①目的
「個人データの処理に係る個人の保護に関する規則及び個人データの自由な流通に関する規則」(第1 条1項)を定め、「自然人の基本的権利及び自由、特にその個人データの保護の権利を保護する」(第1 条2項)ことを目的としている。
現行のEUデータ保護指令とほぼ同様であるものの、現行の指令にある「プライバシーの権利」(第 1条1項)という言葉が削除され、欧州連合基本権憲章及び欧州連合の機能に関する条約で示された「個 人データの保護の権利」に統一されている。なお、EU 一般データ保護規則提案には、第 30 条(プラ イバシー・バイ・デザイン)及び第32条(個人のデータ又はプライバシーの保護)において「プライ バシー」という言葉が用いられている。
②適用範囲
(ⅰ)EUにおけるデータ管理者及びデータ処理者の設置による活動において個人データを処理する 場合、(ⅱ)EU域外における管理者がEU在住のデータ主体の個人データを処理し、欧州連合における かかるデータ主体に対して商品若しくはサービスを提供する場合又はかかるデータ主体をモニタリン グする場合、(ⅲ)EU域外における管理者が国際公法によって加盟国の国内法が適用される所で個人 データを処理する場合にはEU一般データ保護規則提案が適用されることになる。(第3条1項〜 3項)
この規定は、自動処理の方法及びファイリングシステムによる個人データの処理に適用されると定 めている現行のEUデータ保護指令(第3条1項)から大きく改正された。特に(ⅱ)の域外適用につ いては、たとえばデータ管理を日本で行っている事業者に対してもEU在住のデータ主体に対して商品 若しくはサービスを提供する場合又はかかるデータ主体の活動をモニタリングする場合には適用可能 性があることを示唆している点は注意を要する。前文21項において、「活動をモニタリングする」こと とは、データ主体に関する決定を下し、又は個人の選好、行動及び態度を分析若しくは予測する目的 で個人を「プロファイル」するデータ処理技術を用いてインターネット上で個人を追跡することを指 していると解説されている13。
13 なお、EU 域外の情報通信を取り扱う事業者に対しては、EU 域内のミラーサイトを通じてデータの収集が行われる場合、そのよ うなunique indentifer(クッキーなど)を用いたデータの処理にもEUデータ保護指令が適用されると解されている。See Article 29 Working Party, Working Document on Determining the International Application of EU Data Protection Law to Personal Data Processing on the Internet by non-EU Based Websites, (WP 56, adopted on 30 May 2002). また、このことは欧州委員会司法総局 データ保護課長(2012年3月現在)がかつて執筆した共著論文において示されていた。See Marie-Helene Boulanger & Cécile de Terwangne, Internet et le Respect de la vie Privée,12 INTERNET FACE AU DROIT, COLLECTION CAHIERS DU CENTRE DE RECHERCHES INFORMATIQUE ET DROIT, 189, 203 (1997).
なお、第29条作業部会の意見において、現行のEUデータ保護指令の下でも、EU域内で技術のメイ ンテナンスを行っている場合や支店を置いている場合の日本のインターネット・サービス提供者に対 するEUデータ保護指令の適用の可能性の例が出されている14。
③本人の権利
(ⅰ)本人の同意について
本人の同意に関する新たな条文が設けられた(第7条)。管理者がデータ主体の同意があったことを 立証する責任を負うほか(第7条1項)、データ主体は自らの同意を撤回することができる(第7条3 項)。すなわち、個人が真正かつ自由な選択をできず、また事後的に同意を撤回することができない場 合は、同意が法的に有効であったとはみなされないのである(前文33 項)。
なお、同意については、自らの希望を特定して表明できる「曖昧なものであってはならない
(unambiguous)」ことが第29 条作業部会の意見において示されている15。
(ⅱ)忘れられる権利
EUデータ保護指令で定められていたデータの修正、消去、ブロック(第12条)とは別に、「忘れら れる権利(the right to be forgotten)」が新たに設けられた(第17条)。欧州委員会の調査(2010 年 11月〜 12月実施)によれば、75%のEU市民が何時であっても自らのデータを消去できることを希望 している16。(ⅰ)データの利用目的が必要でなくなったとき、(ⅱ)データ主体が同意を撤回し、同意 されたデータ保有期間が経過し、若しくはデータ処理の法的根拠がないとき、(ⅲ)データ主体が個人 データの処理に異議申立を行ったとき、又は(ⅳ)その他の理由によりデータ処理が一般データ保護 規則提案に違反したときには、データ主体が管理者から個人データを消去する権利及びかかるデータ の更なる流通を回避する権利を有している(第17条1項)。そして、管理者が個人データを公表してい る場合、管理者がその公表に責任を負っているデータに関して、データ主体が当該個人データへのリ ンク、又はその複製若しくは複写を消去するよう要請していることを当該データを処理する第三者に 対して通知するために技術的措置を含むあらゆる合理的な措置を講じなければならない(第17条2項)。
なお、表現の自由、公共の利益、歴史・統計・科学の研究目的等の理由を除いて、管理者は遅滞なく 個人データを消去しなければならない(第17条3項)。
なお、忘れられる権利については、実効性に疑問が残るとされているが、2012年3月スペインの裁 判所から欧州司法裁判所に検索サイトにおける個人データの消去に関する事案の意見照会が行われ、
その判断が待たれるところである17。
14 Article 29 Data Protection Working Party, Opinion 8/2010 on applicable law, (WP179, adopted on 16 Dec. 2010) at 16-7.
15 See Article 29 Data Protection Working Party, Opinion 15/2011 on the definition of consent (WP187, adopted on 13 July 2011).
16 European Commission, Special Eurobarometer 359: Atitude on Data Protection and Electronic Identity in the European Union (June 2011) at 158. 消去を希望しないと回答したEU市民は4%にすぎない。
17 ECJ, Case C-131/12.
84
(ⅲ)データ・ポータビリティの権利
データ主体は、電子的な方法で個人データが処理されている場合は、管理者に対してデータの複写 を得る権利を有する(第18条1項)。
④事業者の義務
(ⅰ) プライバシー・バイ・デザイン(privacy by design)18、データ保護バイ・デフォルト(data protection by default)
管理者は、データ主体の権利の保護を履行するために技術的かつ組織的措置を講じなればならない
(第23条1項)。同時に、管理者は、初期設定で(by fault)利用目的に必要な限りで個人データが処理され、
また目的に必要な必要最小限の範囲で収集又は保有される体制を実施しなければならない(第23条2 項)。さらに、管理者及び処理者が個人データの処理に際して適切なセキュリティ水準を維持できるよ う、欧州委員会はプライバシー・バイ・デザイン(データ保護バイ・デザイン(第23条3 項))及びデー タ保護バイ・デフォルトに向けた技術及び解決策の進展を考慮しつつ、技術的及び組織的措置の基準 及び条件を具体化していくこととなっている(第30条3 項)。
(ⅱ)データ保護責任者(data protection officer)及び代理人(representative)
EU域外のデータ管理者で第3条2項(EU域内のデータ主体に対して商品若しくはサービスを提供す る場合又は活動をモニタリングする場合)に該当する管理者はEU域内に代理人を配置しなければなら ない(第25条1項)。ただし、(ⅰ)十分な保護措置を確保していると認められている国における管理者、
(ⅱ)250人以下の従業員の企業、(ⅲ)公的機関、又は(ⅳ)EU在住のデータ主体に対してごく稀に 商品ないしサービスを提供するにすぎない管理者はこの限りではない(第25条2項)。また、管理者及 び処理者が、(ⅰ)公的機関によって処理が行われる場合、(ⅱ)250人以上の従業員によってデータが 処理される場合、又は(ⅲ)管理者若しくは処理者の中心的活動がデータ主体を規則的かつ体系的に モニタリングを必要とする処理運用からなる場合、データ保護責任者を配置しなければならない(第 35条1項)。また、管理者又は処理者はデータ保護法の専門知識を有する専門的資質に基づきデータ保 護責任者を任命することとし、その任期は少なくとも2年としなければならない(第35条5項・7項)。
(ⅲ)データ保護違反の通知義務(data breach notification)
個人データの侵害の事案においては、管理者は遅滞なく、かつその事案を知り得たときから24時間 以内に監督機関に対して当該個人データ侵害を通知しなければならない。24時間以内に通知がされな い場合は、合理的な正当化事由をもって監督機関に対して通知をしなければならない(第31条1項)。
ここにいう、「侵害」とは、個人データ又はプライバシーに不利な影響を及ぼすことを指し、具体的に
18 「プライバシー・バイ・デザイン」はカナダ・オンタリオ州コミッショナーであるアン・カブキアン博士によって提唱され、第32 回データ保護プライバシー・コミッショナー国際会議において「プライバシー・バイ・デザインに関する決議」が採択された。こ の点については、堀部政男「プライバシー・バイ・デザイン」ビジネス・ロー・ジャーナル(2011)参照。
はID盗難・詐欺、物理的被害、名誉に対する重大な屈辱又は損害を言う(前文67項)。通知の内容に ついては、少なくとも(ⅰ)データ主体の類型や数等を含む個人データ侵害の性質、(ⅱ)データ保護 責任者の連絡先、(ⅲ)個人データの侵害を和らげるための措置、(ⅳ)個人データ侵害の結果、(ⅴ)
管理者が講じた措置を参照することとされている(第31条3項)。
なお、データ保護違反の通知義務は、2012年3月時点でアメリカの40州以上において各州の制定法 が整備されている19。
(ⅳ)認証(certification)
EU加盟国及び欧州委員会は、データ保護の認証及びデータ保護のシールならびにマークの仕組みを 確立することとなっている(第39条1項)20。
【ヒアリング結果】
・ 今回の一般データ保護規則提案では説明責任の原則が強化され、これはAPECにおける取組から教 訓を得ているものと考えられる。日本にはプライバシーマークがあるのであれば、十分性審査の際 に欧州委員会に対してもその点を強調していくとよいであろう。欧州委員会は、現状で知識はない ものの、認証制度に興味があり、日本の認証制度はひとつの参考となりうる。(ブリュッセル自由 大学)
・ 認証については、自主規制の枠組みを好むアメリカの主張と整合的であり、セーフ・ハーバーの延 長上にあると考えることができる。(リンクレターズ)
⑤データ移転
(ⅰ)十分性審査 2.において記述。
なお、十分性の決定がない場合、①拘束的企業準則、②欧州委員会が採択した標準データ保護条項、
③管理者ないし処理者とデータ受領者との契約、又は④標準契約条項、若しくはその他の適当かつ比 例した方法によってデータの移転を行うことが認められる(前文83項、第42条第2項)。
19 See generally JOHN P. HUTCHINS ET.AL., US. DATA BREACH NOTIFICATION LAW: STATE BY STATE (2007).
20 欧州レベルにおける認証制度のいち早い取組として、ドイツにおけるシュレスヴィッヒ・ホルシュタイン州のマーク制度がある。
藤原静雄「ドイツ・シュレスヴィッヒ・ホルシュタイン州のマーク制度」季報情報公開個人情報保護25 号(2007)11 頁、参照。