イギリスはGDPRに準拠の予定

8月24日:
ギリス政府は政府発表を行い、GDPRに準拠したdata protection(データ保護)スキームを採用するとした。デジタル・文化大臣のマシュー・ハンコック大臣は、「将来イギリスがEUを離脱する際に、データ・フローが阻害されないことを望む」とコメントしている。

英国が考えるEUとの将来のデータやり取りとpersonal data保護の要件は以下の通りである:

  • データが、継続して、安全で適切に規制された形でやり取りされること
  • ビジネス、公共機関、個人が阻害されることなく、確信をもって活動できるようなものであること
  • EUとイギリスとの間で、現在および将来のdata protection(データ保護)問題に対し、世界のdata protection(データ保護)のリーダーたちとパートナーシップを組みつつ、継続的な規制上の協力体制を維持すること
  • 個人のprivacy(プライバシー)を保護するものであること
  • イギリスの主権を尊重し、イギリスがその市民を守り、data protection(データ保護)において主導的な地位を保持かつ発展させられるものであること
  • ビジネスに不要な追加費用を要求しないこと
  • インド最高裁がprivacy(プライバシー)を基本的人権の一つと認定

    インドで議論されていたprivacy(プライバシー)が基本的人権に該当するかどうかの結論が出た。
    結論は、憲法21条の下の基本的人権に該当する、との判断であった。

    インドでは現在Aadhaarというプログラムが実施されている。
    これは、市民の指紋、虹彩スキャンデータといった生体データ(biometric data)や人口統計データ、連絡先といった情報を収集した後、すべての市民に12桁の番号を割り当てるというものである。インド政府は社会保障の効果的な実施や、収賄等の防止策として期待している。

    Aadhaarは、プライバシー保護の観点が弱いと批判されていた。
    今回の決定で、インド政府はAadhaarのセキュリティの在り方を再検討しなければならなくなる。

    World Privacy Forumは歓迎のブログ投稿を行っている。

    A Big Win for Privacy in India

    GoogleがGDPR対応のためのweb siteを公開

    8月9日
    GoogleがGDPR対応のためのweb siteを公開した。web siteの対象は、Googleの顧客とパートナーである。

    Googleによると、Gmail、 AdWords、 AdSense、 DoubleClick、 AnalyticsといったGoogle社のサービスはすべてGDPRに適合する。
    このサイトでは以下の内容が解説されている。

  • how businesses can control how their data is used (データの用途はどのようにコントロールできるか)
  • how Google protects business data(Googleがどのようにビジネス上のデータを保護しているか)
  • how it’s complying with applicable data protection laws(Googleが適用されるdata protection(データ保護)法に対してどのような対応を行っているか)
  • how businesses can get more out of their data(データをより有効活用する方法)
  • Googleによると、Googleは定期的なオーディット(監査)を実施し、ISO、SAE等の認証を維持し、産業標準の契約による保護を行い、顧客やパートナーが適法にビジネスを行えるためのツールと情報を提供するとのこと。

    いい会社はABCができている。「当たり前(A)のことを馬鹿になって(B)ちゃんとする(C)」

    データ保護指令(Data Protection Directive: 95/46/EC)と欧州一般データ保護規則(General Data Protection Regulation)

    欧州の歴史を振り返ると一つのキーワードが浮かび上がってくる。
    “Harmonization”(調和)である。

    私が初めて海外法規や規格に関わるようになった時、”Harmonization”という言葉がしばらくピンとこなかった。
    ほぼ同質化した文化を前提とし、半ば同質化することを当然視している日本人にとって、”Harmonize”(調和する)という行為自体が非日常的なものかもしれない。

    しかし、欧州は事情が違う。力が相克し、大きな痛みを経てきた欧州では、その反省を踏まえて「欧州の統合」という試みを行ってきた。
    近年のギリシャ債権問題やBREXIT問題で「失敗」を揶揄されているが、平和と安定への切実な願いから、欧州は「共同体」として協調する術を模索し続けてきた。

    データ保護指令(Data Protection Directive: 95/46/EC)は、欧州で現在施行されているdata protection(データ保護)に係る指令だ。
    「指令」とは「法律」ではなく、「法律」を作るうえでの「青写真」である。

    産業界で使用されている「低電圧指令」や「機械指令」といったものも、同じ位置づけで、「法律」ではなくその「土台」を規定する。
    実際の法令は、各国が制定する。「調和」するためには、大きな概念を定め、「中身」は加盟国が決めて良いというバランス感覚がその背後にある。

    データ保護指令(Data Protection Directive: 95/46/EC)に置き換わる欧州一般データ保護規則(General Data Protection Regulation: 以下GDPR)は、他方「規則」=「義務」である。
    各国が「法律」を定めずとも、「義務」として欧州連合加盟国は遵守しなければならない。車関係の型式認証で知られている「Regulation(規則)」も同じ位置づけである。

    「Directive (指令)」と「Regulation (規則)」を使い分ける理由はただ一つだ。
    欧州連合加盟国で「単一のルール」を設定したいときには「Regulation (規則)」を作成し、ある程度ばらつきを許容する時には「Directive (指令)」で対応する、というイメージでほぼ間違いはないだろう。
    「協調」を模索する社会では、加盟国の自由を尊重するために「Directive (指令)」が好まれる。「Regulation (規則)」が用いられるのは、もしくは「国と国との間の相違」が共同体の経済運営上効率性を阻害する場合となる。

    data protection(データ保護)は、当初「Directive (指令)」で運用された。しかし、加盟国間の相違点が、特にデータの越境移動時に問題となることが多くなり、経済運営上効率性を阻害するようになった。
    GDPRが制定された背景はそこにある。

    ちなみに、GDPRは自由度も残している。GDPRの条項のうち約50の条項については加盟国ごとに明確化、除外規定を設定してもよいこととなっている。
    GDPRの解釈についての助言を行うのがWP 29 (The Aerticle 29 Working Party)である。WP29はデータ保護指令(Data Protection Directive: 95/46/EC)に対して設置された専門部会で、”Opinion”を公表しその正式な解釈を示してきた。
    “Opinion”には法的拘束力はないが、欧州の監督機関はWP29の助言に基づいて判断を行うため、実質的に拘束力を持っている。

    なお、GDPRが施行されるまでは、GDPRについての”Opinion”も公表する。GDPR施行後はWP29は廃止され、European Data Protection Board (EDPB)がその地位継承する。

    テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

    データ保護法:欧州の立法府、行政府、裁判所(3)

    前回は欧州評議会(Council of the EU)、欧州委員会(European Commission)を解説した
    今回は、欧州司法裁判所について説明する。

    欧州司法裁判所(Court of Justice of the EU)
    EUの裁判所に該当する欧州司法裁判所はルクセンブルク市に設置されている。欧州委員会が加盟国に対してとった行動またはEU法の下個人または組織がその権利を実現するための行動について、EU法関連の問題に対する決定や決定への強制力の実効性を持たせる機能を持つ。裁判所は欧州裁判所(European Court of Justice: ECJ)と高等裁判所(General Court)から構成されており、各国の裁判所がEU法を確認するために、各国の裁判所に対してEU法を開設する役割を持っている。

    以上で欧州の立法府、行政府、裁判所に関する紹介は終了した。

    次回からは、現在施行されているData Protection Directive(データ保護指令)とGDPR(欧州一般データ保護規則) の比較を行う。

    U.K. data protection(データ保護)法案によりオンラインでの「忘れられる権利」が強化

    2017年8月7日
    イギリスで導入されるデータ保護法案によって、企業がpersonal data(パーソナル・データ)をどのように使用するかを個人が容易に管理可能となった。

    この法案では、privacy(プライバシー)法に違反した企業に課せられる制裁金も増加した。
    制裁金の最大額は(従来の50万ポンドから大幅増額した)1700万ポンド、または企業の世界全体の売り上げの4%に相当する金額である。

    個人は子供のころにソーシャルメディアにした投稿を削除要請可能となる。
    また、法案は個人情報をオンラインで収集することに対し、明確な同意を与えるよう定めている。同意は「オプト・イン」方式のみが認められることとなる。

    この法案の特長は

  • 企業の保持するpersonal data(パーソナル・データ)の削除を要求できるようになる
  • 親が子供のdeta使用に対して同意を与えられるようになる
  • personal data(パーソナル・データ)にインターネットのクッキーやIPアドレスを含むようになる
  • 組織に対してどのようなpersonal data(パーソナル・データ)を保持しているか、容易に開示要求できるようになる
  • 匿名データから個人を特定する犯罪を防止する
  • この法案は夏季休暇後の9月に採択される見込み。

    データ保護法:欧州の立法府、行政府、裁判所(2)

    前回は欧州議会(European Parliament)と欧州理事会(European Council)を解説した
    今回は、欧州評議会、欧州委員会について説明する。

    欧州評議会(Council of the EU)
    欧州議会(European Parliament)とともに、主に立法上の意思決定に関与する。各国の大臣が議論する政策に応じて出席するのが特徴である。
    欧州における立法過程は、法案を欧州委員会(European Commission)が提出し、欧州議会(European Parliament)と欧州評議会(Council of the EU)が検討するという構造になっている。

    欧州委員会(European Commission)
    EUの決定事項や政策を実施するのが欧州委員会(European Commission)である。法案の提出を含む、幅広い機能を持っている。data protection(データ保護)についての議論は欧州委員会(European Commission)で最も活発に行われてきた。
    欧州委員会(European Commission)は、EUの協定を尊重すると宣誓した、一加盟国につき一人の委員で構成される。

    次回は欧州司法裁判所について説明する。

    データ保護法:欧州の立法府、行政府、裁判所(1)

    前回に引き続き、欧州の機関について説明を続ける。まずは欧州議会と欧州理事会について説明する。

    欧州議会(European Parliament)
    直接選挙で選出される欧州連合(European Union)の議会組織。欧州の機関として直接選挙が行われるのは欧州議会だけである。

    主となる機能としては、立法(legislative development)、監督(supervisory oversight of other institutions)、および予算(development of budget)を担っている。

    欧州連合(European Union)のデータ保護(data protection)およびprivacy(プライバシー)に関する立法過程において、欧州議会(European Parliament)は最も大きな影響力を持っている。欧州議会(European Parliament)はデータ保護(data protection)を強く支持しており、privacy(プライバシー)に対しては、ほかの機関と比べて保守的な傾向がみられる。

    欧州理事会(European Council)
    欧州連合(European Union)の政治方針や優先事項を定める機関。
    欧州連合加盟国の国家元首または政府の長と欧州理事会議長、欧州委員会委員長、欧州連合外務・安全保障政策上級代表から成る。

    次回は欧州評議会、欧州委員会について説明する。

    インド最高裁判所(Supreme Court of India)がprivacy(プライバシー)を基本的人権に加えるかヒアリングを終了

    2017年8月2日
    インド最高裁判所は8月2日、privacy(プライバシー)を基本的人権に加えるかのヒアリングを終了した。
    結論は8月最終週に出る見込み。

    政府評議会は、privacy(プライバシー)を基本的人権と認めることに反対している。
    議論はprivacy(プライバシー)の必要性と社会的・経済的正義の間のバランスについて展開している。
    それによると、privacy(プライバシー)は一部のエリートの考えでしかなく、間違った行いをしている者たちだけが要求するものだという。