個人データの処理に係るプライバシー保護の 国際標準草案のための共同提案 について

筑波大学法科大学院教授取 取 藤原取 靜雄

．第三国への個人データの移転の問題の概要

出発点としての EU 指令

取 1995 EU タヴシ保護指 EU指 略 目的 る限り高 いヤパャ 統一的 個人情報保護 制 構築を通 EU 域内及びムヴュセド経浞圏

わ 構 国 ゚゜ケメルチ モナゾルクュシ゜ル テャゞゟ゜ 加わる

る自由 タヴシ流通を一 進 よう いう あ 時 EU指 対外的 側面 併 持 それを規定 いる 第 国 個人タヴシ 移転 る25条及 び26条 ある¹

1 25条及び26条 要 部 抜 出

25条1 取 加盟国 処理 対象 る 又 処理 れる 定 個人タヴシ 第 国 提供 指 基 制定 れ 各国 国内規定を られる いう条件 当 第 国 十 ヤパャ 保護 を保証 いる場合 許 れる を 定 る

2 第 国 よ 提供 れる保護ヤパャ 十 性 タヴシ移転あるい タヴシ 類型的移転 る 事情を考慮 定 れる 特 タヴシ 性質 計画 れ 処理作業 目的及び期間 タヴ シ 移転元 国及び暷終目的国 当 第 国 効力を暼 る一般的 又 法 並び 当 第 国 適用 れ いる職業 準則 及び 全管理措置 考慮 入れられる

26条1 取 第25条 規定 わら 一定 事案 い 国内法 れ 対 る趣旨 規定 い

限り 加盟国 第25条2 意味 る適 保護ヤパャを確保 い い第 国 対 る個人タヴ シ 移転及び類型的移転を 場合 行 う る旨を定 る

タヴシ 当事者 明確 意を える

移転 タヴシ 当事者 管理者 問 契約 行 又 タヴシ 対象者 要請よる契約前 措置 実施 必要 ある

移転 タヴシ 対象者 管理者 第 国 問 締結 れ 又 締結 れる契約 締結又 行 必要 ある

移転 要 公共 利益を る 又 法 法的請求 主張 行使 防御 必 要 ある 法 規定 れ いる

移転 タヴシ 当事者 極 要 利益を保護 る 必要 ある

移転 法規定又 行政規則 従 国民 情報提供 整えられ り 国民又 当 利益を証 る る 者 個 場合 閲覧 法 要件を充 閲覧

る 録簿 ら移転 行われる

2 取 管理者 個人 ハメ゜トクヴ 基曓権及び自由権 保護 関 る保証 及び れら 結び い

権利 行使 関 る十 保証を提供取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 る場合 加盟国 第1 規定 わら 第25条2 意味 る十 保護ヤパャを確保

い い第 国 対 る個人タヴシ 又 個人タヴシ 類型的移転を許可 る る よう 保証 特 適 契約 条文 よ 設定 る る

126

第 国移転 関 るEU指 い 要 ある

第1 第 国 移転 基曓原則 当 国 十 ヤパャ タヴシ保護 ヤパャ 存在 る ある 注意 EU指 意識的 一 ヤパャ

等 ヤパャ 言 い い いう ある²

取 第2 個人情報保護 ヤパャ 十 性 断 EU委員会 定 手 則 行わ れる れ コヴネデヴトヴ協定 よる゚ベモィ 外 適 れ 国 少 い わ ケ゜ケ ィヂジ ゚ャゴルスル イヴルグヴ Guernsey ³ ブル島 Isle of Man

4

グホヴグヴ Jersey ネゟュヴ諸島 Faeroe Islands ^{ある アヴケダメモ゚}

5

い 審査 終了 い い いう形 適 いる

取 第 3 十 性 問題 い 例外扱い あり ゚ コヴネデヴトヴ いう協定を 採用 る 組 ゜ 26 条を利用 標準契約を利用 る 組 ゞ 拘束的 企業準則

いう 組 を事業者 あるい 事業者団体 採用 る いう 組 ある

2 Alexander Dix, Anja-Maria Gardain, Datenexport in Drittstaaten, DuD 2006, S.343.

3 ゜ウモケ海峡スホヅャ諸島 置 る゜ウモケ王 属領

4 ゚゜モセクュ海 中央 置 る゜ウモケ王 属領

5 1988 施行 ハメ゜トクヴ法 適用範 を民間事業者 広 ハメ゜トクヴ修 法 を2000

施行 いる れ より 法形式 コェダメャ方式 らアヘットケ方式 改変 れ

商 300 万豪チャ曑満 規模事業者及び被 用者 タヴシ 規制対象外 れ 一般 利用 可能 個人タヴシ 規制対象外 れ タヴシ 得時 曓人 通知 困難 場合 事

通知 よい れ ジ゜ヤェダンブヴォゾ゛ルエ 主目的 タヴシ利用 い アハダ

゚ゞダ 認 られ い い コルクゾ゛ノンタヴシ 規制 利用や開示 い 規制 い EU市民 個人タヴシ い 曓人 訂 請求権 認 られ い い

EU ら 得 個人タヴシをアヴケダメモ゚ ら第 国 移転 る 規制 れ い い 等を理 由 保護水準 十 性を れ そ アヴケダメモ゚ 2004 4暻 ハメ゜トク

ヴ法 改 PrivacyAmendmentAct2004(Cth). 行われ いる そ 個人情報 訂 請求

関 る 情 申立 い ハメ゜トクヴンカプセクミヂヴ 関 範 を 大 法 適用を い事業者 い ハメ゜トクヴンカヴチ 策定を柔軟 行う る等 改 れ いる ら 2008 8暻 アヴケダメモ゚法改革委員会 AustralIianLawReformCommission ALRC

現行法 よるハメ゜トクヴ保護 暼効性 い 調査を行い 報告書を公表 いる

127 例外的枠組みの概要

取 EU ゚ベモィ合衆国 ゚ベモィ いう 間 長 わ り コヴネデ

ヴトヴ れる交浟を いる⁶ 方式 い 少 ム

ヴュセド タヴシ保護当局 個人情報保護 観 ら 積極的 評価 い い

取 契約 よる例外

取 第 国移転 る EU 指 条文 一連 例外条 存在 る 当初 例外規 定 存在 国等 域外 第 国 EU タヴシ移転 関 る態 厳 い

い い いう 象を え 事実 ある い をカ

ベルダ い

第1 例外規定 1990 暷初 EU指 提案 ある 関 当 事者 働 あり 議会 修 1992 修 案⁷ 挿入 れ ある

第2 例外 解釈 いわゆる29条エャヴハ⁸ 2005 体的 解釈イ゜

チメ゜ルを示 いる⁹

第3 契約 よる例外¹⁰ よう 形 展開 いる

指 行 間 間 法26条1 よる例外 実務 耐えうる唯一 手 法 られ ¹¹ 間 契約方式 よる例外 第 国所在 人事担当者 被用者タヴシ 提供¹² 関 国 通関当局 航空機関 タヴシ 提供 キヴパルケンアセ

6 ゚ベモィ コェダメャ方式 法整備を進 り 民間部門 自 自主規制 を ん

る 民間部門を規 る一般法 存在 い 法制 よるEUタヴシ保護指 準 難 い そ 特定 認証基準を設 そ 認証を 企業 適 性を付 る コヴネデヴ トヴ原則 交浟 1998 ら始 り 2000 協定 締結 れ いる ゚ベモィ企業 コヴネ デ ヴ ト ヴ 参 加 る 任 意 あ る 参 加 可 能 企 業 連 邦 引 委 員 会 FTC Federal Trade

Commission 及び゚ベモィ運輸省 管轄 ある企業 限られ り 連邦準備理事会 FRB 管轄 金

融機関や カペルゥホモ゚ 航空会社等 含 れ い い れ 例え 2004 EU委員会 査 い 問題 多 指摘 れ 原則遵 意思表明 必要性 連邦政府 商務省 強力 指

ペッシモルエ 必要性 者 対 る強力 影響力 行使 必要性 連邦政府 要請 れ り EU 門家 中 十 性 疑問を抱 者 いる

7 Amended proposal for a COUNCIL DIRECTIVE,p4,34

8 EU指 29条 基 設置 れるワヴゥルエエャヴハ ある 各国 タヴシ保護当局 視機関

表等 ら り そ 権限 統一的 適用 資 るよう 指 国内法化 伴い られ 各 国 規定 関連 る 問題を審査 る 共 体及び第 国 保護ヤパャ 関 委員会 意見を述 る 曓指 修 提案 個人タヴシ 処理 る自然人 権利及び自由を保 護 る 追加的又 個 案 及びそ 共 体 措置 関 委員会 言を える

共 体ヤパャ 作 れ 行動規約 関 意見を述 る ある 第30条

9取 Standard contractual clauses for the transfer of personal data to third countries - Frequently asked questions ( 2005 FAQ ), 2005 1暻7日 それ ある

10 契約 よる例外 ペタャ契約 よる例外 い 曓報告書 3. ペタャ契約 概要 参照

11 チ゜ゼ ゚ベモィ る鉄 ィヴチ 行 関 連邦鉄 クゾ゛トルェ 間 契約 交わ れ 著 ある

12 い エュヴトャ展開を いる企業 人事政策を調査 る必要 あろう 現在 大多数 事業者 い 曓社 第 国 ら 個人タヴシを求 いる う 定 い

128

ェケモヴ法 Sarbanes‐Oxley act ¹³ 枠内 通報 提供を 当化 る 利

用 れ ら れら 場合 い 29 条エャヴハ 契約

実現 必要性 いう 関 疑問を抱い いる れ いる

26条4 基 ペタャ契約 い 標準契約 れる方式 要 置を占

るよう ペタャ契約 2001 様式¹⁴ 2004 様式¹⁵ 2010 様式¹⁶ 3 ある う 前2者 EU域内 タヴシ管理者 らEU域外 タヴシ管理者 対 個人タヴシを移転 る場合 適用 れるペタャ契約 あり 暷 EU域内 タヴ シ管理者 ら EU 域外 タヴシ処理者 対 個人タヴシを移転 る場合 適用 れるペ タャ契約 ある 個人タヴシ 委 [外部委 ]処理 場合 適用 れる 前2者 異

る

取 2001 様式 当初EU委員会 十 性 を暼 る 考え ある 国 的 経浞団体¹⁷ ら柔軟性を 批 を 経浞団体側 提案 条 をEU委員会

入れ 2004 ペタャ ある い 各国 タヴシ保護当局 2004 様式 よ 実務 大幅 歩 よ EU市民 個人情報保護 水準

ある 評 いる¹⁸

取 拘束的企業準則

取 標準契約より遅 EU指 26条2 基 例外的措置 場 拘束的 企業準則(Binding Corporate Rule, BCR) ある れ 主 国 的 活動 る企業 団¹⁹ 多国籍企業 内部 個人タヴシ移転を対象 るャヴャ ある 体的 十 保護 ヤパャを確保 る タヴシ保護当局(Data Protection Authority, DPA)等 より法的

13 Public Company Accounting Reform and Investor Protection Act of 2002 場企業会計改革及び投

資家保護法 式 称 周知 よう 2006 J-SOX れる 国 金融証券 引法 制定 れる1

14 COMMISSION DECISION of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC WP47 より定 られ いる

15 COMMISSION DECISION of 27 December 2004 amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries よる

16 COMMISSION DECISION of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council よる

17取 国 商業会議所(International Chamber of Commerce) European Information and

Communications Technology Industry Association(現在 DIGITALEUROPE) Federation of European

Direct and Interactive Marketing よう 情報通信 ジ゜ヤェダンブヴォゾ゛ルエ 業界団体等 ある

Japan Business Council in Europe(在欧日系ニグヅケ協議会) 入 いる

18 例え 適 あるい 過剰 回数 開示請求を拒否 る いう条 タヴシ 被移転国 契約

締結時 い 契約条 ら生 る保 を 著 損 う法規定 自国 存在 い を保証 る 義務付 られる 著 い 否 実質的 断権 移転国 い れら 2001 ペタャ 変更 ある

19 初期 個人情報保護法制 カルゼゟャル を考え い いう ムヴュセド タヴシ保 護当局 関 者 一 見解 ある チ゜ゼ連邦保護観察 事務所 担当者 言

129

執行可能 ある 法 遵 を運用 る 実践的 ある 留意 拘 束的企業準則 を事業者 策定 欧州域内 タヴシ保護当局 当 準則を 認 場合 当 企業 団 EU域外 当 団 属 る企業 個人情報を提供 る いう ある

取 チ゜ゼ 場合を見 る れ よう 例 紹 れ いる²⁰ ゚ ジ゜ヘメ ヴンェメ゜ケメヴ よる2曓 企業準則 2002 7暻 1 被用者タヴシ 1曓 顧 タヴシ ゜ チ゜ゼ保険連合会 よるペタャ規約 加盟企業 自社 準則 る 2002

11暻 ゞ GE(General Electric) 企業準則 2003 7暻 チ゜ゼ 100余 支社 被用者タヴシを国大 移転 る目的 ゠ チ゜ゼゾヤカヘ 被用者タヴシ及び顧 タヴシ 2003 11暻 ア クゟヴモルエ Schering 株式会社 被用者タヴシ 顧 タヴシ及び 製薬研究 ら生 個人タヴシ 2005 秋 等 ある

゜ EU 指 25条 関 る 例外的措置 い 要 EUヤパャ 担当部局 各国 タヴシ保護当局相互間 協議 ある そ 29 条エャヴハ アヴケダモ゚

アメルジ 支援 れ 提案 パャモル提言 2003 6暻 暷初 事前協議

手 解釈を WP74 ²¹ そ 2005 4暻 作業 文書 WP107 ²²

スゟセェモケダ WP108 ²³を示 いる²⁴ れら 督機関 士 合意 事業者 ワルケダセハ 手 を可能 る 方 いわゆるforum shopping 法 地あ り を防 意味合い ある

ゞ BCR 申請

BCR 手 申請 管轄 要 る れ よう 観的 要素を考慮 決定 れる²⁵ 取

a.エャヴハ 欧州曓社 所在地

b.エャヴハ内 タヴシ保護 責任をゆ られ 企業 所在地

c.エャヴハ内 申請を処理 BCRを執行 る 暷 適 体制 ある企業 所在地 d.処理 目的及び手段 い 決定 れる場所

20 Alexander Dix, Anja-Maria Gardain(Fn.2), S.344.

21 第 国 個人タヴシ移転 国 タヴシ移転 拘束的企業準則 EUタヴシ保護指 第26 条第(2) 適用 (Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers 2003 6暻3日)

22 拘束的企業準則 ら結果 る十 全措置 関 る共通意見提出 協力手 を定 る作業 文書 (Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting From “Binding Corporate Rules” 2005 4暻14日)

23 拘束的企業準則 認申請 ペタャスゟセェモケダを定 る作業文書 (Working Document Establishing a Model Checklist Application for Approval of Binding Corporate Rules 2005 4暻14 日)

24 WP い 12. Jahresbericht取 der Artikel 29取 Datenschutzgruppe 2009 6暻16 日 説明 ある 概要及び内容 関 WP74及びWP108 要 ある

25 WP108, p3(Which data protection authority should you apply to?)