（３）プライバシー保護法

1981年の段階においてイスラエルのプライバシー保護法（Protection of Privacy Law: 5471-1981）¹⁴ が制定されていた。その後、9回の法改正を行っている。

プライバシー保護法は全5章（第1章：プライバシー侵害、第2章：データベースにおけるプライバ シー保護、第3章：弁護（プライバシー侵害をした場合の弁護手段）、第4章：公的機関による情報・デー タ提供、第5章：雑則）37条からなっている。

① プライバシー侵害について

同法第2条では、プライバシー侵害の例を次のとおり列挙している。

第2条（プライバシー侵害の例）

プライバシー侵害とは次のことをいう。

（１） 本人を嫌がらせるような方法で又はその他の嫌がる方法で人を詮索又は追跡すること

（２） 法で禁止されている盗聴をすること

（３） 私的領域において人を撮影すること

（４） 人を侮辱し又は軽蔑する可能性がある人の写真を公表すること

（５）  受信者又は記者から許可なく、記述されたものが歴史的な価値を有するか、あるいは記述した ときから15年が経過しない限り、公表を意図しない手紙又はその他記述したものの内容を複写 又は使用すること（電子署名法において定義された電子メッセージを含む）

（６） 人の氏名、名称、映像又は音声を営利目的で使用すること

（７） 人の私生活に関して法で定められた守秘義務に違反すること

（８） 人の私生活に関して明示又は目次の合意によって定められた守秘義務に違反すること

13   See The Israeli Law, Information and Technology Authority, A Guide to Data Protection in Israel (Jan. 2010) (by Ian Bourne). 

Available at 

   http://www.justice.gov.il/NR/rdonlyres/C7DE27A2-4CC2-4C5E-9047-C86CC70BD50B/18333/

AguidetodataprotectioninIsrael1.pdf.

14   Available at 

  http://www.justice.gov.il/NR/rdonlyres/217BB43B-ED56-4F9B-A51F-074C3D29AE1D/18334/

  ProtectionofPrivacyLaw57411981unofficialtranslatio.pdf.

（９） 定められた目的以外で人の私生活に関する情報を利用すること又は他者に伝えること

（10） （１）、（７）又は（９）の下でのプライバシー侵害の方法で得られた物を公表又は提供するこ と

（11） 人の性的履歴、健康状態ないし私的領域における行為を含む人の親密な生活に関する事柄を公 表すること

この第2条に列挙されたプライバシー侵害については、データベースにおけるデータの取扱いに限ら ず、あらゆる人のプライバシー侵害を含むものとされている。

② プライバシー保護の基本原則

イスラエルのプライバシー保護の適用範囲と基本原則について、第 29 条作業部会が示した作業文 書（WP12）¹⁵の基本原則の項目（①利用目的の制限の原則、②データの質に関する原則及び比例原 則、③透明性の原則、④セキュリティの原則、⑤アクセス・訂正・異議申立の権利、⑥国外移転の制限、

追加項目として、⑦センシティブ・データ、⑧ダイレクト・マーケティング、⑨自動的な個人の決定）

にしたがってみていく。

（ⅰ）適用範囲

・保護の対象

プライバシー侵害の保護の対象は「人（person）」に限られ、法人は含まれない（第3条）。情報とは、

人格、身分、親密な関係、健康状態、経済的地位、職業・資格、人の意見・信念と定義される（第7条）。

また、イスラエルの最高裁判所は「情報という言葉は…個人の氏名によって検索されないデータベー スから引き出されるデータを含むべきである」（Israel v. Bank HaʼPoʼalim）と解し、保護の対象を広 く理解している。さらに、下級審の判断ではあるもののIPアドレスについて「同意なく本人のIPアド レスを公開することによってオンラインユーザーを特定することは、プライバシーの侵害という不法 行為を構成することがある」（Rani Mor v. Ynet）という結論を下している。

・義務の対象

義務の対象であるデータベースとは、磁気を帯びた又は光学式の方法によって保存され、コンピュー タ処理を目的としたデータの集積をいう。ただし、個人利用の目的の収集、またそれ自体で当該人物 のプライバシーを侵害しない氏名、住所等のみを含む情報は除かれる（第7条）。なお、第2章のデー タベースに関する義務規定は、情報が自動処理された場合にのみ適用されることとなり、マニュアル 処理等の場合は第2 条によって保護することとなる。

15   Article 29 Data Protection Working Party, Transfers of personal data to third countries: Applying Article 25 and 26 of the EU data protection (WP12, adopted on 24 July, 1998).

110

（ⅱ）目的制限の原則

第2章には個別の規定はない。しかし、一般的なプライバシー侵害を定めた2条（9）の規定（定め られた目的以外で人の私生活に関する情報を利用すること又は他者に伝えること）は、事業者に対して も及ぶこととなっている。また、このことは、第8条(b)の規定により、データベースが設置された目 的を除いて、データベースの利用を禁止する旨の利用制限によっても裏付けされている。さらに、第 9条(b)(2)はデータベースの利用のための登録について、その申請はデータベースが設置された目的及 び情報が意図とされている目的について明らかにしなければならないことを定めている。金融データ の利用を利用目的の観点から制限したイスラエル最高裁判所の判決（Database Registrar v. Ventura）

においてもこれらの規定のことが示されている。

（ⅲ）データの質に関する原則及び比例原則

データの質に関する原則について特定の条文は列挙されていない。もっとも、第14条(a)において、

自らの情報を検査した者がその情報について正しくない、不完全である、あるいは最新でないことを 知った者はデータベースの所有者又は所有者が国外の場合は処理者に対して当該情報の訂正又は消去 を要請することができる、と規定されている。これを担保するため、同条(b)ではデータベースの所有 者が訂正又は消去に同意した場合、所有者は当該情報について必要な変更を加えなければならないと されている。これを拒否された場合、データ主体は裁判所に対して異議申立をすることができる（第 15条）。

比例原則についてもまた、プライバシー保護法には列挙されていない。しかし、職場におけるビ デオカメラによる監視を制限した判決や企業間での情報の交換を認めていた条項を無効と判断したエ ルサレムの標準契約裁判所の判決など比例原則に関する法理がある（Eisner v Richmond / Bank of  Israel v. First International Bank of Israel）。

（ⅳ）透明性の原則

データベースにおける個人に関する情報を保存及び利用する場合、本人からの要請に応じて、当該 人物の情報が適法に利用されること、その利用目的、そして情報の提供先とその提供目的を通知しな ければならない（第11条）。また、データベースの所有者がデータ処理者と異なる場所でデータを保管 している場合、所有者は処理者に対して検査の要請に応じるよう書面で命じることができる（第13条 A(1)）。

（ⅴ）セキュリティの原則

情報セキュリティとは、合法な許可なく公開、利用、又は複写からの情報の統合の保護又は情報の 保護することを意味している（第7条）。そして、いかなる者も法の定め又は裁判所の命令なくして自 らの職務として得た情報を開示してはならず、これに違反した場合は5年以下の禁固に処せられる（第 16条）。また、データベースの所有者、処理者又は管理者はデータベースの情報セキュリティに責任を 負うこととされている（第17条A）。また、公的機関、銀行、保険会社、クレジット関連会社は情報セキュ

リティに関する適切な資質を有する者（security supervisor）を任命することとなっている（第17条 B(a)）。

なお、2010年に「データベースにおけるセキュリティに関する規則案」が草案されており、情報セキュ リティの責任者の設置義務、定期点検の実施、アウトソーシングの契約に関する規則等を含むセキュ リティ強化の内容になっている¹⁶。

（ⅵ）アクセス・訂正・異議申立の権利

すべての者が、自分自身、書面による代理人又は親権者によって、データベースにおいて保存され た自らに関するいかなる情報も検査する権限を有している（第13条(a)）。また、情報の検査について は、ヘブライ語、アラビア語、英語で行うこととされている（第13条(b)）。また、本人の身体又は健 康状態に関する情報の検査の場合、当該人物に極めて悪影響を及ぼすと考えられる場合、本人に代わっ て専門家に当該人物の情報を提供することができる（第13条(c)）。そして、検査の要請に係る費用と しては、20シュケル（約400 円）支払うこととされている（第 13条(d)）。また、検査を行った結果、

情報が正しくない場合等、本人は必要な修正を要請することができる（第14条(a)）。本人の検査及び 修正を拒否した場合については、本人が裁判所に申し立てることができる（第15条）とともに、刑事 罰の対象となっている（第31条）。なお、異議申立の権利については明確な規定がないものの、利用 目的の制限及びデータ主体への通知の規定から、これらの規定に違反した場合は、第2条9項に基づき データ主体が異議申立をすることができるものと解されている。判例においても、警察が保有するファ イルについて、自らの情報を知る権利があることを認めている（Fischler v. Chief of Police）。

（ⅶ）国外移転の制限

個人データの第三国移転について、プライバシー保護法第36条2項は「イスラエル国の境界の外部 への又は外部からのデータベースの情報送信に関する条件」について法務省がその執行に責任を負う ことと規定している。そこで、法務省は2001年6月17日、データの海外移転に関する規則（Protection  of Privacy (Transfer of Data Abroad) Regulations, 5761-2001） を制定した¹⁷。同規則はデータの移 転に関する制限及び条件等を内容としている（全5条）。第1条は、データの移転の制限について次の ように規定されている。すなわち、いかなる者も、移転されるデータの保護水準がイスラエル法によっ

16  Draft on Information Security Database, 5770-2010. Available at

   http://www.justice.gov.il/NR/rdonlyres/450A9F18-F22A-4D47-A408-47221D88BE24/18541/ProtectionofPrivacyRegulations Draft25110.pdf

17  Available at

   http://www.justice.gov.il/NR/rdonlyres/6A5EC09A-BDBC-419F-8007-5FD6A6B8E0A5/18342/PrivacyProtectionTransferofD ataabroadRegulationsun.pdf   なお、イスラエルにおいては、EU の十分性要件を課すのではなく、説明責任（accountability）

の原則をもとにデータ移転を行うことが現実的である、という指摘がある。See Omer Tene, Israel’s Data Protection Reform, 10  Privacy & Data Protection 13, 14 (2009).