92
権利」に関連するものである以上、EU データ保護の水準を確保すべき必要性が指摘されている点に注 意を要する43。
なお、上記の十分性審査の手続のほかに、欧州委員会は各国の法制度の調査及びデータ移転に関す るワークショップ44等の開催を行ってきている。
【ヒアリング結果】
・ 十分性審査のプロセスは、①事前調査を行い、②第29条作業部会による意見、③第31条委員会に 基づき欧州委員会の決定という長期間のプロセスである。通常2年程度の時間を要する。(欧州委 員会)
・ 欧州委員会が十分性審査をする場合には、①当該国からの申請があった場合と、②EU にとって重 要であるとの認識から十分性審査を始める場合がある。(ナミュール大学)
ン47、ガンジー島48、マン島49、ジャージ島50、フェロー諸島51、アンドラ52、イスラエル53の9 の国・
地域がホワイト・リストに掲載されている(2012年3月時点)。これに対し、「ブラック・リストの国 を明示的に列挙することは政治的に極めてセンシティブ」54であることから、ブラック・リストに正式 に指定された国は存在していない。もっとも、セクトラル方式で法整備を進めるアメリカにおいては、
EUデータ保護指令への準拠が困難であることから、2000年7月26日付の欧州委員会の決定により「セー フ・ハーバー原則(Safe Harbour Principles)」に基づく協定を締結した55。また、第 29 条作業部会 の2001年1月26日の意見において、オーストラリアが一定の条件を満たさない限り、十分な保護措置 を確保しているとは認められない、というネガティブな評価が下されている56。アメリカとオーストラ リアはこのほかに旅客機の乗客データの移転について、欧州委員会と別途協定を締結している57。
47 European Commission, Commission Decision of 30 June 2003 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data in Argentina C (2003) 1731.
48 European Commission, Commission Decision of 21 November 2003 on the adequate protection of personal data in Guernsey (2003/821/EC).
49 European Commission, Commission Decision 2004/411/EC of 28.4.2004 on the adequate protection of personal data in the Isle of Man.
50 European Commission, Commission Decision of 8 May 2008 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data in Jersey (2008/393/EC).
51 European Commission, Commission Decision of 5 March 2010 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection provided by the Faeroese Act on processing of personal data (2010/146/EU).
52 European Commission, Commission Decision of 19 October 2010 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data in Andorra (2010/625/EU).
53 European Commission, Commission Decision 2011/61/EU of 31 January 2011 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data by the State of Israel with regard to automated processing of personal data (2011/61/EU).
54 Article 29 Data Protection Working Party, Discussion Document on First Orientations on Transfers of Personal Data to hird Countries Possible Ways Forward in Assessing Adequacy, (WP4, adopted on 26 June, 1997) at 4.
55 See European Commission, Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbor privacy principles and related requently questions issued by the US Department of Commerce (2000/520/EC).
56 See Article 29 Data Protection Working Party, Opinion 3/2001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000 (WP40, adopted on 26 Jan., 2001).
57 See Agreement between the European Community and the United States of America on the processing and transfer of PNR data by air carriers to the United States Department of Homeland Security, Bureau of Customs and Border Protection, Signed in Washington on 28.5.2004 (この協定は2006 年と2007 年に更新されている);
Agreement between the European Union and Australia on the processing and transfer of European Union sourced passenger name record (PNR) data by air carriers to the Australian customs service; OJ L213 of 08/08/2008. この点については、内閣府『諸外国 等における個人情報保護制度の実態調査に関する検討委員会・報告書』(2009年3月)265-7頁、参照。
94
また、欧州委員会からの十分性が認定されても、それはあくまで「条件付き」であり、また「暫定的」
であることに留意が必要である58。これまでの十分性認定の決定には、各国・地域の決定には次の点が 付記されている。第1に、十分性が認定された国へのデータの移転については、現行EUデータ保護指 令第25条以外の規定に従って採用された加盟国内の規定の履行を保証するための措置を講じることが でき、また当該第三国へのデータ移転を中止する権限を行使しうる。第2に、欧州委員会は当該決定の 運用を監視するとともに現行EUデータ保護指令に基づく第31条委員会に対して関係事実を報告する こととなっている。また、十分性を認定された国・地域の法改正に伴い欧州委員会の十分性認定の決 定を修正しうることなどが記されることがある。
さらに、第29条作業部会の意見では、十分性の「肯定的な認定については、包括的な(horizontal)
データ保護法を有する国に限定されず、当該国の特定の分野についても及ぶ」59とされている。実際、
カナダについては、欧州委員会の決定において公的部門を規律するプライバシー法(Privacy Act)に 関する言及がされているにもかかわらず、民間部門を規律する個人情報及び電子文書法(Personal Information Protection and Electronic Documents Act)についてのみ十分性が認定されている60。
EUデータ保護指令が発効された17年間でこれまで9つの国と地域のみが十分性認定を受けたにすぎ ず、欧州委員会の2010年1月に公表された報告書では「その手続が望まれていたよりも小さなインパ クトしかなかった。そのため、EU及び欧州経済領域以外の国における強力なデータ保護法の進展が結 果として実際よりも強力に推進されてこなかった」61と指摘されている。他方で、同報告書では、アメ リカとのセーフ・ハーバーがヨーロッパからの「信頼性(credibility)」を獲得できなかった点に言及し、
「特にアジア太平洋の国々において、各国の法がヨーロッパの十分性の水準を確保すべきであるという 命題は、それが貿易において恩恵的な効果をもたらすと感じられてきている点において当初から重要 であった」62ことも記されており、近時、欧州委員会が日本を含むアジア太平洋地域における国々を十 分性審査の戦略的地域として捉えていることがうかがえる。いずれにせよ、十分性審査は、「ヨーロッ パ帝国主義(impérialisme européen)」の名の下にEUのデータ保護の価値観を他国に押し付けるので はなく、諸事情を考慮に入れケース・バイ・ケースの判断に基づくプラグマティックな手法で行われ てきている63。
58 DOUWE KORFF, DATA PROTECTION LAWS IN THE EUROPEAN UNION 186 (2005).
59 See Article 29 Data Protection Working Party, Working Document: Transfers of personal data to third countries: Applying Article 25 and 26 of the EU data protectiondirective (WP165, adopted on 1 Dec. 2009) at 27.
60 See European Commission, Commission Decision of 20 December 2001 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data provided by the Canadian Personal Information Protection and Electronic Documents Act (2002/2/EC) Art.1.
61 European Commission, Comparative Study on Different Approaches to New Privacy Challenges, in Particular in the light of Technological Developments, Final Report (20 Jan. 2010) at 16.
62 Id. at 42.
63 Yves Poullet, Comment appliquer les règles de protection des données aux transferts de données personnelles dans une société à la fois globale mais également multi-économique et multiculturelle?, 12 LEX ELECTRONICA 9 (2007).
【ヒアリング結果】
・ 欧州委員会は近年十分性審査を地理的に拡大している。また、EUとの取引等の経済的影響を考慮 しながら十分性審査を進めてきている。(ナミュール大学)
・ 十分性審査は、外交・政治問題である。総論としては、各国の制度に大きな違いはないが、個別の 論点でヨーロッパとそれ以外の国ではいくつかの緊張関係がある。(ブリュッセル自由大学)