「データ保護法」カテゴリーアーカイブ

日本が十分性認定を取得

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひご訪問・ご登録ください。

日本の個人情報保護委員会が「日EU間の相互の円滑な個人データの移転~ボーダレスな越境移転が実現~」とのプレスリリースを発表しました。本日付で日EU間のデータ移転が自由に行えるようになります。(日本の個人情報保護法に厳密に従っており、かつ補完ルールを遵守していれば)

GDPRのデータ移転の問題が解消されただけであり、処理の部分は従来と同様適切な対応を行う必要があります。

前回の投稿でも指摘したとおり、これは政治的な動きでしかなく、データ保護そのものについての疑念は残っている模様です。安部首相がダボス会議でデータ流通についての制度整備を呼びかけると報道されていますので、それ以前に認定しようという「忖度」が働いたのだと思われます。

以下の投稿をご参照ください。

【報告】GDPR:日本の十分性認定についてのEDPBの懸念

前回の投稿でも指摘したとおり、政治的思惑で決定された十分性認定であれば無効化される可能性も高いと考え、契約による代替措置をとっておくことがよいように感じます。

日本の十分性認定は1月中?!

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひご訪問・ご登録ください。

日本の個人情報保護委員会が「日欧の個人データ移転に係る相互認証の時期について 」という文書を発行しています。それによると、「欧州委員会が提案した日本の十分性認定案を歓迎する意見を採択したところ、事務的な手続きのため、欧州委員会による最終決定が1月中になると見込まれています。」とされています。

【報告】GDPR:日本の十分性認定についてのEDPBの懸念

でも報告したとおり、EDPBはかなり深い懸念を示しており、「歓迎」したという報告は俄かには信じがたいというのが当社の感覚です。日本の十分性認定については「相互認証」という政治的な用語が使用されており、そういった背景もあっての発表なのかもしれません。

いずれにせよ、政治的思惑で決定された十分性認定であれば無効化される可能性も高いと考え、契約による代替措置をとっておくことがよいように感じます。

展示会でGDPR適合の指示

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひご訪問・ご登録ください。

欧州での展示会で適切なPrivacy Policy / Privacy Statement / Privacy Noticeを提示するよう主催者が促すケースが少しずつでてきました。当社が関わってきた展示会では、展示会の主催者自体の対応がまだまだ遅れていることも多いのですが、半年を経て少しずつ浸透していることを感じます。

中小企業で欧州でビジネスを展開されている場合は、まずはウェブサイト上のPrivacy PolicyやPrivacy Noticeを更新することからはじめることも多いと思います。

当社でもテンプレートの提供や作成代行を行っておりますので、ご相談ください。

プライバシーとは何だろうか?

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひご訪問・ご登録ください。

年末から年始にかけて、データ・プライバシーのニュースが紙面やネットを飾る機会が増えてきました。AI革命、モビリティ革命、ビッグ・データ、データ流通、プラットフォーマー、GAFAといった言葉を目にしない日はありません。WTOがデータ流通の新ルールつくりに取り組む等データ流通に対しても関心が高まりつつあります。

アメリカでは2019年は2018年に引き続きプライバシーの専門家が忙しくなる年となるだろうという報告もあります。

NHKの「白熱教室」という番組でマイケル・サンデル教授が「プライバシーとは何か」を取り上げていました。ディスカッションをもとに議論を深め、安易な回答ではなく議論そのものに価値をおく彼のスタンスは急速な変化の時代にある私たちに議論のあり方を示してくれるように感じます。

今回は30代前後の若者がプライバシーについての議論を行いましたが、興味深かったのが、そもそも「プライバシーとは何か」という点について明確な定義ができなかった点です。検索履歴が本当にプライバシー侵害となるのか、位置情報が本当にプライバシー侵害となるのか、行動ターゲティング・マーケティングのどこがプライバシー侵害なのだろうか?

こういった根本的な問いに対して皆さんならどのように回答するでしょうか?

「他人に知られたくないようなことは、そもそもすべきではない」というGoogleの元CEOであるエリック・シュミットの発言は本当なのでしょうか?

2019年も非常に興味深い年になりそうです。

大学関係者向けのプライバシーの教科書

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

JETROさんで助言を提供している関係で、大学の方からデータ・プライバシー対応について相談を受けることがしばしばあります。基本的な対応は企業だろうと大学だろうと変わらないのですが、student dataに特化した処分事例の報告も出ています。こういった背景もあり良い本がないかと考えていたところ、まさに学生のデータ・プライバシーに特化した本が出ました。

大学関係者の方はぜひ一読ください。

データ保護法:欧州の立法府、行政府、裁判所(3)

前回は欧州評議会(Council of the EU)、欧州委員会(European Commission)を解説した
今回は、欧州司法裁判所について説明する。

欧州司法裁判所(Court of Justice of the EU)
EUの裁判所に該当する欧州司法裁判所はルクセンブルク市に設置されている。欧州委員会が加盟国に対してとった行動またはEU法の下個人または組織がその権利を実現するための行動について、EU法関連の問題に対する決定や決定への強制力の実効性を持たせる機能を持つ。裁判所は欧州裁判所(European Court of Justice: ECJ)と高等裁判所(General Court)から構成されており、各国の裁判所がEU法を確認するために、各国の裁判所に対してEU法を開設する役割を持っている。

以上で欧州の立法府、行政府、裁判所に関する紹介は終了した。

次回からは、現在施行されているData Protection Directive(データ保護指令)とGDPR(欧州一般データ保護規則) の比較を行う。

データ保護法:欧州の立法府、行政府、裁判所(2)

前回は欧州議会(European Parliament)と欧州理事会(European Council)を解説した
今回は、欧州評議会、欧州委員会について説明する。

欧州評議会(Council of the EU)
欧州議会(European Parliament)とともに、主に立法上の意思決定に関与する。各国の大臣が議論する政策に応じて出席するのが特徴である。
欧州における立法過程は、法案を欧州委員会(European Commission)が提出し、欧州議会(European Parliament)と欧州評議会(Council of the EU)が検討するという構造になっている。

欧州委員会(European Commission)
EUの決定事項や政策を実施するのが欧州委員会(European Commission)である。法案の提出を含む、幅広い機能を持っている。data protection(データ保護)についての議論は欧州委員会(European Commission)で最も活発に行われてきた。
欧州委員会(European Commission)は、EUの協定を尊重すると宣誓した、一加盟国につき一人の委員で構成される。

次回は欧州司法裁判所について説明する。

データ保護法:欧州の立法府、行政府、裁判所(1)

前回に引き続き、欧州の機関について説明を続ける。まずは欧州議会と欧州理事会について説明する。

欧州議会(European Parliament)
直接選挙で選出される欧州連合(European Union)の議会組織。欧州の機関として直接選挙が行われるのは欧州議会だけである。

主となる機能としては、立法(legislative development)、監督(supervisory oversight of other institutions)、および予算(development of budget)を担っている。

欧州連合(European Union)のデータ保護(data protection)およびprivacy(プライバシー)に関する立法過程において、欧州議会(European Parliament)は最も大きな影響力を持っている。欧州議会(European Parliament)はデータ保護(data protection)を強く支持しており、privacy(プライバシー)に対しては、ほかの機関と比べて保守的な傾向がみられる。

欧州理事会(European Council)
欧州連合(European Union)の政治方針や優先事項を定める機関。
欧州連合加盟国の国家元首または政府の長と欧州理事会議長、欧州委員会委員長、欧州連合外務・安全保障政策上級代表から成る。

次回は欧州評議会、欧州委員会について説明する。

データ保護法:欧州評議会(Council of Europe)と欧州連合(European Union)

欧州評議会(Council of Europe)と欧州連合(European Union)は異なる機関である。

欧州評議会(Council of Europe)は国際組織で47の国が加盟している。

欧州連合(European Union)は経済的・政治的共同体であり、28の国が加盟している。ちなみに、欧州連合(European Union)に加盟している国はすべて、欧州評議会(Council of Europe)に加盟している。しかし、欧州連合(European Union)に加盟するためには欧州評議会(Council of Europe)に加盟していなければならないというわけではない。

データ保護(data保護)と関連するもう一つの枠組みとして欧州経済領域(European Economic Area:以下EEA)がある。これは、1994年に欧州自由貿易連合(European Free Trade Association:以下EFTA)と欧州連合(European Union)との間で発効した協定に基づいて設置された。

EEAに参加することで、EFTA加盟国が欧州連合(European Union)に加盟することなく、欧州連合(European Union)の単一市場に参加することができるようになった。

現在は28の欧州連合(European Union)加盟国と3つのEFTA加盟国(アイスランド、リヒテンシュタイン、ノルウェー)が参加している。

データ保護法:欧州のdata protection(データ保護)の歴史(2)

前回に続いて、1990年代、2000年代、2010年代と10年ごとの区切りでマイルストーンとなる出来事を紹介する。

1990年代
条約108号(Convention 108)は批准国の数が少なく、批准したとしても断片的にしか批准されなかったため、効力に限界があった。
この問題に対応するため、1990年、欧州員会(European Commission)は「指令」の作成を提案した。

こうして、いわゆる欧州データ保護指令(EU Data Protection Directive (95/46/EC))が作成されることとなった。
欧州データ保護指令(EU Data Protection Directive (95/46/EC))は条約108号(Convention 108)に含まれる原則をベンチマークとして使用している。

この指令の導入により一般的なデータ保護(data protection)に係る原則と義務が定められ、EU加盟国に対して各国法制への指令の反映が定められた。

2000年代
2000年 欧州連合基本権憲章(Charter of Fundamental Rights of the EU)が公布される。欧州連合基本憲章は、personal data(パーソナル・データ)の保護に係る基本的な権利をはじめとし、包括的に個人の権利を集めたものである。
2002年 プライバシー及び電子通信に関する規則(EU Directive on Privacy and Electronic Communications)(e-Privacy Directive)採択。2009年に改訂。公共電子通信サービスおよびネットワークを通じてpersonal data (パーソナル・データ)を取り扱う場合に適用される。
2006年 EUデータ保護指令(Data Protection Directive(2006/24/EC))が採択。2014年に無効と判断される。(欧州司法裁判所(Court of Justice of the EU)の判断による)
2009年 リスボン条約(Treaty of Lisbon)が発行 リスボン条約の発効により欧州連合基本権憲章(Charter of Fundamental Rights of the EU)に法的拘束力が生じた。

2010年代
2016年 一般データ保護規則(General Data Protection Regulation)が法制化。欧州データ保護指令(EU Data Protection Directive (95/46/EC))に置き換わり2018年5月25日に施行されることが決定。

欧州におけるprivacy(プライバシー)とdata protection(データ保護)に係る法律をを司るのは欧州人権裁判所(European Court of Human Right(ECHR))である。
その根拠は人権と基本的自由の保護のための条約(European Convention on Human Rights)と条約108号(Convention 108)にある。
欧州人権裁判所(European Court of Human Right(ECHR))はEUに属さない独立した機関である。

欧州人権裁判所(European Court of Human Right(ECHR))はpersonal data(パーソナル・データ)の保護について、データへのアクセス権の観点からも検討を行っている。

さて、ここまで読んでいただいて、様々な機関が入れ代わり立ち代わりあらわれ、混乱し始めたことと思う。
次回からは、欧州の成り立ちについてまず整理を行っておくことにする。以前の投稿でプレーヤーを理解することが大切と書いたが、情報を正確にフォローするためにも、どの機関がどういう機能を持っており、どのように関わり合っているのかを整理しておくことは有用だろう。