(a)The Protection of Personal Data and Habeas Data Action(LDPD, Law No.18331)(個人情報保護法)
ウルグアイの個人情報保護法の主たる部分を構成しているのが The Protection of Personal Data and “Habeas Data” Action(Law No.18133、以下 LDPD)である。この法律は、2008年8月11日 に公布され、公共機関、民間機関のすべてに適用される、いわゆるオムニバス方式を採用している。
まず、第1条で、個人情報に関する権利を人が生まれ持った権利として規定し、この権利は憲法第 72条に含まれているとされている。そして一般条項である第2条は「この法律は、どのような媒体に 記録された個人情報にも適用され、公共、民間問わずその個人情報のその後の利用に適用される」と している。
(b)The Regulating Decree No.414/009 (DPDP)(行政規則)
LDPDが成立した後、2009 年8月31日にウルグアイ政府は、The Regulating Decree No.414/009 (以 下、DPDP)という行政規則を制定した。この規則は、LDPD に関してその適用範囲、定義、同意、セキュ リティ、情報へのアクセス権、個人情報データベースの登録方法、監督機関、委員会、諮問委員会の機能、
様々な手続方法などについて規定をしている。また、この行政規則の前文では、この個人情報保護に 関する全国的な法制度は、EU データ保護指令(Directive95/46/EC of the European Parliament and the Council, of 24 October 1995)の定めるレジームに適合させることが適当であると明確に書かれ ている。
(c)Regulatory degree No.664/008(個人情報データベースの登録に関する規則)
本規則は、LDPDに規定されている個人情報データベースの登録に関する手続について規定するもの である。LDPD以前には、信用情報分野のみに適用される個人情報保護法(Law No. 17838、2004年 に成立)が存在していたが、LDPD成立後は効力を失い、Law No.17838のもとで登録された個人情報 データベースはそのままLDPD上の個人情報データベースに移行された。
なお、LDPDで規定される個人情報データベースとは、「処理、取り扱うことができる状態に整理さ れたすべての個人情報で、それが電子的であるかそうでないかは問わない」(LDPD 第4 条(A))。また、
LDPD では、Chapter V において公共機関のデータベースについて、Chapter VI において民間機関の データベースについて、それぞれ登録する義務がある旨規定されている4。
(5) The Protection of Personal Data and Habeas Data Action(LDPD, Law No.18331) (個人情報保護法)とThe Regulating Decree No.414/009 (DPDP)(行 政規則)
(a)適用範囲
LDPDとDPDPは、DPDP 第3条に定められた2つの場合に適用される。1つは、ウルグアイにおい て設立された個人情報データベース、データベース管理者によって個人情報が取り扱われている場合、
もう1つは、ウルグアイの個人情報データベース、データベース管理者によって個人データが取り扱わ れている訳ではないが、データの処理にウルグアイ国内に設置されているメディアを使用される場合 である。後者の場合には、例外規定が置かれており、データの移転(transfer)のみがウルグアイ国内 のメディアを通して行われる場合は、国外の個人情報データベース、データベース管理者が国内にそ の代理人を指名し、法的義務を果たしている限りは、適用除外になるとされている(DPDP 第3条)。
また、個人情報データベースが、個人的に家庭内での利用に限られている場合(Eメール、個人的な 日記など)、公共のセキュリティ、防衛、国家の安全保障、刑事的な犯罪に関わる場合は、この法律は 適用されない(DPDP 第2条)。
(b)個人情報収集の目的と事前同意
個人情報を収集する場合、当該情報の利用目的、データベース管理者による情報の取り扱われ方に 関して、原則として情報主体の同意を得なければならない(LDPD 第9条、DPDP 第9条)。個人情 報を収集する際には,如何なる目的で利用され、その情報を取り扱うのが誰であるのか,などを明確 に伝えることが必要とされ、特にセンシティブデータ5の収集については、必ず同意が必要とされる。
また、10営業日以内に同意が得られない場合は、同意が得られなかったとみなす(DPDP 第6条)な ど、同意に関する細かい規定がDPDPで規定されている。また、形態は問わないが、同意の証拠につ いて保存しておく義務が、データベース管理者にあることも規定されている(DPDP 第6条)。LDPD 第11条では、自然人又は法人が法的に情報を入手した場合、秘密性を保持し、ビジネスや事業の収集 時に定めた目的のみに使用することとし、第三者への配布を禁止している。
4 ある民間企業に対するインタビュー(2012年3月6日、8日)では、登録手続が大変煩雑かつ政府からの登録やLDPDに関する情 報が少ないことから、登録が義務であるにもかかわらず、特に中小企業が登録まで至っていない例もみられた。また、登録を怠っ たこと自体に対する法的な罰則は存在しない。
5 センシティブデータとは、人種、政治観、倫理や健康、性生活に関する情報(LDPD4条(E))をいい、特に健康に関するデータ については、DPDP 第4条(D)で、EU裁判所によって導かれた、過去、現在、未来の身体的、健康的健康状態であると定義をし ている。遺伝情報なども含まれる。
130
例外として事前同意が必要ではない場合についても、LDPD 第9条(A)〜(E)に列挙されている。
公共にオープンになっている情報源から得られたデータ(たとえば記録や出版物、マスコミなどから の情報)、行政機能上必要な情報、法的な義務によって集められるデータ、情報の収集が契約によって 定められている場合や就業上必要である情報、個人的な利用のために収集される情報などについては、
同意が必要でないとされる。特に(C)では、自然人の氏名、ID card番号、国籍、住所、誕生などの 個人データの収集の場合、事前の同意は必要ないとする。法人の場合は、会社名、ブランド名、税番号、
住所、電話、責任者名については、事前の同意が必要ないとされている点に特徴がある。
(c)データの真実性“ veracity principle”
LDPD 第7条では、集められた個人情報は、真実かつ適切で,偏り、欠缺があってはならず、また 収集の目的に照らし、必要以上に多く集められたものであってはならないとされる。また収集におい ては、フェアで不正ではなく、侮辱的であってはならず、その他すべてのこの法律に反するものであっ てはいけないとされる。
さらに、個人情報は正確で、最新のものでなくてはならないとする(LDPD 第7条)。そして、個人デー タが不正確又は間違っている場合は、データベース管理者は、いつでもそのことに気づいたら速やか にデータを削除し、正確な情報に書き換えなければならない。また、この法律に従って、期限の切れ たデータも削除される必要がある(LDPD 第7条)。
LDPD 第8条では、収集された個人情報はその収集目的以外の利用については禁止され、収集の目 的と照らし合わせて個人情報の削除が必要又は適当な場合は、いつでも個人情報は削除されなければ ならないとしている。
(d)透明性の原則
情報主体の権利として、個人情報を収集される際、その目的などを伝えられることが認められている。
LDPD 第13条において、データを収集する者は、そのデータを取得するときに、事前に、明確に、はっ きり、曖昧性なく、情報主体に対して以下の点を伝える義務があることが規定されている。
☆ データの取扱目的、そのデータを取得する者が誰であるか
☆ そのデータが保管される電子的又はその他のデータベースの存在、管理者が誰であるのか、管理 者の住所
☆ センシティブデータの場合、同意なしに個人データの収集が強制されることはないこと
☆ データを提供することにより起こりうる結果とデータ提供を拒むことによる結果、又はその結果 の不明確性
☆ 情報主体は、自己の個人情報にアクセスする権利があり、修正、削除をする権利があること 収集に際して同意が必要な個人情報かそうではないかに関わらず、情報収集の際には以上の事柄を 情報主体に伝えなければならない。
(e)アクセス、訂正、異議に関する権利
IDカードやその他の方法で身元が確認されれば、すべての情報主体は公共又は民間のデータベース の自己に関する情報にアクセスする権利を有する。またこの権利は、6 ヶ月に1回であれば無償で行使
することができる(LDPD 第14条)。要請された情報は明確に、コーディングなしに、説明が必要な らこれを付して、一般人が理解できるような表現で提示されなければならない。さらに、要請のあっ た情報について、データベース管理者は5営業日以内に提供をしなければならず、この要請への応答が 拒否された場合又は要請自体に反応がない場合、情報主体は後述するHabeas Data Action を取ること ができる。
また、情報主体は自己の個人情報が正しくない場合はこれを訂正することを求めることができる。
さらに、状況に応じて、自己のデータの処理に反対することもできる。
個人の権利に関連して、LDPD第15条は、自然人、法人は誰でも、自己の個人情報について、エラー、
間違い、抜け落ち等が存在する場合、修正、更新、追加、削除を依頼することができるとする。
また、情報主体からのデータの要求が、ある側面だけを参照するものであっても、提供する個人情 報は、総合的でありすべてのその人に関することを含んでいなければならないとする。手書き、電話、図、
など情報主体の望む適切な形態で提供される必要がある。さらに、その情報主体と関わりがあるもの であっても、第三者へ個人情報を提供してはならない(LDPD第14条)。
(f)データセキュリティ
LDPD は、第 5 条(E)においてデータセキュリティ原則を規定しており、第 10 条ではその原則を 発展させ、データベース管理者又はデータベースの取扱者は、情報のセキュリティ、信用性(機密性)
を脅かすことのないよう、必要な措置を講じなければならないとする。この措置は、データの変更、
紛失、無許可の処理が行われることのないよう、そして、故意的か故意的ではないかを問わず、さら に人的か技術的かを問わず、情報の取り扱われ方に問題がある場合はそれを検知することが必要であ るとする。そして、このような完全なセキュリティに関する措置が行われない場合は、個人情報に関 するデータベースの保持を認めない。
また、個人データの漏えいについては、情報主体への報告義務がある(DPDP 第8条)。
(g)個人情報保護担当機関(監督機関)
個人情報保護担当機関についての詳細は後述するが、LDPDに関する監督機関として、Unit for the Regulatory and Control of Personal Data(以下、URCDP)を置く事が規定されている(LDPD 第 31 条 )。URCDP は、Agency for the Development of Electronic Management Government and Information and Knowledge Society(以下、AGESIC)に属する独立した機関である。URCDP は、
AGESIC の下にありながら、独立性を持つという特徴を持ち、URCDPは、行政に対して報告義務がなく、
業務に対して完全なる独立性を保っている。
URCDPは、侵害行為に対する処罰の執行権限を有する他、大きく分けて8つに分けられる業務を遂 行する義務を負う。詳細については、後述(1.2)する。
(h)処罰
侵害行為に対する処罰については、LDPD 第35条に規定されており、いずれもURCDPがその執行 権限を持つ。1)警告、2)500000index units(500万円以下)、3)データベースの停止の3つが挙 げられている。3)データベースの停止については、侵害行為が行われてから6 ヶ月以内に、URCDP が裁判所に対して命令を求めることにより、裁判所よりデータベースの停止命令が下される。