データ保護法:欧州の立法府、行政府、裁判所(2)

前回は欧州議会(European Parliament)と欧州理事会(European Council)を解説した
今回は、欧州評議会、欧州委員会について説明する。

欧州評議会(Council of the EU)
欧州議会(European Parliament)とともに、主に立法上の意思決定に関与する。各国の大臣が議論する政策に応じて出席するのが特徴である。
欧州における立法過程は、法案を欧州委員会(European Commission)が提出し、欧州議会(European Parliament)と欧州評議会(Council of the EU)が検討するという構造になっている。

欧州委員会(European Commission)
EUの決定事項や政策を実施するのが欧州委員会(European Commission)である。法案の提出を含む、幅広い機能を持っている。data protection(データ保護)についての議論は欧州委員会(European Commission)で最も活発に行われてきた。
欧州委員会(European Commission)は、EUの協定を尊重すると宣誓した、一加盟国につき一人の委員で構成される。

次回は欧州司法裁判所について説明する。

データ保護法:欧州の立法府、行政府、裁判所(1)

前回に引き続き、欧州の機関について説明を続ける。まずは欧州議会と欧州理事会について説明する。

欧州議会(European Parliament)
直接選挙で選出される欧州連合(European Union)の議会組織。欧州の機関として直接選挙が行われるのは欧州議会だけである。

主となる機能としては、立法(legislative development)、監督(supervisory oversight of other institutions)、および予算(development of budget)を担っている。

欧州連合(European Union)のデータ保護(data protection)およびprivacy(プライバシー)に関する立法過程において、欧州議会(European Parliament)は最も大きな影響力を持っている。欧州議会(European Parliament)はデータ保護(data protection)を強く支持しており、privacy(プライバシー)に対しては、ほかの機関と比べて保守的な傾向がみられる。

欧州理事会(European Council)
欧州連合(European Union)の政治方針や優先事項を定める機関。
欧州連合加盟国の国家元首または政府の長と欧州理事会議長、欧州委員会委員長、欧州連合外務・安全保障政策上級代表から成る。

次回は欧州評議会、欧州委員会について説明する。

インド最高裁判所(Supreme Court of India)がprivacy(プライバシー)を基本的人権に加えるかヒアリングを終了

2017年8月2日
インド最高裁判所は8月2日、privacy(プライバシー)を基本的人権に加えるかのヒアリングを終了した。
結論は8月最終週に出る見込み。

政府評議会は、privacy(プライバシー)を基本的人権と認めることに反対している。
議論はprivacy(プライバシー)の必要性と社会的・経済的正義の間のバランスについて展開している。
それによると、privacy(プライバシー)は一部のエリートの考えでしかなく、間違った行いをしている者たちだけが要求するものだという。

データ保護法:欧州評議会(Council of Europe)と欧州連合(European Union)

欧州評議会(Council of Europe)と欧州連合(European Union)は異なる機関である。

欧州評議会(Council of Europe)は国際組織で47の国が加盟している。

欧州連合(European Union)は経済的・政治的共同体であり、28の国が加盟している。ちなみに、欧州連合(European Union)に加盟している国はすべて、欧州評議会(Council of Europe)に加盟している。しかし、欧州連合(European Union)に加盟するためには欧州評議会(Council of Europe)に加盟していなければならないというわけではない。

データ保護(data保護)と関連するもう一つの枠組みとして欧州経済領域(European Economic Area:以下EEA)がある。これは、1994年に欧州自由貿易連合(European Free Trade Association:以下EFTA)と欧州連合(European Union)との間で発効した協定に基づいて設置された。

EEAに参加することで、EFTA加盟国が欧州連合(European Union)に加盟することなく、欧州連合(European Union)の単一市場に参加することができるようになった。

現在は28の欧州連合(European Union)加盟国と3つのEFTA加盟国(アイスランド、リヒテンシュタイン、ノルウェー)が参加している。

データ保護法:欧州のdata protection(データ保護)の歴史(2)

前回に続いて、1990年代、2000年代、2010年代と10年ごとの区切りでマイルストーンとなる出来事を紹介する。

1990年代
条約108号(Convention 108)は批准国の数が少なく、批准したとしても断片的にしか批准されなかったため、効力に限界があった。
この問題に対応するため、1990年、欧州員会(European Commission)は「指令」の作成を提案した。

こうして、いわゆる欧州データ保護指令(EU Data Protection Directive (95/46/EC))が作成されることとなった。
欧州データ保護指令(EU Data Protection Directive (95/46/EC))は条約108号(Convention 108)に含まれる原則をベンチマークとして使用している。

この指令の導入により一般的なデータ保護(data protection)に係る原則と義務が定められ、EU加盟国に対して各国法制への指令の反映が定められた。

2000年代
2000年 欧州連合基本権憲章(Charter of Fundamental Rights of the EU)が公布される。欧州連合基本憲章は、personal data(パーソナル・データ)の保護に係る基本的な権利をはじめとし、包括的に個人の権利を集めたものである。
2002年 プライバシー及び電子通信に関する規則(EU Directive on Privacy and Electronic Communications)(e-Privacy Directive)採択。2009年に改訂。公共電子通信サービスおよびネットワークを通じてpersonal data (パーソナル・データ)を取り扱う場合に適用される。
2006年 EUデータ保護指令(Data Protection Directive(2006/24/EC))が採択。2014年に無効と判断される。(欧州司法裁判所(Court of Justice of the EU)の判断による)
2009年 リスボン条約(Treaty of Lisbon)が発行 リスボン条約の発効により欧州連合基本権憲章(Charter of Fundamental Rights of the EU)に法的拘束力が生じた。

2010年代
2016年 一般データ保護規則(General Data Protection Regulation)が法制化。欧州データ保護指令(EU Data Protection Directive (95/46/EC))に置き換わり2018年5月25日に施行されることが決定。

欧州におけるprivacy(プライバシー)とdata protection(データ保護)に係る法律をを司るのは欧州人権裁判所(European Court of Human Right(ECHR))である。
その根拠は人権と基本的自由の保護のための条約(European Convention on Human Rights)と条約108号(Convention 108)にある。
欧州人権裁判所(European Court of Human Right(ECHR))はEUに属さない独立した機関である。

欧州人権裁判所(European Court of Human Right(ECHR))はpersonal data(パーソナル・データ)の保護について、データへのアクセス権の観点からも検討を行っている。

さて、ここまで読んでいただいて、様々な機関が入れ代わり立ち代わりあらわれ、混乱し始めたことと思う。
次回からは、欧州の成り立ちについてまず整理を行っておくことにする。以前の投稿でプレーヤーを理解することが大切と書いたが、情報を正確にフォローするためにも、どの機関がどういう機能を持っており、どのように関わり合っているのかを整理しておくことは有用だろう。

データ保護法:欧州のdata protection(データ保護)の歴史(1)

前回、Privacy(プライバシー)やdata protection(データ保護)の権利の起源として「世界人権宣言」(1948年)があることを紹介し、
それをもとに欧州で「人権と基本的自由の保護のための条約」(1953年)が作成されたことを述べた。

今回は、その後欧州でどのようにdata protection(データ保護)が発展していったかについて述べる。
data protection(データ保護)の考え方は、ほかの多くの事柄がそうであったように、世の中の変化に伴う懸念の発生と、それへの対応の歴史である。

1960年代、1970年代、と10年ごとの区切りでマイルストーンとなる出来事を紹介する。

1960年代
1960年代は、戦後の経済成長期であった。コンピュータや遠距離通信(telecommunication:テレコミュニケーション)が発達し、国際貿易が活発化した。

1970年代
国際貿易が活発化し、情報のやり取りが国を超えて行われるようになると、各国のprivacy(プライバシー)権と国際貿易にともなう情報流通との間で摩擦が生じるようになってきた。
1970年代から1980年代にかけては、こういった問題が顕在化した時代である。膨大なpersonal data(パーソナル・データ)のデータ・バンクが作られ、国境を超えたデータの取り扱いが広まった。
コミュニケーション技術の発達が、従来想定していなかったpersonal data(パーソナル・データ)の拡散という状況を生み出したのだ。

1980年代
この流れを受けて、1980年代には、data protection(データ保護)を先導する重要な枠組みが二つ作られた。

  • プライバシー保護と個人データの国際流通についてのガイドライン(OECDガイドライン)(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)
  • 条約108号(Convention 108)
  • OECDガイドラインは経済協力開発機構(Organisation for Economic Co-operation and Development)によって制定された、グローバル化する経済における、personal data(パーソナル・データ)のデータの流通(data flow)を円滑にするためのガイドラインである。2013年の改定では、基本的なdata protection(データ保護)についての原則が追加された。

    条約108号(Convention 108)は、正確には欧州評議会条約(Council of European Convention)という。欧州評議会加盟国に対してdata protection(データ保護)を行う手段を供した、最初の条約である。
    1981年に各国の署名に付された。ガイドラインとは異なり、加盟国が署名し、自国の法制に条約108号の適用することを求めている。

    次回は1990年以降の流れについて説明する。

    データ保護法:欧州のprivacy(プライバシー)とdata protection(データ保護)の土台

    欧州法規の難しさは、その構造の複雑さにある。欧州法規について理解するには、どういうプレーヤーがいるのかを把握することが最初の一歩として大切だ。
    各プレーヤーの役割を理解しながら、大きな視点で体制全体を俯瞰する必要がある。

    ここでは、GDPRが作られるまでの歴史と、その中でかかわりを持つプレーヤーについて書く。
    それぞれのプレーヤーについては、大きな歴史と関係をつかんだ後、詳細に説明することとする。

    では、さっそく歴史を見ていこう。
    世界のprivacy(プライバシー)に関する権利の起源となったのは、1948年12月10日に国際連合総会で採択された「世界人権宣言」(Universal Declaration of Human Rights)だ。
    世界人権宣言には法的拘束力はないが、その後結ばれる人権条約は世界人権宣言を参照してつくられている。世界中の人権保護条約の土台といってよい。

    この宣言は、12条、19条で「国籍にかかわらず保護されるべき私的生活の権利及び表現の自由の権利」を謳っている。同時に、バランスの重要性も29条で謳っている。

    世界人権宣言

  • 第12条 私的生活の保護  (Right to a private life)
  • 第19条 表現の自由の権利の保護 (Right to freedom of expression)
  • 第29条(2) バランス (Rights are not absolute)
  • privacy(プライバシー)と表現の自由はあるが、そこにバランスが必要だ、という考え方である。
    当然、欧州のdata protection(データ保護)法とdata protection(データ保護)標準も、この世界人権宣言に影響を受けている。

    欧州評議会(Council of Europe)は、1953年、一般的には「欧州人権条約」と呼ばれる「人権と基本的自由の保護のための条約」(European Convention on Human Rights)を作成した。
    欧州人権条約は人権と根源的な自由に対する権利を守るために作られた国際条約であり、欧州人権裁判所(European Court of Human Rights)がその実効を監視している。
    この条約は、欧州評議会加盟国によって批准され、欧州の基本的人権の根拠となっている。

    人権と基本的自由の保護のための条約

  • 第8条 個人の権利の保護  (Right of individuals)
  • 第10条 表現の自由の保護および国境を越えて情報や思想を共有する権利の保護 (Right of freedom of speech)
  • 第10条(2) バランス (Rights are not absolute)
  • 言葉は異なるが、世界人権宣言の内容が反映されていることが理解できるだろう。

    次回は、欧州におけるdata protection(データ保護)の歴史を見ていこう。

    Personal Data(パーソナル・データ)保護のポイントは基本的人権の保護

    前回の投稿ではGDPRのArticle 2とArticle 3をみて、GDPRの対象が誰かについて確認した。

    ポイントは以下の2点である。

    1.GDPRはEU法の適用を受ける国の法律
    2.ただし、EU法の適用を受ける国の居住者のデータであれば、データの所在がEU法の適用を受けない国であっても、EU法に従った扱いが必要

    2番目のポイントについては、実務上悩ましい疑問が残る。
    年に1週間しか滞在しない人は「居住者」となるのか、国籍が欧州にない場合は「居住者」とみなされるのか、Personal Data(パーソナル・データ)を取扱うサーバーだけがEU域内にある場合はどうなのか、などの疑問については
    今後、欧米での議論が収束するのを待つしかないだろう。このサイトでも、GDPRを説明し終わった後、10月ごろにかけて取り上げる予定だ。

    ところで、GDPRの適用範囲は法律の本質を教えてくれるようで興味深い。

    法律とは、社会を形成する人々が幸福に暮らすために最低限守らなければならない事柄を定めたものだ。
    後述するが、EU法ではPrivacy(プライバシー)の保護が基本的人権のひとつとして規定されている。
    GDPRの適用範囲は、EU法の適用を受ける国の居住者については、それが域外であっても基本的人権を侵害することを許さない、と読むことができる。

    欧州のPrivacy(プライバシー)に関する本気度相がうかがえる。
    多くの国が相克した歴史が生み出した価値観ではなかろうか。私は、そういう価値観を作り上げた欧州に敬意を抱く。

    Personal Data(パーソナル・データ)の保護の目的は、Privacy(プライバシー)の保護であり、Privacy(プライバシー)の保護の目的は、基本的人権の保護にある。
    規則、法律といった視点ではなく、文化圏としての「幸福追求」のあり方の表明という視点から見れば自ずと尊重する気持ちも湧く。

    次回からは、欧州のPrivacy(プライバシー)やデータ保護を背景から理解する。
    世界が、欧州がどういう足取りで現在の価値観に至ったのか、その過程を追うこととしよう。

    GDPR適応の対象と必要な対応

    日本にいる我々にとっては、真っ先に気になるのは「何をしなければならないのか」ということだろう。

    答えは簡単であり、複雑だ。一言でいうのであれば、「欧州一般データ保護規則(以下、GDPR)適応の対象かを見極め、適応の対象となる場合は日本の改正個人情報保護法のみならず、必要な形でGDPRに準拠する」となる。

    複雑なのは、二つの理由からだ。

    一つ目の理由は、GDPRの対象でなければ本当に対応が不要なのか考える必要があることである。
    前回の投稿で述べた通り、GDPRはPersonal Data(パーソナル・データ)とPrivacy(プライバシー)について共通言語を世界にもたらした。当然、世界中でGDPRの法的フレームワークが参照され、一部同化していくことが見込まれる。今は適用外であっても、将来的には適用される可能性がある。安易に適用外なので対応しないというのではなく、長期的な視点を含めたうえで判断することをお勧めする。

    二つ目の理由は、「GDPRに準拠する」というのは言葉でいうほど簡単なものではないことである。
    これについても前回の投稿で少し触れたが、日本にとっては「個人情報保護」というのは、輸入された概念でしかない。議論の徹底度には、差があると言わざるを得ない。それ故に、安易な判断をしないよう注意が必要である。例えば、Personal Data(パーソナル・データ)と「個人情報」とは同一の概念ではなく、日本の枠組みで考えるとPersonal Data(パーソナル・データ)の取り扱いを誤る可能性が高くなる。

    GDPRに準拠するには、論理的に定義の意味と概念、そして背景から積み上げて理解する必要がある。表面的な理解でやり過ごしていると、日本人が毛嫌いする「模造品」のように、見た目は似ているけれども中身は「雑」なもので終始してしまう。「模造品」がすぐに壊れるように、安易な対応はやがてほころびを見せることとなるだろう。GDPRに準拠するのであれば、正しく理解したうえで、要点を抑えた対応をすることが大切だ。

    このブログの目的は、世界で生じているPersonal Data(パーソナル・データ)保護の動きを日本人が背景も含めて理解し、中長期的に正しく対応できる環境を整えることである。そのマイルストーンのひとつとして、GDPRを欧米の文脈の中で齟齬の少ない理解ができるよう情報提供していく所存だ。お付き合い願えれば幸いだ。

    さて、本題に戻るが、「対象」と「必要な対応」についてだ。
    「必要な対応」については、さしあたって「必要な形でGDPRに準拠する」を答えとしておく。拙速な対応をしないためにも、実務的な回答については今後少しずつ明らかにしていくこととしよう。

    「対象」については、GDPRのArticle 2 (2)の条文を引用しておく。
    (※ 条文の翻訳はJIPDEC(一般財団法人日本情報経済社会推進協会)作成の翻訳をベースとしている。)
    Article 2 (2):(除外規定)
    This Regulation does not apply to the processing of personal data:
    (次に掲げるPersonal Data(パーソナル・データ)の取り扱いには適用されない)

    (a) in the course of an activity which falls outside the scope of Union law;
    (EU法の適用を受けない活動)

    (b) by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the TEU;
    (EU条約、第5編第2章の適用を行う加盟国による活動)

    (c) by a natural person in the course of a purely personal or household activity;
    (全面的に個人的なまたは家庭内の活動における自然人による活動)

    (d) by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security.
    (公共の安全への脅威に対する保護及び防止を含む、犯罪の防止、検査、探知、起訴、または刑事罰を科すために所轄官庁が行う活動)

    原則はEU加盟国の法律であり、EU圏内での活動を行っているものが対象となる。
    他方、「非欧州国であってもこの適用を受けるケースがある」であるというのはArticle 3の規定による。

    Article 3 (2):(地理的範囲についての規定)
    This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
    (本規則は、EU域内に拠点のない管理者または取扱者によるEU在住のデータ主体のPersonal Data(パーソナル・データ)の取扱に適用される。ただし、取扱い活動が次に掲げる項目に関連しているものに限られる)

    (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
    (EU在住のデータ主体に対する商品またはサービスの提供に関する取扱い。この場合データ主体に支払が要求されるか否かについては問わない)

    (b) the monitoring of their behaviour as far as their behaviour takes place within the Union.
    (EU域内で行われるデータ主体の行動の監視に関する取扱い)

    管理者、取扱者、データ主体等の専門用語が理解を妨げるが、これらについては今後解説していく。
    原則はEU加盟国に適用するが、EU在住の個人についてPersonal Data(パーソナル・データ)を「商品、サービスの提供」という目的のもと扱うことがある場合やEU在住の個人の行動をモニタすることがある場合は、GDPRの対象となるわけである。

    この項については次回少し補足し、なぜこのような規定があるのかの背景を理解していこうと考えている。