欧州司法裁判所(CJEU)がEU-カナダ間の乗客名簿データ移転案に懸念を表明

2017年7月26日
欧州司法裁判所(Court of Justice of the European Union:CJEU)は、EU-カナダ間で提案されていた乗客名簿データ(PNR)の処理および移転に対して、データ保護に関する基本的人権に抵触するものだとして違憲の見解を表明した。EU-カナダ間の合意は再検討され、発行が遅れることとなる。

CJEUによると、「合意はEUからカナダへのSensitive Data(取扱いに注意を要するデータ)移転およびその保管を除外していないため欧州連合基本権憲章に抵触する。」
EU圏外にSensitive Data(取扱いに注意を要する)データを持ち出すには「テロ又は越境犯罪に対する治安上の安全確保の目的を除く、精緻かつ確固たる正当性」が必要であり、現在の合意にはこの点が欠如していると判断された。

CJEUによる修正要求事項は以下の通り。

  • PNRデータ移転について、より明確で詳細な手順を定めること
  •  

  • PNRデータの自動処理モデルをより具体的にすること。また信頼性を高め、差別的待遇が生じないものとすること。
  •  

  • カナダがPNRデータを利用できるのはテロや重大な越境犯罪に関係した便についてのみであるとの条項を追加すること。
  •  

  • たとえ当該国が同等の合意を有する、もしくはEU評議会から十分性認定を受けているとしても、PNRデータを非EU圏に移転することは制限すること。
  •  

  • カナダ滞在中もしくはカナダを離れた後データが公表されたかについて、データ主体に確実に通知すること。
  •  

  • 航空機の乗客が、PNRデータの処理に関して規則に従って保護されているということを、独立した監視機関によって行われる点について、保証すること。
  •  

    なお、Sensitive Dataの定義は個人データ保護指令(Directive 95/46)及び一般データ保護規則(GDPR)で以下の通り規定されている。

  • 人種・民族に関する情報
  •  

  • 政治的信条に関する情報
  •  

  • 信仰・思想に関する情報
  •  

  • 加盟している労働組合に関する情報
  •  

  • 健康状態・性的志向に関するデータの処理
  •  
    (以上は個人データ保護指令(Directive 95/46)の時からある定義)
     

  • 遺伝子に関する情報
  •  

  • の個人を特定するために使用されるバイオメトリクスデータ
  •  
    (以上はGDPRで新規に追加された定義)
     
    ※Tele2 Sverige社の裁判では「通信データの保管(retained telecommunications data)」も”sensitive”な側面を持つと言及されており、Sensitive Dataの定義は今後も拡大される可能性がある。