All photos by courtesy of SuperHeadz INa Babylon.

English
English
Loading

コラム column

2012年2月13日

その他の実体法IT法

「新しいEUの個人データ保護規則」

弁護士 二関辰郎(骨董通り法律事務所 for the Arts)

今年の1月25日、EUにおいて法案提出権を持つ欧州委員会が、欧州議会及び欧州理事会の新たなデータ保護規則の法案を正式に公表した。この新しいデータ保護規則(「新規則」)は、成立すれば1995年EUデータ保護指令(95/ 46/ EC)に代わるものである。個人情報保護に関連して先進的な内容も多々含んでおり、EU域内外へのインパクトが大きい。本コラムでは、新規則の法案概要を紹介する。

1 基本的権利性の確認

新規則は、その前文の冒頭において、個人データの取り扱いに関する個人の保護は、基本的権利であることを確認し、EU基本権憲章8条(1)およびEU機能条約16条(1)において、何人も自己に関する個人データを保護する権利を有する旨規定されていることに言及している。

このように、EUでは基本的な条約において、個人データの保護が基本的権利として明記されている。それが単なるお題目でなく、個人データの保護が実際に尊重されていることは、新規則に取り入れられようとしているルールをみてもよくわかる。

2 指令(directive)から規則(regulation)へ

1995年のEUデータ保護指令は、その名のとおり「指令(directive)」であった。EUの法形式として、「指令」はそれ自体が直接適用されるわけではなく、EU加盟各国に対し、それぞれ「指令」に沿った国内法の制定を求めるルールである。国内法を制定する過程で各国に一定の裁量権が与えられる。それゆえ、「指令」の場合、EU域内において統一的なルールができるわけではない。そのため、EU域内の複数の国にまたがって個人データを扱う国際的な企業は、それぞれの国ごとに異なるルールに対応する必要があった。それに対し、法形式としての「規則(regulation)」は、EU域内全域において直接適用される。そのため、新規則が成立すれば、これまでEU域内の国ごとに様々であった個人データ保護のルールが統一化されることになる。従来、国ごとに担当政府機関への通知等を求められていた国際企業は、自社のメインオフィス所在地の国の担当政府機関にのみ通知等を行えばよくなる。

3 EU域外の企業への適用

たとえば、ある事業者が日本在住者を対象としてウエブサイトを運営しているとする。単にEU在住の個人もそのウエブサイトにアクセスできるというだけでは、その事業者は新規則の適用を受けない。さもないと、地球上のすべてのウエブサイトは新規則の適用を受けることになってしまう。

では、どのような場合に新規則が適用されるか。新規則によると、EU域内に在住する個人に対して商品あるいは役務の提供を行う場合であれば、EU域外の企業にも適用される。また、EU域内に在住する個人の行動をモニタリングする場合であれば、EU域外の企業にも適用される(3条2)。たとえば、クラウドコンピューティングを利用して、データをEU域外で処理・保存する場合でも、EU域内居住者への商品販売等を目的とする場合には、新規則の適用を受けることになる。

したがって、新規則は、日本の消費者に向けてネットビジネスを行っている域外企業に直接は適用されない。ただし、そうであるからといって、そのような企業が、新規則を単によそごととして片づけるわけにはいかないと考えられる。その点は後述する。

4 対象はIPアドレスやクッキーも含む「個人データ」

新規則は、「個人データ」を、「データ主体」に関する情報を意味するものと定義している(4条(2))。その「データ主体」の定義中には、「位置データ」や、IPアドレスやクッキー等を意味する「オンライン上の識別子」が明記されている(4条(1))。氏名や住所などの伝統的な意味での個人識別性は要求されていない。このため、クッキーに紐づけられた情報も「個人データ」に該当する。現時点での一般的な解釈に基づく日本の個人情報保護法の適用範囲よりも、適用対象が広い。

5 「同意」に関するルール

個人データの取扱いが合法化されるためには、データ主体が、特定の目的のために本人の個人データを取り扱うことに同意した場合であるか、あるいは新規則その他のEUの条約等に規定されている正当化事由のいずれかを満たした場合でなければならない。そのような正当化事由としては、たとえば、データ主体が当事者である契約を履行するために必要である場合、データ主体の重大な利益を保護するために必要である場合、事業者が追求する正当な利益を目的とするために必要であって、その利益を上回る個人データの保護を要求するデータ主体の利益または基本的権利や自由が存しない場合などがある(6条1)。最後の正当化事由は、特にデータ主体が子ども(18歳未満と定義されている〔4条(18)〕)の場合を念頭に置いている。

個人データの取り扱いに関するデータ主体の同意は、推定的なものでは足りず、明示的なものでなければならない(4条(8))。そのような同意があったことについては、事業者が立証責任を負う(7条1)。データ主体は、いつでも同意を撤回する権利を有する(7条3)。データ主体と取扱事業者の地位に重大な不均衡がある場合には、同意があってもそれだけではデータの取り扱いは正当化されないとする規定もある(同(4))。「重大な不均衡(significant imbalance)」は抽象的な概念であり、新規則にその定義があるわけではない。しかしながら、新規則の前文の中では、その例の1つとして、労働者の個人情報を雇用者が保有している場合をあげている。

2011年末に出回った新規則の草稿では、商業目的のダイレクトマーケティングのための個人データの取り扱いは、データ主体が、そのようなマーケティング用に個人データを取り扱うことに同意していた場合にのみ合法になるとしていた(草稿5条2)。しかし、正式に公表された法案からは、この条項は削除されている。

6 センシティブデータの取扱制限

いわゆるセンシティブデータの取り扱いは、本人の同意があった場合その他法定の例外がある場合以外は行ってはならない。センシティブデータとは、人種、民族的出自、政治的意見、宗教または信条、労働組合員たる資格を明らかにすることになる個人データ、遺伝ないし出生前のデータ、健康または性生活、犯罪歴又は関連する安全対策をいう(9条)。

7 「忘れられる権利」「データ・ポータビリティの権利」

データ主体は、一定の要件のもと、「忘れられる権利」、すなわち、自分に関する情報の消去を求める権利を有する(17条)。条文では、特に子ども(先述のとおり18歳未満と定義されている)のときに掲載した情報についてこの権利が認められる旨強調している(17条1)。これにより、たとえば、子どものときに安易にSNSに載せた情報のために、就職のときに不利益を被るといったことを防ぐこと等が想定されている。

データ主体は、一定の要件のもと、自己のデータをある事業者から受け取り、別の事業者に移行することができる(「データ・ポータビリティの権利」18条)。これにより、たとえば、1つのSNSから他のSNSにデータを移行することが容易になる。

8 プロファイリングに基づく評価を拒む権利

人に法的影響を及ぼし、あるいは重大な影響をあたえる評価であって、その人に関する個人的な側面を評価したり、その人の労働能力や経済状態、位置、健康、個人の嗜好、信頼性または行動を分析・予想することを意図した自動処理のみに基づく評価について、一定の例外的場合を除き、人はその対象になることを拒む権利を有する(20条)。

9 「データ侵害」の報告

個人データの不法な消去、改変、漏えい等につながるセキュリティの侵害(data breach)があった場合、事業者は、担当の政府機関に対して可能であれば24時間以内に通知する義務を負う。

10 第三国への個人データ移転の制限

1995年EUデータ保護指令25条が規定していた第三国への個人データ移転の制限と同様の規定は、新規則にも含まれている。すなわち、EU域内から域外の第三国等への個人データの移転は、欧州委員会が適切な保護レベルにあると認めた国等に対してしか認められない。

11 高額の罰金

重大な規則違反があった場合、担当政府機関は、100万ユーロあるいは法人の場合にはその法人の全世界的な年間売り上げの2%を上限とする罰金を課すことができる。重大な規則違反について、EUのプレスリリースでは、個人の同意無しに又は他の法的根拠無しにセンシティブデータを処理する場合を例としてあげている。

2011年末に出回った新規則の草稿では、罰金の対象となる法人の全世界的な年間売り上げの5%を上限とする規定もあったが、上限は2%に下げられている。

12 日本への影響等

以上、新規則のごく一部についてその概要を紹介した。

新規則は先進的な内容を多々含んでおり、今後の法案審議がどのようになるか、現時点では不明である。ただし、これまで2年以上にわたり、主要な利害関係者との協議や、大掛かりなパブリックコメントを2回行ってきた経緯もある(パブリックコメントの期間は、それぞれ約5か月間と2.5か月間)。2011年末に流布された新規則の法案の草稿には、「第56版」という記載があり、それまでのプロセスを踏まえて何度も書き直されてきたことを窺わせる。このような慎重な討議のプロセスを経ていることに照らすと、先進的な内容ゆえに成立は難しいと安易に予測することはできないように思える。新規則は、成立した場合、成立時から2年で施行される。

前述のとおり、新規則は、日本の消費者向けにネットビジネスを行っている企業に直接は適用されない。とはいえ、かつて1995年EUデータ保護指令が日本において個人情報保護法制定の原動力の1つになったように、成立した場合、その影響力は無視できない。さらに、新規則の適用を受けるグローバル企業が、日本でもEUと同レベルの運用を行う可能性もある。そのような企業との競業を想定すると、新規則の適用を直接は受けない日本企業も、EUのルールを単なるよそごととして片づけることはできないであろう。

以上

※本サイト上の文章は、すべて一般的な情報提供のために掲載するものであり、
法的若しくは専門的なアドバイスを目的とするものではありません。
※文章内容には適宜訂正や追加がおこなわれることがあります。
ページ上へ