(ⅰ)第29条作業部会70
EU 一般データ保護規則提案は個人データが保護された状態にあることを保証するためデータ管理 者の説明責任を適切に強調している、という評価をしている。その上で、第 41 条 6 項の「第 42 条か ら第44条の規定を除き」という解釈について、十分性認定を受けていない国・地域・国際機関が、そ れでもなおこれらの規定に基づき第三国へのデータ移転が可能であるかどうかについて明確にすべき であるという意見を述べている。また、新たに設置される欧州データ保護委員会(European Data Protection Board)が十分性の決定について欧州委員会からの相談を受ける義務が含まれることを強 く提案する旨意見表明している。
また、第29条作業部会は、EU一般データ保護規則提案の審議過程において現行の十分性審査の手 続の再設計(redesign)を主張しており、WP12及びプライバシー保護に関する国際基準の共同提案に 照らした十分性審査の基準の精緻化と更に多くの十分性の決定を下さすための審査手続の合理化を規 則提案公表前から指摘していた71。
69 この点、欧州委員会は、カナダの個人情報及び電子文書法の十分性認定について、OECD プライバシー・ガイドラインと国連の 個人データファイル・ガイドラインに依拠していることに言及している。See European Commission, Commission Decision of 20 December 2001 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data provided by the Canadian Personal Information Protection and Electronic Documents Act (2002/2/EC) at recital 8. 同 様に、第29条作業部会はニュージーランドについても、OECDプライバシー・ガイドラインに準拠していることが再三指摘されて いる。See Article 29 Data Protection Working Party, Opinion 11/2011 on the level of protection of personal data in New Zealand (WP182, adopted on 4 April 2011).
70 Article 29 Data Protection Working Party, Opinion 01/2012 on the data protection reform proposals (WP191, adopted on 23 March 2012).
71 Article 29 Data Protection Working Party, The Future of Privacy: Joint contribution to the Consultation of the European Commission on the legal ramework for fundamental right to protection of personal data (WP168, adopted on 1 Dec. 2009) at
98
(ⅱ)欧州データ保護監督機関72
第三国移転の条項は非常に進展がみられ、かつ特定されていると指摘し、特に第41条2項が法規範 及び、自主規制の役割がひとつの選択肢であるものの、効果的な救済体制ならびに独立した監督機関 の存在をさらに明確にしている点を取り上げている。そして、前文79項において一般データ保護規則 提案が欧州連合と第三国との間において完結した国際合意には効力を有しないとしている点について、
既存の国際合意のみに適用すべきであることを推奨している。同時に、一般データ保護規則提案の発 効後2年以内の国際合意であるとの経過規定を置くことも付言している。さらに、前文82項と第41条 6項の解釈について、十分性認定を受けていない場合、「第42条から第44条の規定を除き」データ移 転が可能かどうかについて、前文と本文との解釈の整合性が不明確であるという意見が述べられてい る。
また、欧州データ保護監督機関は、EU データ保護改革案が公表される過程において、欧州委員会 による十分性審査の決定が加盟国の間で異なった形で解釈されたり、実施されている批判を取り上げ、
十分性の決定に関する加盟国におけるデータ保護機関の誠実な協調を要求していた73。
なお、何がデータ移転に該当し、該当しないかについても一般データ保護規則提案の中で明確にさ れるべきであることが指摘されている。そして、欧州データ保護監督機関は、欧州司法裁判所の判決 の解釈も不明確であることから、特定の受取人に対してデータが送られる目的があるかどうか、デー タが無料で公開されているかどうか、さらに現実に外国の受取人に移転が行われたかどうかを考慮し て決定すべきであると主張している74。
(ⅲ)アメリカ商務省
2012 年2 月23 日、アメリカホワイトハウスは、「ネットワーク化された世界における消費者データ・
プライバシー」を公表した75。この消費者データ・プライバシーの枠組みにおいて、①消費者プライバ シーの権利章典(Consumer Privacy Bill of Rights)、②執行可能な行動規範の策定に向けた多様な利 害関係者との協議の促進、③連邦取引委員会の執行強化、④グローバルな相互運用(interoperability)
の進展について記載され、オバマ大統領が早期に議会での法案提出・審議を求める内容となっている。
72 European Data Protection Supervisor, Opinion of the European Data Protection Supervisor on the data protection reform package, 7 Mar. 2012.
73 European Data Protection Supervisor, Opinion of the European Data Protection Supervisor on the Communication from the Commission to the European Parliament, the Council, the Economic and Social Commitee and the Commitee of the Region (18 Jan., 2011) at 14, 30.
74 Id. at 19.
75 The White House, Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy (Feb. 23, 2012). Available at http://www.whitehouse.gov/sites/default/files/privacy-final.pdf. な お、消費者プライバシーの権利章典については、欧州委員会司法総局長が指摘するとおり、「消費者」のデータに限定されている点 が批判されうる。司法総局は、消費者保護を人権問題として所掌しているが、消費者保護とは別の課がデータ保護を担当している。
EU Conference: Privacy and Protection of Personal Data, March 19, 2012 (Francoise Le Bail欧州委員会司法総局長発言).
このアメリカの提案を受け、2012年3月19日に開催された欧州委員会主催の会議において、欧州委 員会副委員長Reding 氏とアメリカ商務長官John Bryson氏によるデータ保護に関する共同声明が発表 された76。共同声明において、「合衆国と欧州連合はUS-EUセーフハーバー・フレームワークへのそれ ぞれのコミットメントを再確認する」ことが指摘されている。アメリカとEUとの貿易額は2010年で 約5600 億ドルにのぼり77、アメリカとEUのデータ移転の必要性は極めて大きい。セーフハーバー・
フレームワークは2000年以降、3000社を超える企業がこれまでアメリカ商務省から認証を受けてきた。
しかし、欧州委員会によって認められている参加可能なアメリカ企業が連邦取引委員会及びアメリカ 運輸省の管轄にある企業に限られていること78や、①セーフ・ハーバー原則への遵守の意思表明の必要 性(参加企業にプライバシー・ポリシーの公表がされていない例がみられた)、②商務省の強力な指導 とモニタリングの必要性、③違反者に対する連邦取引委員会の強力な影響力の行使の必要性などが欧 州委員会から合衆国政府に要請されていた79。また、Viviane Reding 欧州委員会副委員長兼司法総局 コミッショナーは2012年3月19日の会議において、セーフ・ハーバー原則の履行に努力がみられるも のの、技術・法律の専門家による対話の継続を必要としており、セーフ・ハーバー協定の改善に向け、「更 なる改善がなされるべきである(more needs to be done)」80と指摘している。今回、アメリカは十分 性審査を受けるという形ではなく、改めて「US-EUセーフ・ハーバーの継続的な緊密連携」を実施す ることを公表している。
76 EU-US joint statement on data protection by European Commission Vice-President Viviane Reding and U.S. Secretary of Commerce John Bryson, 19 Mar. 2012. Available at
http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/12/192&format=HTML&aged=0&language=EN&guiLang uage=en.
77 See Safe Harbour Workbook, available at http://export.gov/safeharbor/eu/eg̲main̲018474.asp.
78 連邦取引委員会が連邦取引委員会法第5 条に基づく権限行使をできる場合(不公正又は欺瞞的な慣行に対する救済を行える場合)
と、運輸省が米国法典第49編第41712条に基づく権限行使をできる場合(不履行に対する個人への救済が与えられる場合)に限 られている。See European Commission, Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbor privacy principles and related requently questions issued by the US Department of Commerce, Annex (2000/520/EC).
79 European Commission, Commission Staff Working Document, he Implementation of Commission Decision 520/2000/EC on the adequate protection of personal data provided by the Safe Harbour privacy Principles and related Frequently Asked Questions issued by the US Department of Commerce, Oct. 20, 2004 at 13-14. 欧州委員会の作業文書の前に欧州委員会からの要請でナミュー ル大学が作成した報告書には基本的な原則が履行されていないばかりでなく、法執行が担保されていないなど多くの「欠陥」が詳 細に指摘されている。See Jan Dhont, María Verónica Pérez Asinari, & Yves Poullet, Safe Harbour Implementation Study (19 April, 2004). Available at http://ec.europa.eu/justice/policies/privacy/docs/studies/safe-harbour-2004̲en.pdf
このように、アメリカのセーフ・ハーバーの枠組みは自主規制を前提としており、規制効果が希薄であること、また救済の欠如な どから「自主規制は神話」であると批判されてきた。See Yves Poullet, he Directive 95/46/EC: Ten Years ater, 22 COMPUTER LAW & SECURITY REPORT 206, 210 (2006).
80 See Viviane Reding, Towards a New “Gold Standard” in Data Protection?, EU Conference: Privacy and Protection of Personal Data, March 19, 2012. Available at
http://ec.europa.eu/commission̲2010-2014/reding/pdf/speeches/20120319speech-data-gold-standard̲en.pdf
100
なお、プライバシー団体等のNGOから欧州委員会、ホワイトハウス等に宛てた意見には、アメリカ の法案が早く議会を通過できるようにすることと同時に、このような立法の欠如によって、アメリカ はEU に対し個人データ保護の十分な保護措置を保証できないことが記されている81。
【ヒアリング結果】
・ アメリカとのセーフ・ハーバーは機能しておらず、欧州委員会が不満を持っていると思われる。(ブ リュッセル自由大学)