欧州委員会からの十分性の決定が下されるまでの手続は明文の定めがあるわけではない。
これまでの例からすると、①欧州委員会による事前調査、②第 29 条作業部会による意見、③第 31 条作業部会による審議、④欧州委員会による決定という流れになっている。欧州委員会の調査報告書 では、「『十分性』認定の過程は長期間で、遠回りである(long and tortuous)」であるとも指摘されて おり32、第29条作業部会の意見が公表されるまでに審査には通常1年半から2年を要し、その後、欧州 委員会の決定への手続に進む。
30 See Yves Poullet, Jean-Marc Van Gyseghem, Jean-Philippe Moiny & Jacques Gérard, Claire Gayrel, Data Protection in the Clouds in COMPUTERS, PRIVACY, AND DATA PROTECTION: AN ELEMENT OF CHOICE 399 (Serge Gutwirth et al., 2011). また、ク ラウド・コンピューティングEUデータ保護指令を含む国際動向については、新保史生「諸外国の機関とEUの動向」岡村久道編『ク ラウド・コンピューティングの法律』(民事法研究会・2012)399 頁以下、参照。
31 See Els De Busser, he Adequacy of an EU-US Partnership, IN EUROPEAN DATA PROTECTION: IN GOOD HEALTH 193 (Serge Gutwirth et. al., 2012).
32 See European Commission, Comparative Study on Diferent Approaches to New Privacy Challenges, in Particular in the light of Technological Developments, Working Paper 2: Data Protection Laws in the EU (by Douwe Kroff) (20 Jan. 2010) at 66.
90
法制度の詳細な調査は、①の欧州委員会による事前調査であり、その多くがベルギーのナミュール 大学(Université de Namur, Facultés universitaires Notre-Dame de la Paix)の法・情報・社会研 究所(Centre de Recherche Information, Droit et Société)に委託されて行われている。同研究所に は欧州を代表するプライバシー・データ保護関係の教授及び研究員(2012年3月時点で47名)がおり、
欧州委員会のデータ保護の諸施策のみならず、欧州評議会条約第108号の改正案にも様々な提言を行っ てきている。そして、日本の法制度の十分性に係る第1次審査(非公表)を行ってきたのもナミュール 大学である33。
この事前調査をもとに、第29条作業部会(working party)における審議(近年は1年に5回開催、
議長はオランダデータ保護機関のJacob Kohnstamm)を経て、意見が公表される。同作業部会は、デー タ保護の監督機関又は各加盟国が指名した機関の代表者等によって構成され(EUデータ保護指令第29 条2項)、第三国における保護の水準に関する意見を欧州委員会に提出することがその権限として認め られている(EUデータ保護指令第30条第1項(b))。データ保護に関する専門的知見を有する第29条 作業部会の意見が、実質的に欧州委員会の最終的な決定に影響を及ぼすものと考えられている。実際、
第 29 条作業部会は EU データ保護指令が発効される直前の 1998 年 7 月 24 日「第三国への個人データ の移転:EUデータ保護指令第25条及び第26条の適用に関する作業部会文書」(以下、「WP12」とい う。)34を公表し、十分性審査について次の要件を示している。すなわち、第1に内容原則であり、① 利用目的の制限に関する原則、②データの内容に関する原則及び比例原則、③透明性の原則、④セキュ リティに関する原則、⑤アクセス・訂正・異議申立の権利、⑥海外移転に関する制限が示されている。
補足的な原則として、①センシティブ・データ、②ダイレクト・マーケティング、③自動的な個人決 定が掲げられている。そして、第2に、手続・実体の構造として、①法令遵守の優れた水準、②個々の データ主体に対する支援と援助、③適切な救済が十分性審査の要素とされている。このWP12に基づ く第29条作業部会の意見が出され、その上で、EUデータ保護指令第31条に基づく委員会(committee)
に対して欧州委員会の草案に対する意見を聴いたうえで、最終的な決定が下されることとなっている
(EUデータ保護指令第31条2項)。
しかし、上記のような手続がEUデータ保護指令にも一般データ保護規則提案にも示されていないた め、どのような手続を経て十分性審査が認定されるかについては依然として不透明な部分がある。こ の点、欧州委員会の十分性の決定がない場合、イギリスの情報コミッショナー・オフィスは「データ 管理者自身が評価することができる」35ことを示しており、またオランダデータ保護機関は「データ管
33 Cécile de Terwangne, Florence de Villenfagne, Franck Dumortier, Virginie Fossoul, Yves Poullet, Masao Horibe, First analysis of the personal data protection law in Japan in order to determinate whether a second step has to be undertaken (unpublished, 2006).
34 Article 29 Data Protection Working Party, Working Document: Transfers of personal data to third countries: Applying Article 25 and 26 of the EU data protection directive (WP12, adopted on 24 July 1998).
35 Information Commissionerʼs Office, Sending Personal Data outside the European Economic Area (Principle8). Available at http://www.ico.gov.uk/for̲organisations/data̲protection/the̲guide/principle̲8.aspx
理者は [ オランダの ] 法務大臣の許可を経ることに基づき十分な保護措置を提示する措置を講じてい る」36とも指摘している。このように EU データ保護指令第 25 条の十分性に基づくデータ移転につい ては、「加盟国間における指令の実施状況は様々であり、国際データ移転に対する国内の法的アプロー チはかなり異なる結果となっている」37ことが報告されている。このようなことから、「現状の十分性 の基準は明らかに不十分である」38と言われてきた。そこで、十分性手続に要する財政上及び人的資 源の増強、十分性手続に関する第三国との対話の促進、ベスト・プラクティスを共有し手続の一元化、
部分的・分野別の十分性審査の利用が提案されてきた39。さらに、このような硬直的な十分性審査に 代わって、2007年以降APECにおいて越境プライバシー・ルールにおいて議論されてきた、個々の組 織を認定する仕組みの「説明責任(accountability)」プロジェクトが拘束的企業準則との相互運用性
(interoperability)を視野に入れつつ注目されつつある40。もっとも、「説明責任」の原則それ自体は OECDプライバシー・ガイドラインの基本原則にも含まれているとおり、それ自体はひとつの重要な 原則であり、ただちに十分性認定と同一視しうるような性格のものと理解すべきではないと考えられ る41。
さらに、個人データの移転の問題はこれまで世界貿易機関(World Trade Organization)の枠組み では検討されてこなかった。しかし、WTOが人権問題を取り上げることのできる機関であるかどうか という疑義が付きまとうこととなるが、十分性認定に伴うデータ移転が制限されることになれば「遅 かれ早かれWTOにおいてこの問題が直面することは真実であろう」42とも考えられている。もっとも、
一例をあげるならば、日本が2011年に署名した模倣品・海賊版拡散防止条約のEU との交渉において、
このような貿易協定であっても、それが「個人の基本的権利、特にプライバシー及びデータ「保護の
36 Dutch Data Protection Authority, Policy Paper on Transfers of Personal Data to hird Countries in the Framework of the Dutch Data Protection Act (WBP), Feb. 2003.
37 Christopher Kuner, OECD Digital Economy Papers No187, Regulation of Transborder Data Flows under Data Protection and Privacy Law: Past, Present, and Future (8 Dec., 2011) at 20.
38 Christopher Kuner, Developing an Adequate Legal Framework for International Data Transfers, in REINVENTING DATA PROTECTION? (Serge Gutwirth et. al. eds., 2009) at 272.
39 Id. at 268.
40 この点、日本はAPEC 越境プライバシー執行のための協力取決めの実施に参画することが2011年11月に15省庁が正式に承認さ れた。なお、この承認前の第6 回個人情報保護関係省庁連絡会議資料(http://www.caa.go.jp/seikatsu/kojin/renraku.html)を参照)。
41 See Colin Bennett, International Privacy Standards: Can Accountability be Adequate?, 16 PRIVACY LAWS & BUSINESS 13, 14 (2010).
42 María Veroníca Pérez Asinari & Yves Poullet, Privacy, Personal Data Protection and the Safe Harbour Decision: From Euphoria to Policy, From Policy to Regulation?, in IN THE FUTURE OF TRANSATLANTIC ECONOMIC RELATIONS 132 (David M. Andrews &
Robert Schuman Centre eds., 2005). See also Yves Poullet, Transborder Data Flow and Extraterritoriality: he European Position, 2 J. INTʼL COMMERCIAL L. & TECHNOLOGY 141 (2007). WTOがプライバシー紛争の権威ある解決策となりうる旨のアメリカ側 からの主張として、See PETER P. SWIRE & ROBERT E. LAITAN, NONE OF YOUR BUSINESS: WORLD DATA FLOWS, ELECTRONIC COMMERCE, AND THE EUROPEAN PRIVACY DIRECTIVE 194 (1998).
92
権利」に関連するものである以上、EU データ保護の水準を確保すべき必要性が指摘されている点に注 意を要する43。
なお、上記の十分性審査の手続のほかに、欧州委員会は各国の法制度の調査及びデータ移転に関す るワークショップ44等の開催を行ってきている。
【ヒアリング結果】
・ 十分性審査のプロセスは、①事前調査を行い、②第29条作業部会による意見、③第31条委員会に 基づき欧州委員会の決定という長期間のプロセスである。通常2年程度の時間を要する。(欧州委 員会)
・ 欧州委員会が十分性審査をする場合には、①当該国からの申請があった場合と、②EU にとって重 要であるとの認識から十分性審査を始める場合がある。(ナミュール大学)