U.K. data protection(データ保護)法案によりオンラインでの「忘れられる権利」が強化

2017年8月7日
イギリスで導入されるデータ保護法案によって、企業がpersonal data(パーソナル・データ)をどのように使用するかを個人が容易に管理可能となった。

この法案では、privacy(プライバシー)法に違反した企業に課せられる制裁金も増加した。
制裁金の最大額は(従来の50万ポンドから大幅増額した)1700万ポンド、または企業の世界全体の売り上げの4%に相当する金額である。

個人は子供のころにソーシャルメディアにした投稿を削除要請可能となる。
また、法案は個人情報をオンラインで収集することに対し、明確な同意を与えるよう定めている。同意は「オプト・イン」方式のみが認められることとなる。

この法案の特長は

  • 企業の保持するpersonal data(パーソナル・データ)の削除を要求できるようになる
  • 親が子供のdeta使用に対して同意を与えられるようになる
  • personal data(パーソナル・データ)にインターネットのクッキーやIPアドレスを含むようになる
  • 組織に対してどのようなpersonal data(パーソナル・データ)を保持しているか、容易に開示要求できるようになる
  • 匿名データから個人を特定する犯罪を防止する
  • この法案は夏季休暇後の9月に採択される見込み。

    データ保護法:欧州の立法府、行政府、裁判所(2)

    前回は欧州議会(European Parliament)と欧州理事会(European Council)を解説した
    今回は、欧州評議会、欧州委員会について説明する。

    欧州評議会(Council of the EU)
    欧州議会(European Parliament)とともに、主に立法上の意思決定に関与する。各国の大臣が議論する政策に応じて出席するのが特徴である。
    欧州における立法過程は、法案を欧州委員会(European Commission)が提出し、欧州議会(European Parliament)と欧州評議会(Council of the EU)が検討するという構造になっている。

    欧州委員会(European Commission)
    EUの決定事項や政策を実施するのが欧州委員会(European Commission)である。法案の提出を含む、幅広い機能を持っている。data protection(データ保護)についての議論は欧州委員会(European Commission)で最も活発に行われてきた。
    欧州委員会(European Commission)は、EUの協定を尊重すると宣誓した、一加盟国につき一人の委員で構成される。

    次回は欧州司法裁判所について説明する。

    データ保護法:欧州の立法府、行政府、裁判所(1)

    前回に引き続き、欧州の機関について説明を続ける。まずは欧州議会と欧州理事会について説明する。

    欧州議会(European Parliament)
    直接選挙で選出される欧州連合(European Union)の議会組織。欧州の機関として直接選挙が行われるのは欧州議会だけである。

    主となる機能としては、立法(legislative development)、監督(supervisory oversight of other institutions)、および予算(development of budget)を担っている。

    欧州連合(European Union)のデータ保護(data protection)およびprivacy(プライバシー)に関する立法過程において、欧州議会(European Parliament)は最も大きな影響力を持っている。欧州議会(European Parliament)はデータ保護(data protection)を強く支持しており、privacy(プライバシー)に対しては、ほかの機関と比べて保守的な傾向がみられる。

    欧州理事会(European Council)
    欧州連合(European Union)の政治方針や優先事項を定める機関。
    欧州連合加盟国の国家元首または政府の長と欧州理事会議長、欧州委員会委員長、欧州連合外務・安全保障政策上級代表から成る。

    次回は欧州評議会、欧州委員会について説明する。

    インド最高裁判所(Supreme Court of India)がprivacy(プライバシー)を基本的人権に加えるかヒアリングを終了

    2017年8月2日
    インド最高裁判所は8月2日、privacy(プライバシー)を基本的人権に加えるかのヒアリングを終了した。
    結論は8月最終週に出る見込み。

    政府評議会は、privacy(プライバシー)を基本的人権と認めることに反対している。
    議論はprivacy(プライバシー)の必要性と社会的・経済的正義の間のバランスについて展開している。
    それによると、privacy(プライバシー)は一部のエリートの考えでしかなく、間違った行いをしている者たちだけが要求するものだという。

    データ保護法:欧州評議会(Council of Europe)と欧州連合(European Union)

    欧州評議会(Council of Europe)と欧州連合(European Union)は異なる機関である。

    欧州評議会(Council of Europe)は国際組織で47の国が加盟している。

    欧州連合(European Union)は経済的・政治的共同体であり、28の国が加盟している。ちなみに、欧州連合(European Union)に加盟している国はすべて、欧州評議会(Council of Europe)に加盟している。しかし、欧州連合(European Union)に加盟するためには欧州評議会(Council of Europe)に加盟していなければならないというわけではない。

    データ保護(data保護)と関連するもう一つの枠組みとして欧州経済領域(European Economic Area:以下EEA)がある。これは、1994年に欧州自由貿易連合(European Free Trade Association:以下EFTA)と欧州連合(European Union)との間で発効した協定に基づいて設置された。

    EEAに参加することで、EFTA加盟国が欧州連合(European Union)に加盟することなく、欧州連合(European Union)の単一市場に参加することができるようになった。

    現在は28の欧州連合(European Union)加盟国と3つのEFTA加盟国(アイスランド、リヒテンシュタイン、ノルウェー)が参加している。

    データ保護法:欧州のdata protection(データ保護)の歴史(2)

    前回に続いて、1990年代、2000年代、2010年代と10年ごとの区切りでマイルストーンとなる出来事を紹介する。

    1990年代
    条約108号(Convention 108)は批准国の数が少なく、批准したとしても断片的にしか批准されなかったため、効力に限界があった。
    この問題に対応するため、1990年、欧州員会(European Commission)は「指令」の作成を提案した。

    こうして、いわゆる欧州データ保護指令(EU Data Protection Directive (95/46/EC))が作成されることとなった。
    欧州データ保護指令(EU Data Protection Directive (95/46/EC))は条約108号(Convention 108)に含まれる原則をベンチマークとして使用している。

    この指令の導入により一般的なデータ保護(data protection)に係る原則と義務が定められ、EU加盟国に対して各国法制への指令の反映が定められた。

    2000年代
    2000年 欧州連合基本権憲章(Charter of Fundamental Rights of the EU)が公布される。欧州連合基本憲章は、personal data(パーソナル・データ)の保護に係る基本的な権利をはじめとし、包括的に個人の権利を集めたものである。
    2002年 プライバシー及び電子通信に関する規則(EU Directive on Privacy and Electronic Communications)(e-Privacy Directive)採択。2009年に改訂。公共電子通信サービスおよびネットワークを通じてpersonal data (パーソナル・データ)を取り扱う場合に適用される。
    2006年 EUデータ保護指令(Data Protection Directive(2006/24/EC))が採択。2014年に無効と判断される。(欧州司法裁判所(Court of Justice of the EU)の判断による)
    2009年 リスボン条約(Treaty of Lisbon)が発行 リスボン条約の発効により欧州連合基本権憲章(Charter of Fundamental Rights of the EU)に法的拘束力が生じた。

    2010年代
    2016年 一般データ保護規則(General Data Protection Regulation)が法制化。欧州データ保護指令(EU Data Protection Directive (95/46/EC))に置き換わり2018年5月25日に施行されることが決定。

    欧州におけるprivacy(プライバシー)とdata protection(データ保護)に係る法律をを司るのは欧州人権裁判所(European Court of Human Right(ECHR))である。
    その根拠は人権と基本的自由の保護のための条約(European Convention on Human Rights)と条約108号(Convention 108)にある。
    欧州人権裁判所(European Court of Human Right(ECHR))はEUに属さない独立した機関である。

    欧州人権裁判所(European Court of Human Right(ECHR))はpersonal data(パーソナル・データ)の保護について、データへのアクセス権の観点からも検討を行っている。

    さて、ここまで読んでいただいて、様々な機関が入れ代わり立ち代わりあらわれ、混乱し始めたことと思う。
    次回からは、欧州の成り立ちについてまず整理を行っておくことにする。以前の投稿でプレーヤーを理解することが大切と書いたが、情報を正確にフォローするためにも、どの機関がどういう機能を持っており、どのように関わり合っているのかを整理しておくことは有用だろう。

    データ保護法:欧州のdata protection(データ保護)の歴史(1)

    前回、Privacy(プライバシー)やdata protection(データ保護)の権利の起源として「世界人権宣言」(1948年)があることを紹介し、
    それをもとに欧州で「人権と基本的自由の保護のための条約」(1953年)が作成されたことを述べた。

    今回は、その後欧州でどのようにdata protection(データ保護)が発展していったかについて述べる。
    data protection(データ保護)の考え方は、ほかの多くの事柄がそうであったように、世の中の変化に伴う懸念の発生と、それへの対応の歴史である。

    1960年代、1970年代、と10年ごとの区切りでマイルストーンとなる出来事を紹介する。

    1960年代
    1960年代は、戦後の経済成長期であった。コンピュータや遠距離通信(telecommunication:テレコミュニケーション)が発達し、国際貿易が活発化した。

    1970年代
    国際貿易が活発化し、情報のやり取りが国を超えて行われるようになると、各国のprivacy(プライバシー)権と国際貿易にともなう情報流通との間で摩擦が生じるようになってきた。
    1970年代から1980年代にかけては、こういった問題が顕在化した時代である。膨大なpersonal data(パーソナル・データ)のデータ・バンクが作られ、国境を超えたデータの取り扱いが広まった。
    コミュニケーション技術の発達が、従来想定していなかったpersonal data(パーソナル・データ)の拡散という状況を生み出したのだ。

    1980年代
    この流れを受けて、1980年代には、data protection(データ保護)を先導する重要な枠組みが二つ作られた。

  • プライバシー保護と個人データの国際流通についてのガイドライン(OECDガイドライン)(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)
  • 条約108号(Convention 108)
  • OECDガイドラインは経済協力開発機構(Organisation for Economic Co-operation and Development)によって制定された、グローバル化する経済における、personal data(パーソナル・データ)のデータの流通(data flow)を円滑にするためのガイドラインである。2013年の改定では、基本的なdata protection(データ保護)についての原則が追加された。

    条約108号(Convention 108)は、正確には欧州評議会条約(Council of European Convention)という。欧州評議会加盟国に対してdata protection(データ保護)を行う手段を供した、最初の条約である。
    1981年に各国の署名に付された。ガイドラインとは異なり、加盟国が署名し、自国の法制に条約108号の適用することを求めている。

    次回は1990年以降の流れについて説明する。

    データ保護法:欧州のprivacy(プライバシー)とdata protection(データ保護)の土台

    欧州法規の難しさは、その構造の複雑さにある。欧州法規について理解するには、どういうプレーヤーがいるのかを把握することが最初の一歩として大切だ。
    各プレーヤーの役割を理解しながら、大きな視点で体制全体を俯瞰する必要がある。

    ここでは、GDPRが作られるまでの歴史と、その中でかかわりを持つプレーヤーについて書く。
    それぞれのプレーヤーについては、大きな歴史と関係をつかんだ後、詳細に説明することとする。

    では、さっそく歴史を見ていこう。
    世界のprivacy(プライバシー)に関する権利の起源となったのは、1948年12月10日に国際連合総会で採択された「世界人権宣言」(Universal Declaration of Human Rights)だ。
    世界人権宣言には法的拘束力はないが、その後結ばれる人権条約は世界人権宣言を参照してつくられている。世界中の人権保護条約の土台といってよい。

    この宣言は、12条、19条で「国籍にかかわらず保護されるべき私的生活の権利及び表現の自由の権利」を謳っている。同時に、バランスの重要性も29条で謳っている。

    世界人権宣言

  • 第12条 私的生活の保護  (Right to a private life)
  • 第19条 表現の自由の権利の保護 (Right to freedom of expression)
  • 第29条(2) バランス (Rights are not absolute)
  • privacy(プライバシー)と表現の自由はあるが、そこにバランスが必要だ、という考え方である。
    当然、欧州のdata protection(データ保護)法とdata protection(データ保護)標準も、この世界人権宣言に影響を受けている。

    欧州評議会(Council of Europe)は、1953年、一般的には「欧州人権条約」と呼ばれる「人権と基本的自由の保護のための条約」(European Convention on Human Rights)を作成した。
    欧州人権条約は人権と根源的な自由に対する権利を守るために作られた国際条約であり、欧州人権裁判所(European Court of Human Rights)がその実効を監視している。
    この条約は、欧州評議会加盟国によって批准され、欧州の基本的人権の根拠となっている。

    人権と基本的自由の保護のための条約

  • 第8条 個人の権利の保護  (Right of individuals)
  • 第10条 表現の自由の保護および国境を越えて情報や思想を共有する権利の保護 (Right of freedom of speech)
  • 第10条(2) バランス (Rights are not absolute)
  • 言葉は異なるが、世界人権宣言の内容が反映されていることが理解できるだろう。

    次回は、欧州におけるdata protection(データ保護)の歴史を見ていこう。

    Personal Data(パーソナル・データ)保護のポイントは基本的人権の保護

    前回の投稿ではGDPRのArticle 2とArticle 3をみて、GDPRの対象が誰かについて確認した。

    ポイントは以下の2点である。

    1.GDPRはEU法の適用を受ける国の法律
    2.ただし、EU法の適用を受ける国の居住者のデータであれば、データの所在がEU法の適用を受けない国であっても、EU法に従った扱いが必要

    2番目のポイントについては、実務上悩ましい疑問が残る。
    年に1週間しか滞在しない人は「居住者」となるのか、国籍が欧州にない場合は「居住者」とみなされるのか、Personal Data(パーソナル・データ)を取扱うサーバーだけがEU域内にある場合はどうなのか、などの疑問については
    今後、欧米での議論が収束するのを待つしかないだろう。このサイトでも、GDPRを説明し終わった後、10月ごろにかけて取り上げる予定だ。

    ところで、GDPRの適用範囲は法律の本質を教えてくれるようで興味深い。

    法律とは、社会を形成する人々が幸福に暮らすために最低限守らなければならない事柄を定めたものだ。
    後述するが、EU法ではPrivacy(プライバシー)の保護が基本的人権のひとつとして規定されている。
    GDPRの適用範囲は、EU法の適用を受ける国の居住者については、それが域外であっても基本的人権を侵害することを許さない、と読むことができる。

    欧州のPrivacy(プライバシー)に関する本気度相がうかがえる。
    多くの国が相克した歴史が生み出した価値観ではなかろうか。私は、そういう価値観を作り上げた欧州に敬意を抱く。

    Personal Data(パーソナル・データ)の保護の目的は、Privacy(プライバシー)の保護であり、Privacy(プライバシー)の保護の目的は、基本的人権の保護にある。
    規則、法律といった視点ではなく、文化圏としての「幸福追求」のあり方の表明という視点から見れば自ずと尊重する気持ちも湧く。

    次回からは、欧州のPrivacy(プライバシー)やデータ保護を背景から理解する。
    世界が、欧州がどういう足取りで現在の価値観に至ったのか、その過程を追うこととしよう。