削除の手順とその文書化を確認した。 

　削除手続きの文書化に関して、データ検査官は、Taxaが提出した資料に基づいて、選択されたすべてのシステムにおける削除手続きの文書化が表面的で一般的にみて不適切であることを確認できた。 

　検査訪問に関連して、検査官はまた、Taxaのシステムの削除に関するフォローアップ、 バックアップ時に、以前に削除された個人データの再ロードを処理する、システム内の削除を記録するなど、手順に関する文書の提出を要求した。

　バックアップを元に戻すときの削除および以前に削除された個人データの再読み込みの処理に関するフォローアップに関して、Taxaはこのための会社の手順に関する文書がないと述べた。 

　システムで行われた削除のログ記録に関して、検査官は、検査訪問に基づいて、監督上の訪問の対象となったシステムの4つのうち3つにおいて、手動のスプレッドシートで削除のログ記録のみが行われたと結論付けることができた。さらに、このスプレッドシートでは、特定の削除のログ記録は表示されず、そのシステムで誰が削除を行ったのか、およびいつ削除が行われたのかの履歴のみが示された。4番目のシステムでは、2018年6月14日に、Taxaは削除された情報を記録するための機能を実装しました。削除は2018年10月1日に依頼された。 

　データ保護法第5条第1項および第5条第2項に従い、データ管理者は、問題となっている個人データが処理される目的のために必要とされるよりも長期間にわたってデータ主体を識別することができなかったことを証明できなければならない。 

 　検査官は、Taxaが削除のフォローアップ、サービスバックアップを実行する際の以前に削除された個人データの再読み込みの処理、および削除に関するTaxaのログ記録が不十分であるため,、これらの手順を文書化していないため、GDPRの第5条第2項の要件を満たしていないと考えた。 

(3) 検査の結論 

　検査訪問に関連して検査官が確立した結果に基づいて、検査官は要約すると次のとおり結論の根拠を見出した。

1. Taxa は会社自体の個人データの匿名性手続きが不十分であるため、GDPR第5条第2項(e)（保管制限）要件を満たしていない。 

2. Taxa はデータ保護規則の第5条第１項(c)(データの最小化）の要件を満たしていない。5年間の顧客の電話番号の会社の保管は、それらが保管される目的に関連して必要ではなかった。

3. Taxa はGDR第5条第1項および第5条第2項の要件を満たしていない。会社がタクシーに乗った後5年間顧客の電話番号がどのトリートメントセンターに保存されているか。 明確に定義していなかった。

4. Taxa はGDPR第5条第1項および第5条第2項の要件を満たしていない。なぜなら、会社はシステム内で行われた削除とそれを行うための会社の手続きを適切に文書化していないからである。 

　これらの理由をもとに、前述のポイント1と2と比較して、検査官は本日、コペンハーゲン警察にTaxa の警察宛て報告を提出した。 

さらに、パラグラフ3と4に関連して、データ検査官は全体として、Taxa がGDPRの要件を満たしていないという深刻な批判を表明することの根拠を見出した。

(4) 参照

 [1] 「個人データの処理およびそのようなデータの自由な移動に関する個人情報の保護に関する規則」の追加規定に関する2018年5月23日法律第502号（デンマークのデータ保護法） (注4)

 [2] 個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/ECを廃止する欧州議会及び理事会の2016年4月27日の規則(EU) 2016/679 (一般データ保護規則) 

****************************************************************************

(注2)ここでいう「ポリシー」とは「社内ルール」である。

(注3) わが国でGDPRにおける匿名化（Anonymous）と仮名化(Pseudonymisation)の相違につき詳しく解説しているサイトから一部を以下、引用する。

「匿名というのは、個人の特定が不可能とされる状態を指します。そして、GDPRでは、「匿名化データ」は個人データに該当しません。注意が必要なのは、匿名化技術は、不可逆的に特定を防止するものでなければなりません。

　この匿名化についてGDPRの訳文の前文26条を引用する「(26) データ保護の基本原則は、識別された自然人又は識別可能な自然人に関する全ての情報に対して適用されなければならない。追加情報を使用しての利用によって自然人に属することを示しうる、仮名化を経た個人データは、識別可能な自然人に関する情報として考えられなければならない。ある自然人が識別可能であるかどうかを判断するためには、選別のような、自然人を直接又は間接に識別するために管理者又はそれ以外の者によって用いられる合理的な可能性のある全ての手段を考慮に入れなければならない。自然人を識別するために手段が用いられる合理的な可能性があるか否かを確認するためには、取扱いの時点において利用可能な技術及び技術の発展を考慮に入れた上で、識別のために要する費用及び時間量のような、全ての客観的な要素を考慮に入れなければならない。それゆえ、データ保護の基本原則は、匿名情報、すなわち、識別された自然人又は識別可能な自然人との関係をもたない情報、又は、データ主体を識別できないように匿名化された個人データに対しては、適用されない。本規則は、それゆえ、統計の目的又は調査研究の目的を含め、そのような匿名情報の取扱いに関するものではない。」

　一方、「仮名化データ」は、追加情報がないと個人を特定できないものです。

ただ、「仮名化データ」は、匿名化データとは異なり個人データになります。

仮名化データを具体的にいうと、データの中身を置換するなどして個人の情報が直接分からないように加工したものです。

例えば、データベースの中の、氏名や住所、電話番号などを、別の文字列に置換したものです。ただ、顧客IDなどのID列のデータはそのまま残っているので、加工前のデータが残っていれば、加工前のデータと紐づけると、個人特定ができる状態です。(以下、略す)

(注4) デンマークの監視機関である”Datatilsynet”サイトでは、これらの他に「犯罪者の防止、調査、探知または訴追の目的での所管官庁による個人データの処理に関する自然人の保護に関する2016年4月27日の欧州議会および理事会の指令（EU）2016/680 犯罪または刑事罰の執行、およびそのようなデータの自由な移動、ならびに議会の枠組み決定の廃止2008/977 / JHAに関する指令」、「法執行機関による個人データの処理に関する法律 (全10章23条)」、「デンマークのテレビ監視法に関する行政命令(Bekendtgørelse af lov om tv-overvågning)」が関係法令として列記されている。

**************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

 

デンマークのデータ保護局のGDPR違反に基づきタクシー会社に対し120万DKK(約2,011万円)のはじめての罰金の告発を受け、裁判所命令が下る (その1)

　さる3月27日付けのデンマークのローファームであるGorrissen Federspiel PLPは、標記ブログ(原文：英語)を掲載した。筆者は、このニュース自体につきすでにローファームFox Rothchild LLPのブログ「デンマークのデータ保護当局がデータ最小化違反を理由にCab Companyに警鐘を鳴らし続ける」で読んでおり、本ブログに掲載する予定でいたが、より事実関係、デンマークの保護関係法等から見て正確性を期したいと考え、”Gorrissen Federspiel PLP”のブログ「GDPRに違反している場合はTaxa 4x35に120万デンマーク・クローネの罰金が適用される」を仮訳し、補完的にFox Rothchild LLPのブログを引用したいと考えた。

　この解説記事を読むうえで読者が気になる点は、EU加盟国のDPAの行政罰を科しうる独自性であろう。すなわちEU加盟国のDGPR違反行為にもとづく筆者の解説解説の一連のブログ内容を読んで気が付くとおり、EU加盟国は原則、国内保護法をもって監督機関に独自の行政罰を科しうると定めていると思っていたのは筆者だけではあるまい。

　しかし、デンマークの法制度は異なる。本文第Ⅰ編の最後に述べるようにEU加盟国は国内のデータ保護の監督当局は、それぞれの行政権限で罰金を科すことができるが、デンマークの場合、データ保護局(Datatilsynet：Danish Data Protection Agency:以下”GDA”)(注1)は、ⅰ)まず警察に告訴にかかる報告書を発行しなければならない。その後、ⅱ)警察はDPAの請求内容を調査し、その請求が問題の会社等に対して訴訟を起こすのに十分な根拠になるかどうかを判断する。最終的にⅲ)デンマークの地方裁判所により、最高120万DKKの罰金が決定され、裁判所の命令により送付されたのである。

　したがって、本ブログは第Ⅰ編で”Gorrissen Federspiel PLP”のブログの仮訳し、次に第Ⅱ編でDatatilsynetのTaxa 4x35に対する個人データ処理の監督面からの詳細な検査結果報告(全文)を仮訳する。

　なお、今回取り上げたデンマークの法執行制度の特殊性に関し、第Ⅲ編としてデンマークの警察や裁判所を巻き込んだ行政処分の在り方など情報保護規制法制の独自性を解析する予定であったが、時間の関係で改めて取り上げる。

　最後に、いうまでもなく筆者はデンマーク語やデンマーク法は全くの素人であり、専門家による正確な解析を期待する。

　今回は、2回に分けて記載する。

 第Ⅰ編

１．デンマークのローファームブログ「GDPRに違反したタクシー会社(Taxa 4x35)に120万デンマーク・クローネの罰金が適用される」(原文:英語)の仮訳

(1) 事案の概要と経緯

　デンマークのデータ保護局(Datatilsynet:Danish Data Protection Agency:以下”GDA”という)は、このほどタクシー会社(Taxa 4x35)に対する検査官の検査結果をコペンハーゲン警察に報告し、GDPRの違反に対して120万デンマーククローネ(約2,011万円)の罰金をもって処すべき旨勧告した。これには、収集目的のために必要でなくなった情報を削除していないといった違反行為も含まれていた。

　2018年5月25日にEUのGDPRが施行された後、本件はデンマークにおいてデータ保護庁(GDA)が法執行機関たる警察および裁判所に告訴、命令が下された最初の会社への罰金判決例にあたる。

　デンマークのGDAによる検査は、タクシー会社がGDPRの第5条（1）（e）に従って保存および削除のポリシー手順を持っているかどうか、およびそのようなポリシー(注2)が社内で遵守されているかどうかに焦点を当てていた。 

　GDAは、タクシー会社のポリシーはGDPRに記載されているようにデータの保存と削除の要件の遵守を確実にしない表面的な手順を実行しただけであると認定した。 この結論は、主に、タクシー会社が2年間の保存期間の後にデータ主体の名前のみを削除することによって、および5年の期間の後にのみ電話番号を削除することによって個人データを匿名化したという主張の前提に基づいている。タクシー会社の乗車記録は2年以上前の8,873,333件のタクシー乗車に関する個人情報を保管していた

(2)匿名化(Anonymization)問題 

　タクシー会社が個人データを処理するシステムの1つに「DDSパスファインダー(DDS Pathfinder)」がある。

　このシステムは、顧客の注文やタクシー乗車記録を処理するために使用され、名前、電話番号、ＧＰＳ地理位置情報または住所情報、乗車の開始時および目的地への到着時のタイムスタンプを含む、いくつかの個人データを処理するものである。 

　このシステムは、名前、電話番号、ＧＰＳ地理位置情報または住所情報、乗車の開始時および目的地への到着時のタイムスタンプを含む、いくつかの個人データを処理する。 

　タクシー会社は、2年後にデータ主体の名前を削除するので、これは、DDSパスファインダーで処理されたデータを匿名化することを意味すると主張したGDPRは匿名化データは適用されない)。しかし、GDAの判断は、名前の削除が識別可能な個人にデータをリンクするかもしれないすべての識別子を取消不能に削除していないので、これは適切な匿名化を構成しない。例えば、地理位置情報、電話番号などの残りのデータは、すべての識別子を削除するわけではなく、組み合わせて特定のデータ主体を識別可能とする。つまり、「仮名化(Pseudonymisation)」であると指摘した。(注3)

　匿名化の厳密な要件に重点を置いていることは、システムから個人データの1項目のみを削除することによるタクシー会社の「匿名化」実務慣行では、匿名化されたシステムの宣言としては十分ではないとした。 

(3)データ保持期間の最小化 

　GDAの検査に関連して、タクシー会社は、DDSパスファインダーシステムの他の種類の個人データに適用される2年の保存期間を超えてさらに3年間にわたり電話番号を処理している旨当局に通知した。

　これは、タクシー会社がDDS Pathfinderシステムの参照番号として電話番号を使用しているという事実によって説明された。

　GDPRの第5条第1項（c）によれば、個人データは、適切で関連性があり、収集された目的を達成するために必要なものに限定される範囲内でのみ処理されなければならない。 

　そのため、タクシー会社はDDS Pathfinderシステムの参照番号からなる目的で、データをデータ主体を直接識別しないユニークな参照IDでその目的を達成できる場合は、電話番号が追加の3年間の処理においても必要であると主張した。

　電話番号ではなく、システムに参照番号を持つという目的を達成するために必要なものである。

(4) タクシー会社が主張する法的根拠の問題点 

　タクシー会社は、DDSパスファインダーシステムで参照番号として電話番号を使用するという事実に加えて、業務の遂行および事業開発目的のために電話番号を処理するという理由で、最大5年間まで電話番号の保存期間をさらに延長していた。

　GDOPRの第5条第1項(b）(目的の限定)によると、個人データは特定の明示的かつ合法的な目的のために収集されなければならない。

　タクシー会社の主張した法的根拠と電話番号の処理の目的の論点がそれた説明に基づき、GDAは個人情報の処理に関し管理者の責任として最も基本となる原則に反する点で、同社の理解不足に基づく不遵守に対する厳しい批判を表明した。

(5) 個人データの削除手続きおよびデータ保持手順 

　最後に、当局は、相当の内容の欠如およびそのような手続の遵守のためのプロセスに関して、タクシー会社の個人データ保持および削除手続（またはその欠如）に対する厳しい批判を表明した。

　すなわち、当局はその批判を強調し、会社は手動で更新された削除ログを超えた広範囲の方法で、システムとバックアップ回復ファイルで個人データが削除される方法と時期を証明できなければならない。したがって、システム内の削除ログには保持および削除手順を使用し、内部手順に記載されている要件に従ってログに基づいて削除するプロセスを使用する必要がある。当局は、これに関して、GDPR第5条第2項に規定されている要件に言及している。 つまり、データ管理者は、個人データが処理される目的に応じて必要とされる範囲を超えてデータ主体を識別することが不可能であることを証明できなければならない。したがって、タクシー会社はバックアップ回復ファイルを含む効果的な削除を確実にし、そしてこれを確実にするために適切な行動が実行されることを実証できなければならない。

(6) 次のステップ：罰金命令 

　EU加盟国のほとんどは、国内のデータ保護および監督当局はそれぞれの行政権限で罰金を科すことができる。

　しかし、デンマークではデータ保護局はまず警察に報告書を発行しなければならない。その後、警察はその請求を調査し、その請求が被告会社に対して訴訟を起こすのに十分な根拠になるかどうかを判断する。

　今回、デンマークの地方裁判所により、最高120万DKKの罰金が決定され、裁判所命令により命令が送付された。 

(7) デンマークにおける監督機関の最初の罰金の推奨から何を学ぶべきか？ 

　120万デンマーククローネの推奨罰金額は、GDPRの第5条に明らかに違反しているとみなしており、8,873,333件の個人データが含まれているという事実に基づいて評価されている。

　なお、GDPR第5条の違反は、被告会社の全世界の年間総売上高の最大4％の罰金によって制裁しうる。（GDPR第83条第5項）

　しかし、GDA推奨された罰金額が4％に近くないため、当局は違反の内容が重大ではないと判断したことを示している。

**********************************************************************:

第Ⅱ編

　Datatilsynetの「Taxa 4x35に対する個人データ処理の監督面からの詳細な検査結果報告(全文)」の仮訳

　Datatilsyntは3月19日付けでリリースした。同時に公開されたDatatilsynetの検査報告書(原文：デンマーク語)を仮訳する。なお、GDPRの条文番号等が確認できない箇所については筆者の責任で加筆、修正を行った。

　なお、第Ⅱ編の内容は必然的に第Ⅰ編と重複する点が多いが、その重複を整理するにはさらに時間がかかるのであえてそのまま訳した。

(1) 検査結果の概要 

　 2018年秋に、データ保護検査官はタクシー会社(Taxa 4x35:以下”Taxa”という)を訪問し、1)タクシー会社が顧客情報を削除するための期限を設定しているかどうか、また2)その期限がGDPRに基づき守られているかどうかを調べた。 

　Taxaによると、顧客の配車注文および個人課税等に使用される情報は2年後に匿名化されていた。これは、顧客を識別できるようにする必要がなくなったためである。

　ただし、2年後に削除されるのは顧客の名前だけであり、顧客の電話番号は削除されていなかった。したがって、顧客の乗車記録情報（集客先および届け先住所を含む）は、電話番号を介して自然人に帰属的にリンクさせることもでき、その電話番号は5年後に削除されていた。

　電話番号が2年後に削除されない理由は、Taxaによると、電話番号がシステムのデータベースへの鍵であり、したがって会社のサービスや事業開発等に関連して必要であるということであった。

　しかし、Datatilsyneの検査官(Data Inspectorate)によれば、TaxaのシステムがGDPRを遵守するのを困難にしているという理由だけで、削除期限を必要以上にさらに3年間を設定することはできないはずである。  

(2) 検査官の意見 

　検査官が計画しているTaxa への検査は、特にGDPRの第5条第3項に基づく個人データの削除に焦点を当てた。 

　検査官の要請により、Taxaは、個人データが処理される各システムについてアンケートを完了し、検査の訪問前に監査のための追加資料とともに提出した。実際の検査訪問は2018年10月3日に行われた。

1)　検査訪問に関連して検査官が確信した点に基づいて、検査官は以下で要約する結論の根拠を明らかにした。 

① タクシー会社の個人データの匿名化手続きが不十分であるため、GDPRの第5条第1項(e)(記録保管の制限)の要件を満たしていない。

② タクシー会社は、データ保護規則の第5条第1項(c)の要件(データの最小化原則）)を満たしていない。すなわち、タクシー会社による5年間の顧客の電話番号の保管は、それらが保管される目的に関連して必要ではなかった。(ポイント1) 

③ Taxa はGDPRの第5条第1項の要件を満たしていない。同会社が明確に定義していないため、タクシーに乗った後5年間顧客の電話番号がどのトリートメント/センターに保存されているかにつき責任をもって明示していない。(ポイント2)

④ タクシー会社は、GDPR第5条第2項の要件(アカウンタビリティ)を満たしていない。なぜなら、同会社はシステム内で行われた削除とそれを行うための会社の手続きを適切に文書化していなかったからである。 

2) ポイント1と2と比較のうえ、検査官は本日、コペンハーゲン警察にタクシー会社の警察報告を提出した。 

 さらに、前記パラグラフ3と4に関連して、データ検査官は全体として、TaxaがGDPRの要件を満たしていないという深刻な 批判を表明することにつき根拠を見つけた。 

****************************************************************************

(注1) Datatilsynetの任務・役割 :

The Danish Data Protection Agency is the independent authority that supervises compliance with the rules on protection of personal data. We provide guidance and advice as well as deal with complaints and make inspections.

***********************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

 

「ポーランドのデータ保護監督当局は、データ主体に通知することなく個人データの廃棄したデジタルマーケティング企業に対しGDPR違反として罰金を科す(補追版) 」

Last Updated ：April 13,2019

　筆者は、さる4月3日のブログで本件につきポーランド監督当局（以下「UODO」）の資料などにもとづき解説したが、事実関係、被告の反論内容、UODOの判断根拠等いまいち理解しがたい点が多かった。

　このほどCovington & Burling LLPが運営するブログ” Inside Privacy”の4月4日版が簡潔かつ論点をうまくまとめているので再度仮訳し、追加投稿することとした。なお、その後に読んだBaker Mckenzie のブログ「FIRST FINE FOR VIOLATION OF THE GDPR IN POLAND」の内容も併せ追加した。

1．事実関係

　2019年3月26日、ポーランドの個人データ保護局（以下「UDOD」という）は、データ主体に通知することなく公的登録機関から入手可能な情報源から得た「連絡先データ」を処理したデジタルマーケティング企業Bisnode(以下「会社」という)に対して約22万ユーロ(約572万円)の罰金を科した。EUの「一般データ保護規則(GDPR)」の第14条は、データ主体から直接個人データを取得していないデータ管理者に対し、データ取得後の妥当な期間内（最大1ヶ月）にデータがどのように処理されるかについての情報を主体あて提供することを義務づけている。

　会社は、ポーランドの「中央電子登録および経済活動情報登録簿(Central Registration and Information on Economic Activity (CEIDG)」および「国民裁判所登録簿(Krajowy Rejestr Sądowy ：KRS)」という公的登録データベースからの「連絡先データ」を抜き取り、「取引報告書」、「連絡先リスト」、および「その他の事業および経営コンサルティングサービスの提供」を自社の顧客に提供した。会社のシステムには、自然人の個人データ（個人取引業者や経済活動に携わっている人を含む）約7,600万件の記録があった。

 　2018年4月、会社は、電子メールアドレスを所有しているすべての個人（約68万人）に、個人データの処理方法に関する情報を電子メールにて送信した。会社はまた、同様の情報を含むデータ保護ポリシーをWebサイト上で公開した。しかし、他方、会社は、電話番号または住所しか持っていない個人（約6,500万人）に対しては、SMSまたは郵便での情報提供を行わなかった。

２．被告会社の反論

　UODOの検査に対するその弁護において、会社は次のように主張した。（i）当該データは公に入手可能な情報を構成するものである。（ii）処理が非常に限られたデータ(連絡先データの詳細のみ)のみである。（iii）個人の権利および自由を侵害するリスクが低かった。  （iv）会社は個人データを保護するために高いセキュリティ基準を採用している。（v）電子メールアドレスを持たない個人に情報を郵送することは、会社の事業に重大な影響を及ぼす可能性がある。すなわち、会社によると、書留郵便の送付費用は人件費やその他の費用（印刷、発送および発送の準備、紙、トナー、封筒、切手、返送など）を考慮しなくても780万ユーロ(約9億7,500万円)を超える。これらに基づいて、会社は、郵便で情報を提供することが「過大な負担」を構成し、GDPRの第14条（5）（b）の阻害を引き起こすことを示唆した。(注)

3．UODOの決定の根拠および追加処分

　この場合、UODOは、Webサイトのプライバシーポリシーによる情報の提供だけでは「十分」ではなく、会社が電話番号または住所を記載している個人と連絡を取ることは不可能ではなくまた過大な負担ではないと判断した。しかし、UODOは、会社が個人の連絡先の詳細を欠いており、他の情報源でこのデータを検索しなければならない場合は、これが会社にとって「過大な負担」を構成することになることを認識した。 

　会社は、データの処理について個人に通知することに関連する追加費用を回避したいという願いによって動機付けられたGDPRの第14条に意図的に違反していることが判明された。UODOの罰金に加えて、同社は、本決定から3ヶ月以内に、連絡先データを保持している全個人にも通知するよう命じられた。 

************************************************************************************************

(注1) ポーランド法務省の「裁判所登録簿(Krajowy Rejestr Sądowy :KRS)に関する一般情報」を仮訳する。

「国民裁判所登録簿」は、以下の3つの別個の登録簿から構成される中央集中型のコンピュータ化データベースである。

1.起業家の登録

2.協会、他の社会的および専門的組織、財団および公衆衛生機関の登録。

3.支払不能債務者の記録。 

「国民裁判所登録簿」は、国民裁判所登録簿に関する1997年8月20日の法律に基づいて作成され、2001年1月1日から施行中である。 

「国民裁判所登録簿」の目的は、登録事業体の法的地位（KRSの中央情報）、その財政状態の重要な要素およびその表現の仕方に関する容易に入手可能で信頼できる情報を提供することである。さらに、国民裁判所登録簿には、以下の商業的流通価値に関する起業家に関するその他の情報が含まれる。

1.未払税および関税に関する情報。

 2.社会保険機関（ZUS）への延滞金。

 3.債権者および未払い債務額。

(注2) 個人情報保護委員会のGDPR第14条（5）（b）の訳文を引用する。

特に、第89条第1項に定める条件及び保護措置による公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的、又は、統計の目的のための取扱いに関し、そのような情報の提供が不可能であるか、又は、過大な負担を要することが明らかな場合、又は、本条第1項に定める義務が当該取扱いの目的の達成を不可能としてしまうおそれ、又は、それを深刻に阻害するおそれがある範囲内において。そのような場合、その管理者は、その情報を公衆が利用可能とすることを含め、データ主体の権利及び自由並びに正当な利益を保護するための適切な措置を講ずるものとする

****************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

 

ポーランドの個人情報保護局長によるGDPR第14条違反に基づく最初の罰金の法執行(その3完)

Last Update: 5 may, 2019

(4) 標準契約条項

　起業家はまず、ECによって承認されたデータ保護に関する標準的な契約条項の使用について検討すべきである。

現在、欧州委員会の次の3つの決定が適用される。

1）EU情報保護指令(95/46 / EC)に基づく、個人データの第三国への移転に関する標準契約条項に関する2001/497 / ECの決定 (決定書の本文は、次のWebサイトで入手できる)

2) 2001/497 / ECの修正の決定2004/915 / ECによる、個人データの第三国への移転に関する標準契約条項の代替セットの導入に関する決定。( 決定書の本文は、次のWebサイトで入手できる)

3）欧州議会および理事会の指令95/46 / ECに基づき、第三国で確立された処理者への個人データの移転に関する標準契約条項に関する決定2010/87 / EU 。これにより、第三国の処理者へのデータ移転が可能になる。 決定書の本文は、次のWebサイトで入手できる。

(5) 拘束的企業準則 

　国際的な企業グループは、GDPRで規定されている整合性の手順の中で、UODOの個人データ保護監査総監室長(Inspector General for Personal Data Protection)またはUE加盟国からのデータ保護当局によって以前に承認された拘束的企業準則を使用することもできる。従来の拘束的企業準則は、第三国のグループに英国からのデータの輸入者を含めることによって修正しなければならないことを覚えておく必要がある。

(6)公共部門におけるデータ移転にかかる保障

　公的機関および団体によるデータ移転は、公的機関および団体間の法的拘束力および執行可能な手段に基づいて、個人情報保護局長の同意を得る必要なしに行い得る。公的機関またはデータ主体の法的強制力のある有効な権利を規定する団体間の管理上の取り決めに基づいて、個人情報保護局長の同意を得てデータ移転を行うことも可能である。(注9)

(7) 第49条 特定の状況における例外措置

　GDPRは、適切なレベルの保護を保証していない、または標準契約条項や拘束的企業準則などの適切な保護が確保されていない場合でも、第三国へのデータ移転を許可する。GDPRの第49条に言及されているその特定の状況とは次のとおりである。

1）データ主体は、適切な決定および適切な保護措置がないためにデータ主体にそのような移転が発生する可能性のあるリスクについて知らされた後に、提案された移転に明示的に同意した場合、その同意は以下の条件を満たす必要があることを強調しておく。

①明示的に

②特に移転または一連のデータ移転に関するものであること。

③特に同意を表明する人は、移転に関連する可能性のあるリスクの可能性を認識している必要があること。

2）データ主体と管理者との間の契約の履行、またはデータ主体の要求に応じて取られる事前契約上の措置の実施のために、移転が必要な場合。

3）移転が管理者と他の自然人または法人との間のデータ主体の利益のために締結された契約の締結または履行のために必要であること。

4）公共の利益の重要な理由のために移転が必要な場合。

5）移転は、法的主張の立証、行使または抗弁のために必要である場合。

6）データ主体が肉体的または法的に同意を得られない場合において、データ主体または他の者の重大な利益を保護するために移転が必要な場合。

7）移転は公的登録簿から行われること。

8）移転は、管理者が追求する合法的な利益を強制するために必要であり、追加要件が満たされていること。

　欧州データ保護委員会は、ガイドラインでデータ移転の上記の理由を詳細に説明している。

(8) 特に英国でサービスを提供する際にポーランド人のデータを処理する起業家の扱い

 GDPRは、次の場合、起業家に関しEU内に存在する人物に関するデータの処理に直接適用されるため、EU内に存在しない管理者や処理者に関するデータの処理にも適用される。

①データ主体の支払いが必要であるかどうかにかかわらず、商品またはサービスを欧州連合内のそのようなデータ主体に提供すること。 または ② 彼らの行動が彼らの行動の範囲内で行われる限り、彼らの行動の監視は欧州連合域内で行われること。 

　そのような起業家の場合、管理者または処理者は書面によりEU域内の代理人(注10)を書面で商品やサービスの提供に関連してデータが処理されるデータ主体、または行動が監視されるデータ主体を特定しなければならない。

　起業家は、自らによって行う処理が時折であり、大規模な場合には、特別なカテゴリーのデータの処理、または刑事有罪判決および犯罪に関連する個人データの処理を含まない場合、その処理の性質、文脈、範囲および目的を考慮して、自然人の権利および自由に対するリスクにより好ましくない結果をもたらす場合は、代理人を指名しなければならない。

(9) その他

欧州データ保護委員会(EDPB)は、GDPRの適用領域範囲に関するガイドライン(英語版)の第一版(3/2018)を採択した。

【付録(1)】

ポーランドのGDPRに準拠した国内法令の整備状況の遅れや具体的手続きの遅れ等

 (1)はじめに

　前述のとおり、ポーランドのRödl＆Partnerの弁護士グジェゴシュ・ゲンボレック( Grzegorz Gęborek) 氏の(2)以下で述べる簡単な報告(2018.6他)を読むと、議会におけるかなり立法措置など対応の遅れやUODOの解釈の混乱はあったことは間違いなかろう、しかし、一方でUODO局長ほか事務方はこの遅れを回復すべく努力していることもウェブサイトの内容からみて間違いない。 

 これに関し特記すべき点は、ポーランド、イタリア、スペイン、ブルガリア、およびクロアチアの保護法強化にかかるEUプロジェクトの１つである「T4DATA」プロジェクトに監督機関や国内の企業、公的行政機関に向けた共同作業の成果である。T4DATAプロジェクトは、欧州連合の「権利、平等および市民権プログラム（2014-2020）」によって共同資金提供されている。

T4DATAの活動の経緯を以下、まとめておく。

①ザグレブでのT4DATAプロジェクトパートナーの最初の会議

T4DATAプロジェクト：データ保護権限とデータ保護担当者のトレーニング

②情報セキュリティ管理者のためのトレーニングがある。

公共部門からの情報セキュリティ管理者 - 将来のデータ保護責任者 - のためのトレーニングがあるであろう。

③T4DATAプロジェクトの枠組み内でのトレーナーのための国境を越えた訓練

T4DATAプロジェクトの枠組み内でのトレーナーのための国境を越えた訓練、2018年10月8〜10日、ワルシャワで開催

④ワルシャワで開催されたT4DATAプロジェクトパートナーの第2回会議

2018年10月11日、T4DATAプロジェクトのパートナー。 議論の主なトピックは、公共部門で働くデータ保護責任者である。

⑤行政の代表者を対象とした新しい研修構想

2019年の5月と6月に、ヨーロッパと国連のための国家委員会個人データの保護 このイニシアチブはデータ保護担当者に向けられている。

 (2)ポーランドのGDPRの国内法対応他の仮訳

　ポーランドのデータ保護制度改革はまだ進行中の作業であり、今後数カ月のうちに終了することを示すものは何もない。議会の議員たちは2018年5月25日のGDPRの実施期限を守ることができず、約300の法令にまたがる業界固有の規制すべてを修正することができなかった。 ポーランドの法律をGDPRと調整するために設定された2年間の準備期間の後、ポーランドの新しい個人データ保護法(Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych；ACT of 10 May 2018 on the Protection of Personal Data)がぎりぎりの5月10日に採択、成立した。この国内法は2018年5月25日に施行され、一部の選択された法律(Ustawaの1頁の注記で関係法が列挙されている)を改正する規定が含まれている。 残りの法律は後で修正される予定であるため、データ保護法の大幅な修正はまだ行われると考えられる。法律自体だけでなく、それらの法律を実施する「規則」も改正する必要がある（規則案はまだ準備できていない）。  

(3) ポーランドの法律改革が現在も進行形 

　医療法などの高度に専門化された法律分野、または労働法などの事業に関連する法律における個人データ保護法令の日々の適用に関して、多数の懸念や疑問が生じている。雇用主や人事部門は、この範囲内で首尾一貫した法的枠組みを提供されないまま、求職者および従業員の個人データの処理をGDPRの要件に合わせるという困難な課題に直面している。その結果、個人データ処理の拘束力のある法令への準拠を確実にするためにとられるすべての措置は、新しい法律および規則に対応して数回にわたる検証および再修正される必要があるが、まだ数ヶ月以内にはそれらの措置は成立しそうもない。 

(4) 個人情報保護局(UODO)の最近時の積極的な活動 

　しかし、最近になって、ポーランドの監督当局である個人情報保護局[UODOの局長がより積極的になり、例えば、1)データ保護法の最も重要な変更に関するトレーニング・イベントを開催したり、2)ハンドブックを発行した。 局長の最も注目すべき活動は、2018年10月5日に開催された個人データ保護に関する雇用者の義務に関するトレーニング・セッションを含み、それは最初に保護局の個人データ保護検査官に向けられた。 このイベントの素晴らしいプラス面は、それがオンラインで利用可能だったということであった。  

　このトレーニング中に、データ保護局の専門家が、募集中および雇用期間を通じて個人データを処理する方法について指示を出した。研修 参加者は状況に応じた手順を教えられ、その結果、事務所の運営の最初の数ヶ月間および事務所主導の社会的協議の間に、UODOに向けられた質問に対する回答を受けた。  

(5) 職場における個人情報保護に関するガイドブック 

　データ保護局の検査官は、ビデオ監視を含むあらゆる形態の従業員監視を定期的に調査している。これは最終的に労働法で規制されている。このトピックは、トレーニングセッション中にも議論された。 このトレーニングイベントは、「職場における個人情報保護・雇用者のための手引き（Ochrona danych osobowych w miejscu pracy）」というガイドブックの発行にあわせ開催された。なお、同ガイドブックは事務所のウェブサイトで入手可能である。 

　このガイドブックは、企業グループ内での個人データの非常に物議を醸すデータ移転、臨時労働仲介機関等を通じて臨時労働者を雇用する場合の役割の確立など、国境を越えた業務を行う企業にとって非常に重要な実務上の多くの問題に対処したものでる。雇用者による新技術の使用に関し、ガイドブックは(ⅰ)就職活動、(ⅱ)採用プロセス、(ⅲ)雇用期間、および(ⅳ)労働法によって規制されているもの以外の雇用形態の4つのトピック分野をカバーしている。 

　これらトレーニングとガイドブックに大きな関心があるにもかかわらず、人事関係のデータ保護に関連するすべての問題を網羅しているわけではない。さらに、ガイドブックやトレーニング中に提示された意見のいくつかは、教義上の懸念を引き起こしている。 

(6) 更なる課題

　複雑で時々不明確な法令対応のために、UODOの見解は誤解され、その結果、誤って実行され、それは企業の解釈に害をもたらすかもしれない。その例としては、法律で厳格に規定されている場合にのみ求職者から同意を得る義務の欠如が広く議論されているが、これには労働法典に記載されていない非標準個人データの転送は含まれない。

(7) まとめ

　現時点では、データ保護法に違反したことによる制裁の可能性を回避できる実用的な人事ソリューションを指摘することは困難であるし、現実に3月26日に保護局長は22万ユーロの罰金を科した。その違反事実の詳細はうかがい知れないが、同国内への海外企業の悪影響は間違いなかろう。

　さらに、注目すべきことに、GDPR第83条に規定されEU全域に適用される行政上の罰金の他に、ポーランド議会の議員は新しいポーランドのデータ保護法（GDPRの下で許可されている）に「刑事罰」を導入した。 これは、UODOの局長のガイドブックにコメントすることをいっそう困難にする。 一方で、このガイドブックは、データ処理検査中のアプローチに影響を与える可能性がある監督当局の好みを反映している。またデータ処理に関わるすべての関係者が最初にGDPRを、次にGDPRと矛盾しない限り国内法を遵守しなければならないのに対し、場合によってはまったく珍しいと思われるその解釈は法律の根拠がない場合があり、実務上の混乱は避けられないであろう。

【付録(2)】

TechCrunch記事の要修正・追加が必要と思われる箇所

① 罰金金額800万ユーロの円換算の約99億8500万円は計算ミス→約9億9600万円が正しい。

② 「第14条の補足説明にある」・・具体的に何をさすのかが不明→EU指令第29条専門家会議の透明性に関するガイドラインP.26以下を引用すべき。

③「 欧州の最高裁判所」は誤り→「欧州司法裁判所」も誤り→「欧州連合司法裁判所」の訳語が正しい。

④ 苦情を訴える→異議申立てが正しい訳語。

⑤データ主体への通知期間の根拠条文として第14条第3項(a), (b)を追記すべき。

⑥ 2017年11月29日に採択されたWP29のガイドラインは「Article 29 Working Party Guidelines on transparency under Regulation 2016/679」P.26である旨明記すべき。WP29のガイドラインは多数ある。なお、わが国では”WP29”の訳語を個人情報保護委員会や国立国会図書館をはじめ99.9%が「作業部会」と訳している。その問題性は筆者のブログの(筆者注1)を参照されたい。

⑦ GDPR第14条には免責条項→「適用除外」条項とすべき。なお、第14条第5項(a),(b)を補記すべきであろう。

⑧ 第14条(5)→第14条第5項と記すべき。また「過大な努力」→「過大な負担」と訳すべき。

***********************************************************

(注9) GDPR第6条第1項後段参照。

(注10) GDPR第4条第17号において「代理人とは、EU域内に拠点のある自然人又は法人であって、第27条に従い、管理者又は処理者から書面によって指名され、本規則に基づく管理者又は処理者のそれぞれの義務に関して管理者又は処理者を代理する者のことを意味する」と定める。この定義に関し、実際はEU域内に設置する域外の海外法人の駐在員事務所、現地法人等を指すと考えるべきであろう。

**************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．