データ保護法:欧州評議会(Council of Europe)と欧州連合(European Union)

欧州評議会(Council of Europe)と欧州連合(European Union)は異なる機関である。

欧州評議会(Council of Europe)は国際組織で47の国が加盟している。

欧州連合(European Union)は経済的・政治的共同体であり、28の国が加盟している。ちなみに、欧州連合(European Union)に加盟している国はすべて、欧州評議会(Council of Europe)に加盟している。しかし、欧州連合(European Union)に加盟するためには欧州評議会(Council of Europe)に加盟していなければならないというわけではない。

データ保護(data保護)と関連するもう一つの枠組みとして欧州経済領域(European Economic Area:以下EEA)がある。これは、1994年に欧州自由貿易連合(European Free Trade Association:以下EFTA)と欧州連合(European Union)との間で発効した協定に基づいて設置された。

EEAに参加することで、EFTA加盟国が欧州連合(European Union)に加盟することなく、欧州連合(European Union)の単一市場に参加することができるようになった。

現在は28の欧州連合(European Union)加盟国と3つのEFTA加盟国(アイスランド、リヒテンシュタイン、ノルウェー)が参加している。

データ保護法:欧州のdata protection(データ保護)の歴史(2)

前回に続いて、1990年代、2000年代、2010年代と10年ごとの区切りでマイルストーンとなる出来事を紹介する。

1990年代
条約108号(Convention 108)は批准国の数が少なく、批准したとしても断片的にしか批准されなかったため、効力に限界があった。
この問題に対応するため、1990年、欧州員会(European Commission)は「指令」の作成を提案した。

こうして、いわゆる欧州データ保護指令(EU Data Protection Directive (95/46/EC))が作成されることとなった。
欧州データ保護指令(EU Data Protection Directive (95/46/EC))は条約108号(Convention 108)に含まれる原則をベンチマークとして使用している。

この指令の導入により一般的なデータ保護(data protection)に係る原則と義務が定められ、EU加盟国に対して各国法制への指令の反映が定められた。

2000年代
2000年 欧州連合基本権憲章(Charter of Fundamental Rights of the EU)が公布される。欧州連合基本憲章は、personal data(パーソナル・データ)の保護に係る基本的な権利をはじめとし、包括的に個人の権利を集めたものである。
2002年 プライバシー及び電子通信に関する規則(EU Directive on Privacy and Electronic Communications)(e-Privacy Directive)採択。2009年に改訂。公共電子通信サービスおよびネットワークを通じてpersonal data (パーソナル・データ)を取り扱う場合に適用される。
2006年 EUデータ保護指令(Data Protection Directive(2006/24/EC))が採択。2014年に無効と判断される。(欧州司法裁判所(Court of Justice of the EU)の判断による)
2009年 リスボン条約(Treaty of Lisbon)が発行 リスボン条約の発効により欧州連合基本権憲章(Charter of Fundamental Rights of the EU)に法的拘束力が生じた。

2010年代
2016年 一般データ保護規則(General Data Protection Regulation)が法制化。欧州データ保護指令(EU Data Protection Directive (95/46/EC))に置き換わり2018年5月25日に施行されることが決定。

欧州におけるprivacy(プライバシー)とdata protection(データ保護)に係る法律をを司るのは欧州人権裁判所(European Court of Human Right(ECHR))である。
その根拠は人権と基本的自由の保護のための条約(European Convention on Human Rights)と条約108号(Convention 108)にある。
欧州人権裁判所(European Court of Human Right(ECHR))はEUに属さない独立した機関である。

欧州人権裁判所(European Court of Human Right(ECHR))はpersonal data(パーソナル・データ)の保護について、データへのアクセス権の観点からも検討を行っている。

さて、ここまで読んでいただいて、様々な機関が入れ代わり立ち代わりあらわれ、混乱し始めたことと思う。
次回からは、欧州の成り立ちについてまず整理を行っておくことにする。以前の投稿でプレーヤーを理解することが大切と書いたが、情報を正確にフォローするためにも、どの機関がどういう機能を持っており、どのように関わり合っているのかを整理しておくことは有用だろう。

データ保護法:欧州のdata protection(データ保護)の歴史(1)

前回、Privacy(プライバシー)やdata protection(データ保護)の権利の起源として「世界人権宣言」(1948年)があることを紹介し、
それをもとに欧州で「人権と基本的自由の保護のための条約」(1953年)が作成されたことを述べた。

今回は、その後欧州でどのようにdata protection(データ保護)が発展していったかについて述べる。
data protection(データ保護)の考え方は、ほかの多くの事柄がそうであったように、世の中の変化に伴う懸念の発生と、それへの対応の歴史である。

1960年代、1970年代、と10年ごとの区切りでマイルストーンとなる出来事を紹介する。

1960年代
1960年代は、戦後の経済成長期であった。コンピュータや遠距離通信(telecommunication:テレコミュニケーション)が発達し、国際貿易が活発化した。

1970年代
国際貿易が活発化し、情報のやり取りが国を超えて行われるようになると、各国のprivacy(プライバシー)権と国際貿易にともなう情報流通との間で摩擦が生じるようになってきた。
1970年代から1980年代にかけては、こういった問題が顕在化した時代である。膨大なpersonal data(パーソナル・データ)のデータ・バンクが作られ、国境を超えたデータの取り扱いが広まった。
コミュニケーション技術の発達が、従来想定していなかったpersonal data(パーソナル・データ)の拡散という状況を生み出したのだ。

1980年代
この流れを受けて、1980年代には、data protection(データ保護)を先導する重要な枠組みが二つ作られた。

  • プライバシー保護と個人データの国際流通についてのガイドライン(OECDガイドライン)(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)
  • 条約108号(Convention 108)
  • OECDガイドラインは経済協力開発機構(Organisation for Economic Co-operation and Development)によって制定された、グローバル化する経済における、personal data(パーソナル・データ)のデータの流通(data flow)を円滑にするためのガイドラインである。2013年の改定では、基本的なdata protection(データ保護)についての原則が追加された。

    条約108号(Convention 108)は、正確には欧州評議会条約(Council of European Convention)という。欧州評議会加盟国に対してdata protection(データ保護)を行う手段を供した、最初の条約である。
    1981年に各国の署名に付された。ガイドラインとは異なり、加盟国が署名し、自国の法制に条約108号の適用することを求めている。

    次回は1990年以降の流れについて説明する。

    データ保護法:欧州のprivacy(プライバシー)とdata protection(データ保護)の土台

    欧州法規の難しさは、その構造の複雑さにある。欧州法規について理解するには、どういうプレーヤーがいるのかを把握することが最初の一歩として大切だ。
    各プレーヤーの役割を理解しながら、大きな視点で体制全体を俯瞰する必要がある。

    ここでは、GDPRが作られるまでの歴史と、その中でかかわりを持つプレーヤーについて書く。
    それぞれのプレーヤーについては、大きな歴史と関係をつかんだ後、詳細に説明することとする。

    では、さっそく歴史を見ていこう。
    世界のprivacy(プライバシー)に関する権利の起源となったのは、1948年12月10日に国際連合総会で採択された「世界人権宣言」(Universal Declaration of Human Rights)だ。
    世界人権宣言には法的拘束力はないが、その後結ばれる人権条約は世界人権宣言を参照してつくられている。世界中の人権保護条約の土台といってよい。

    この宣言は、12条、19条で「国籍にかかわらず保護されるべき私的生活の権利及び表現の自由の権利」を謳っている。同時に、バランスの重要性も29条で謳っている。

    世界人権宣言

  • 第12条 私的生活の保護  (Right to a private life)
  • 第19条 表現の自由の権利の保護 (Right to freedom of expression)
  • 第29条(2) バランス (Rights are not absolute)
  • privacy(プライバシー)と表現の自由はあるが、そこにバランスが必要だ、という考え方である。
    当然、欧州のdata protection(データ保護)法とdata protection(データ保護)標準も、この世界人権宣言に影響を受けている。

    欧州評議会(Council of Europe)は、1953年、一般的には「欧州人権条約」と呼ばれる「人権と基本的自由の保護のための条約」(European Convention on Human Rights)を作成した。
    欧州人権条約は人権と根源的な自由に対する権利を守るために作られた国際条約であり、欧州人権裁判所(European Court of Human Rights)がその実効を監視している。
    この条約は、欧州評議会加盟国によって批准され、欧州の基本的人権の根拠となっている。

    人権と基本的自由の保護のための条約

  • 第8条 個人の権利の保護  (Right of individuals)
  • 第10条 表現の自由の保護および国境を越えて情報や思想を共有する権利の保護 (Right of freedom of speech)
  • 第10条(2) バランス (Rights are not absolute)
  • 言葉は異なるが、世界人権宣言の内容が反映されていることが理解できるだろう。

    次回は、欧州におけるdata protection(データ保護)の歴史を見ていこう。

    Personal Data(パーソナル・データ)保護のポイントは基本的人権の保護

    前回の投稿ではGDPRのArticle 2とArticle 3をみて、GDPRの対象が誰かについて確認した。

    ポイントは以下の2点である。

    1.GDPRはEU法の適用を受ける国の法律
    2.ただし、EU法の適用を受ける国の居住者のデータであれば、データの所在がEU法の適用を受けない国であっても、EU法に従った扱いが必要

    2番目のポイントについては、実務上悩ましい疑問が残る。
    年に1週間しか滞在しない人は「居住者」となるのか、国籍が欧州にない場合は「居住者」とみなされるのか、Personal Data(パーソナル・データ)を取扱うサーバーだけがEU域内にある場合はどうなのか、などの疑問については
    今後、欧米での議論が収束するのを待つしかないだろう。このサイトでも、GDPRを説明し終わった後、10月ごろにかけて取り上げる予定だ。

    ところで、GDPRの適用範囲は法律の本質を教えてくれるようで興味深い。

    法律とは、社会を形成する人々が幸福に暮らすために最低限守らなければならない事柄を定めたものだ。
    後述するが、EU法ではPrivacy(プライバシー)の保護が基本的人権のひとつとして規定されている。
    GDPRの適用範囲は、EU法の適用を受ける国の居住者については、それが域外であっても基本的人権を侵害することを許さない、と読むことができる。

    欧州のPrivacy(プライバシー)に関する本気度相がうかがえる。
    多くの国が相克した歴史が生み出した価値観ではなかろうか。私は、そういう価値観を作り上げた欧州に敬意を抱く。

    Personal Data(パーソナル・データ)の保護の目的は、Privacy(プライバシー)の保護であり、Privacy(プライバシー)の保護の目的は、基本的人権の保護にある。
    規則、法律といった視点ではなく、文化圏としての「幸福追求」のあり方の表明という視点から見れば自ずと尊重する気持ちも湧く。

    次回からは、欧州のPrivacy(プライバシー)やデータ保護を背景から理解する。
    世界が、欧州がどういう足取りで現在の価値観に至ったのか、その過程を追うこととしよう。

    GDPR適応の対象と必要な対応

    日本にいる我々にとっては、真っ先に気になるのは「何をしなければならないのか」ということだろう。

    答えは簡単であり、複雑だ。一言でいうのであれば、「欧州一般データ保護規則(以下、GDPR)適応の対象かを見極め、適応の対象となる場合は日本の改正個人情報保護法のみならず、必要な形でGDPRに準拠する」となる。

    複雑なのは、二つの理由からだ。

    一つ目の理由は、GDPRの対象でなければ本当に対応が不要なのか考える必要があることである。
    前回の投稿で述べた通り、GDPRはPersonal Data(パーソナル・データ)とPrivacy(プライバシー)について共通言語を世界にもたらした。当然、世界中でGDPRの法的フレームワークが参照され、一部同化していくことが見込まれる。今は適用外であっても、将来的には適用される可能性がある。安易に適用外なので対応しないというのではなく、長期的な視点を含めたうえで判断することをお勧めする。

    二つ目の理由は、「GDPRに準拠する」というのは言葉でいうほど簡単なものではないことである。
    これについても前回の投稿で少し触れたが、日本にとっては「個人情報保護」というのは、輸入された概念でしかない。議論の徹底度には、差があると言わざるを得ない。それ故に、安易な判断をしないよう注意が必要である。例えば、Personal Data(パーソナル・データ)と「個人情報」とは同一の概念ではなく、日本の枠組みで考えるとPersonal Data(パーソナル・データ)の取り扱いを誤る可能性が高くなる。

    GDPRに準拠するには、論理的に定義の意味と概念、そして背景から積み上げて理解する必要がある。表面的な理解でやり過ごしていると、日本人が毛嫌いする「模造品」のように、見た目は似ているけれども中身は「雑」なもので終始してしまう。「模造品」がすぐに壊れるように、安易な対応はやがてほころびを見せることとなるだろう。GDPRに準拠するのであれば、正しく理解したうえで、要点を抑えた対応をすることが大切だ。

    このブログの目的は、世界で生じているPersonal Data(パーソナル・データ)保護の動きを日本人が背景も含めて理解し、中長期的に正しく対応できる環境を整えることである。そのマイルストーンのひとつとして、GDPRを欧米の文脈の中で齟齬の少ない理解ができるよう情報提供していく所存だ。お付き合い願えれば幸いだ。

    さて、本題に戻るが、「対象」と「必要な対応」についてだ。
    「必要な対応」については、さしあたって「必要な形でGDPRに準拠する」を答えとしておく。拙速な対応をしないためにも、実務的な回答については今後少しずつ明らかにしていくこととしよう。

    「対象」については、GDPRのArticle 2 (2)の条文を引用しておく。
    (※ 条文の翻訳はJIPDEC(一般財団法人日本情報経済社会推進協会)作成の翻訳をベースとしている。)
    Article 2 (2):(除外規定)
    This Regulation does not apply to the processing of personal data:
    (次に掲げるPersonal Data(パーソナル・データ)の取り扱いには適用されない)

    (a) in the course of an activity which falls outside the scope of Union law;
    (EU法の適用を受けない活動)

    (b) by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the TEU;
    (EU条約、第5編第2章の適用を行う加盟国による活動)

    (c) by a natural person in the course of a purely personal or household activity;
    (全面的に個人的なまたは家庭内の活動における自然人による活動)

    (d) by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security.
    (公共の安全への脅威に対する保護及び防止を含む、犯罪の防止、検査、探知、起訴、または刑事罰を科すために所轄官庁が行う活動)

    原則はEU加盟国の法律であり、EU圏内での活動を行っているものが対象となる。
    他方、「非欧州国であってもこの適用を受けるケースがある」であるというのはArticle 3の規定による。

    Article 3 (2):(地理的範囲についての規定)
    This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
    (本規則は、EU域内に拠点のない管理者または取扱者によるEU在住のデータ主体のPersonal Data(パーソナル・データ)の取扱に適用される。ただし、取扱い活動が次に掲げる項目に関連しているものに限られる)

    (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
    (EU在住のデータ主体に対する商品またはサービスの提供に関する取扱い。この場合データ主体に支払が要求されるか否かについては問わない)

    (b) the monitoring of their behaviour as far as their behaviour takes place within the Union.
    (EU域内で行われるデータ主体の行動の監視に関する取扱い)

    管理者、取扱者、データ主体等の専門用語が理解を妨げるが、これらについては今後解説していく。
    原則はEU加盟国に適用するが、EU在住の個人についてPersonal Data(パーソナル・データ)を「商品、サービスの提供」という目的のもと扱うことがある場合やEU在住の個人の行動をモニタすることがある場合は、GDPRの対象となるわけである。

    この項については次回少し補足し、なぜこのような規定があるのかの背景を理解していこうと考えている。

    欧州一般データ保護規則(GDPR:General Data Protection Regulation)が施行される

    近年、個人情報への社会の関心が急速に高まっている。
    一方で、個人情報と聞いても、なんとなく気持ち悪いけれども具体的にどういう問題が生じるのかは知らない、わからない、というのが一般的な肌感覚ではないだろうか。

    おそらくこれは、日本人という国民性が影響していると私は考えている。「集団」を重んじる私たち日本人にとって、「個人」の権利といわれても「なにをおいても尊重すべきもの」という感覚はそれほど強くない。

    良いとか悪いという問題ではないのだが、たとえば、日常的に数十時間から、場合によっては100時間を超す(断ることが難しい)残業を「人権侵害」と訴えることに違和感を覚える日本人は多いだろう。
    この感覚がある限り、現在世界で話題になっているPrivacy(プライバシー)について、正確に理解することは難しいと言わざるを得ない。

    日本にとって、「個人情報保護」というのは、輸入された概念でしかない。そのため、欧州の人々が感じているような切迫感を日本人が感じるのは難しいだろう。

    Personal Data(パーソナル・データ)保護で世界をけん引している欧州では、Privacy(プライバシー)の議論に切迫感がある。原動力となっているのは、「個人の権利」を護るという前提だ。欧州の様々な法制度や議論は、権力者が行った第二次大戦中に行われた「個人」からの搾取に対するアレルギー反応の産物といってもよい。それだけに、欧州におけるPersonal Data(パーソナル・データ)の議論は、生きた議論であり真剣なものだ。学ぶところも多い。

    このブログでは、今話題の欧州一般データ保護規則(GDPR)の解説を軸にしながら、世界のPersonal Dataにまつわる動向と法制度、対応の温度差について解説する。最終的には「個人情報」の議論の本質と、対策のあるべき姿についても話をしたいと考えている。

    読者としては、弁護士をはじめとするPrivacy(プライバシー)の専門家、企業の法務部門、企業の経営者層を想定している。できるだけわかりやすく説明していくが不明な点、質問があればいつでも問い合わせて欲しい。問い合わせはe-mailでも、コメント欄への投稿でも構わない。読者からのフィードバック、質問がこの問題を掘り下げる一助となる。どんな小さな事でも気軽に尋ねていただきたい。

    ちなみに、この分野の話題であれば欧州に限らず、アメリカ、アジア各国の情報についても情報提供が可能だ。私はライフワークとして国内企業の海外法令・規格対応支援に取り組んでいる。海外にも専門家のネットワークがあるため、必要があれば直接問い合わせをして確認することも可能だ。お力になれることがあれば幸いである。

    前置きが長くなったが、欧州一般データ保護規則(以下GDPR)について書いていこう。
    GDPRとは、General Data Protection Regulationの頭文字をとったもので、定訳はないが、ここでは「欧州一般データ保護規則」と訳しておく。
    GDPRは欧州経済領域(European Economic Area: EEA)に居住する個人のPersonal Dataを保護することを目的とした規則であり、2006年に採択されたされたDirective 95/46(一般に「欧州データ保護指令」と呼ばれる)に置き換わるものである。

    欧州の法律だが、今、世界中で議論されている。
    日本でも法律事務所や会計事務所がセミナーを開いたりしているので、お聞き及びの方もいるだろう。

    最初に浮かぶ疑問は、欧州の規則がなぜ欧州以外の国々に関係するのか、ということだろう。たとえば日本をとれば、外国の法律はあくまでも外国の法律であり、日本に住む我々には影響を与えないはずである。

    GDPRについて注意しなければならないのは、欧州の規則でありながら、非欧州国であってもこの適用を受けるケースがあるためである。

    さらに、違反を摘発された場合、課徴金として最大で2,000万ユーロまたは全世界の総売上の最大4%のいずれか高い方が課されると定められている(規則83条5項)。

    欧州の法律でありながら、世界中が着目しているのは、まさにこの違反条項があるためだ。

    課徴金については独占禁止法(正確には「欧州連合競争法」)の考え方を参照して制定されている。
    独占禁止法が欧州で施行されたときに、インテルが10億6000万ユーロ(14億5000万ドル)制裁金を課せられた(2009年告発、2014年インテルの訴えを棄却)ことを考えると、ただの脅しではなく実効性のあるものであると理解すべきである。

    これはあるアメリカのプライバシー専門家の言葉だが、「欧州が勝手に決めたことを我々に押し付けて変革を迫るというのはナンセンスで迷惑な話でしかない」、というのが本音だろう。しかし、GDPRの施行は2018年5月25日だ。GDPRの適用を受ける可能性がある事業体は、速やかな対応が必要である。

    (誰が対象となるのか、そしてどういう対応が必要なのかについては次回紹介する。)

    GDPRに歓迎すべき要素があるとすると、歴史上はじめてPrivacyやPersonal Dataに関して世界が「共通言語」を持つようになった点である。欧州と米国は法整備の方針が異なっている。日本を含むアジア、オセアニア地域の法制度は混とんとしている。そういった状況の中、世界中の専門家がGDPRについて研究を始め、対策をとりつつある。議論が深まれば、GDPRの修正について議論が生まれる局面もでてくるに違いない。

    GDPRは、同一の土台に立って対話を行う基盤を整備した。対話が始まるというのは大きな前進だ。歓迎すべき動きである。

    私個人としては、Personal Data(パーソナル・データ)の尊重は煩雑であっても丁寧に議論し扱うべき内容と考えている。真に人を尊重する世界を形成する上で、避けてはならない議論が、Personal Data(パーソナル・データ)やPrivacy(プライバシー)の概念だ。人は自由に生きてもよい。独自の生き方を選択できる自由こそが、個人の幸福を促進する。Personal Data(パーソナル・データ)やPrivacy(プライバシー)について正しく理解し、対応することは、社会に幸福な人が増えるための基盤といってもよい。

    少しでも多くの日本人が、この概念になじみ、より幸福な社会を形成する原動力となってくれることを願ってやまない。

    欧州司法裁判所(CJEU)がEU-カナダ間の乗客名簿データ移転案に懸念を表明

    2017年7月26日
    欧州司法裁判所(Court of Justice of the European Union:CJEU)は、EU-カナダ間で提案されていた乗客名簿データ(PNR)の処理および移転に対して、データ保護に関する基本的人権に抵触するものだとして違憲の見解を表明した。EU-カナダ間の合意は再検討され、発行が遅れることとなる。

    CJEUによると、「合意はEUからカナダへのSensitive Data(取扱いに注意を要するデータ)移転およびその保管を除外していないため欧州連合基本権憲章に抵触する。」
    EU圏外にSensitive Data(取扱いに注意を要する)データを持ち出すには「テロ又は越境犯罪に対する治安上の安全確保の目的を除く、精緻かつ確固たる正当性」が必要であり、現在の合意にはこの点が欠如していると判断された。

    CJEUによる修正要求事項は以下の通り。

  • PNRデータ移転について、より明確で詳細な手順を定めること
  •  

  • PNRデータの自動処理モデルをより具体的にすること。また信頼性を高め、差別的待遇が生じないものとすること。
  •  

  • カナダがPNRデータを利用できるのはテロや重大な越境犯罪に関係した便についてのみであるとの条項を追加すること。
  •  

  • たとえ当該国が同等の合意を有する、もしくはEU評議会から十分性認定を受けているとしても、PNRデータを非EU圏に移転することは制限すること。
  •  

  • カナダ滞在中もしくはカナダを離れた後データが公表されたかについて、データ主体に確実に通知すること。
  •  

  • 航空機の乗客が、PNRデータの処理に関して規則に従って保護されているということを、独立した監視機関によって行われる点について、保証すること。
  •  

    なお、Sensitive Dataの定義は個人データ保護指令(Directive 95/46)及び一般データ保護規則(GDPR)で以下の通り規定されている。

  • 人種・民族に関する情報
  •  

  • 政治的信条に関する情報
  •  

  • 信仰・思想に関する情報
  •  

  • 加盟している労働組合に関する情報
  •  

  • 健康状態・性的志向に関するデータの処理
  •  
    (以上は個人データ保護指令(Directive 95/46)の時からある定義)
     

  • 遺伝子に関する情報
  •  

  • の個人を特定するために使用されるバイオメトリクスデータ
  •  
    (以上はGDPRで新規に追加された定義)
     
    ※Tele2 Sverige社の裁判では「通信データの保管(retained telecommunications data)」も”sensitive”な側面を持つと言及されており、Sensitive Dataの定義は今後も拡大される可能性がある。