100
なお、プライバシー団体等のNGOから欧州委員会、ホワイトハウス等に宛てた意見には、アメリカ の法案が早く議会を通過できるようにすることと同時に、このような立法の欠如によって、アメリカ はEU に対し個人データ保護の十分な保護措置を保証できないことが記されている81。
【ヒアリング結果】
・ アメリカとのセーフ・ハーバーは機能しておらず、欧州委員会が不満を持っていると思われる。(ブ リュッセル自由大学)
○監督機関
日本には独立の監督機関が存在しない。主務大臣制による執行が行われている。また、データ漏え いの通知制度や事業者の登録制度も存在しない。
国民生活センターおよび地方公共団体が処理する苦情について、各省庁が調査しているようには思 われず、これらの苦情から強制的な処罰が行われているかは明らかになっていない。
さらに、主務大臣制の監督は応答的規制の制度を十分に果たしているとは思われない。
日本ではデータ漏えいによって名声を傷つけてしまうことが問題とされてきた。日本のデータ・コン プライアンスが他の国に比べて徹底しているという証拠はない。
○自主規制と行動規範
認定個人情報保護団体の取組の強化が取りまとめにおいて示されているが、この取組の効果につい ては国民生活審議会から示されていない。
○日本のトラストマーク
日本のトラストマークはプライバシーマークが用いられており、事業者はそれを取得する努力や漏 えい後の報告をするなど行っており、同時に消費者にとってもこのマークを信頼できるものとなって いる。
そして、結論として、次のように述べられている。
「重要な行政罰・刑事罰、および法令違反に伴う裁判所の判断が存在しないと言われる。日本の実務 家によれば、事業者にとっては法令違反することによる多額の罰金を支払うことや団体訴訟というよ りも社会的地位の低下の危険が指摘されている。…
日本の法律はまだ4年間しか執行されておらず、暫定的な評価は困難である。さらに、日本では、
訴訟ではなくインフォーマルな紛争解決に関する法制度に依拠している。省庁が収集した資料、コン プライアンス、データ違反、救済に関する公表資料から、日本の法律が効果的であることの証拠がな いと判断することは合理的であろう。
(国際基準から見た日本の位置づけについて)日本のデータ保護制度はOECDガイドラインの基準を 満たしている。また、APECプライバシー・フレームワークの基準を満たしていることも疑いはない。
EU 指令との関係になるとこのレポートの範囲を超えるもので、難しい判断となる」84。
84 本調査報告書を執筆したGreenleaf教授は、別の論文の中で、アフリカ、ラテンアメリカ、アジア、オーストラリア、カリブ諸国 の33の国・地域の法制度を比較分析し、その中で4カ国のみが例外的に「ヨーロッパ的な」諸要素(ʼEuropeanʼ elements)を備 えていないとして日本、バハマ、ベトナム、チリを列挙する。また、同論文の中では、コロンビア、メキシコ、ペルー、韓国、イ ンド、台湾が十分性審査を申請又は申請準備している可能性があることが記されている。See Graham Greenleaf, he Influence of European Data Privacy Standards outside Europe: Implications for Globalization of Convention 108, 2 INTʼL DATA PRIVACY L. 68 (2012). また、Greenleaf 教授は、日本にはデータ保護監督機関が欠如していることが最大の要因となって、「日本はアジアの中で 最も貧弱なデータ・プライバシー法を有する国の1つである」と指摘する。See Graham Greenleaf, Independence of Data Privacy Authorities (Part ): Asia Paciic Experience, 28 COMPUTER LAW & SECURITY 121, 126 (2012).
なお、EUの十分性審査の観点から日本の法制度を考察するものとして、藤原静雄「個人情報保護法制とメディア」小早川光郎 ほか編『行政法の発展と変革上巻』(2001)713頁、新保史生「個人情報保護マネジメントシステム」法とコンピュータ25号(2007)
73頁、村上裕章「国境を越えるデータ流通と個人情報保護」川上宏二郎先生古稀記念論文集刊行委員会編『情報社会の公法学』(信
102
また、これまでも日本を含め多くの国・地域の十分性審査に関する欧州委員会からの事前調査に関 わってきているナミュール大学法・情報・社会研究所のCécile de Terwangne教授は、「グローバルな データ保護規制モデルは可能か」85と題する論文の中で、普遍的なデータ保護の基準として次の点を指 摘しており、傾聴に値する。①利用目的制限の原則、②データの質の原則、利用目的の特定および制 限の原則、④センシティブ・データ、⑤安全管理の原則、⑥公開性の原則、⑦個人参加の原則、⑧責任・
説明責任の原則、⑨越境移転における適切な保護水準(proper level of protection)をデータ保護の 内容として示し、同時に、①独立した監督機関、②法的な制裁及び救済を掲げている。さらに、追加 的な原則として、①収集最小限の原則、②比例原則、③データ処理の知る権利を記している。これら の普遍的な原則は第29 条作業部会が十分性審査の基準として示した作業部会の文書(WP12)とほぼ 同様の内容である。これらの普遍的な原則からみた日本の法制度の分析については本報告書の趣旨を 超えるものであるが、日本の個人情報保護法制にセンシティブ・データ、越境移転における適切な保 護水準、独立した監督機関、データ処理の知る権利について少なくとも明文規定が存在していないこ とを指摘するにここでは留めておく。
最後に、長年世界のプライバシー・個人情報保護法制度の研究を重ねるとともに、各国の関係者と の意見交換を行ってきた堀部政男教授は「プライバシー外交」の推進を提唱する。この外交交渉にお いて「プライバシー・個人情報を法的に保護していない国は、人権意識が乏しいという受け止め方も された」86という指摘を「忘れない」こととしたい。
85 Cécile de Terwangne, Is a Global Data Protection Regulatory Model Possible?, in REINVENTING DATA PROTECTION 185-187 (Serge Gutwirth et. al. eds., 2009).
86 堀部政男「プライバシー・個人情報保護の国際的整合性」堀部政男編『プライバシー・個人情報保護の新課題』(商事法務・2010)
8-9 頁。
現行 EU データ保護指令 EU 一般データ保護規則提案
第4章 第三国への個人データの移転 第5章 第三国又は国際機関に対する個人データの移転 第 40 条 移転に対する一般原則
処理されている又は第三国ないし国際機関への移転後に 処理が予定されている個人データのいかなる移転も、第三 国又は国際機関から別の第三国又は別の国際機関への個人 データの転送に対する場合を含め、本規則の他の規定に従 い、本章で示された条件が管理者及び処理者によって履行 される場合に限ってのみ行うことができる。
第 25 条 原則
1.構成国は、取り扱われている又は移転後に取扱いが予 定されている個人データの第三国への移転は、この指令に 従って採択された国内規定の遵守に実体的効果を持つこと なく、当該第三国が十分なレベルの保護措置を確保してい る場合に限って、行うことができることを定めなければな らない。
第 41 条 十分性の決定に伴う移転
1.欧州委員会が、第三国、当該第三国における領土若し くは処理される分野、又は問題とされている国際機関が十 分な保護措置を確保している場合に移転は行うことができ る。かかる移転にはいかなる追加的許可も必要としない。
2.第三国によって保障される保護のレベルの十分性は、
一つのデータ移転作業又は一連のデータ移転作業に関する あらゆる状況に鑑みて評価されなければならない。特に、
データの性質、予定されている取扱作業の目的及び期間、
発信国及び最終の目的国、当該第三国において有効である 一般的及び分野別の法規範、並びに当該第三国において遵 守されている職業上の規則及び安全保護対策措置が考慮さ れなければならない。
2.保護措置の十分性を評価するにあたり、欧州委員会は 次の点に考慮しなければならない。
(a) 公共の安全、防衛、国土の安全及び刑事法を含む有効 な関連立法である一般的及び分野別の法規範、当該国又は 当該国際機関によって順守される専門的な規則並びに安全 措置、同時に、データ本人、特に個人データが移転された 欧州連合に在住するデータ本人に対する効果的な行政法上 ならびに司法上の救済を含む効果的かつ執行可能な権利 (b) データ本人の権利行使のため本人を支援し、助言し、
かつ欧州連合並びに加盟国の監督機関との協力する目的で データ保護規則の履行を確保する責任を負う当該第三国な いし当該国際機関における一つ又は複数の独立した監督機 関の存在及び効果的な機能
(c) 当該第三国又は国際機関が従事する国際的な責任 3.欧州委員会は、第三国、当該第三国における領土若し くは処理される分野又は国際機関が第 2 項の意味における 十分な保護措置を確保していることを決定することができ る。これらの決定行為は第 87 条第 2 項を参照して所定の 審査手続に従い採択されなければならない。
4.前項の決定行為は地理的かつ分野別の適用を特定しな ければならず、かかる適用がある場合、第 2 項 (b) におい て示された監督機関を認定しなければならない。
3.構成国及び委員会は、第三国が第 2 項の規定の意味に おける十分なレベルの保護を保障していないと考えられる 事例について、相互に情報提供しなければならない。
5.欧州委員会は第三国、当該第三国における領土ないし 処理された分野又は国際機関が、具体的には、当該第三国 又は国際機関において一般ならびに個別の効力ある関連す る立法がデータ本人、特に個人データが移転された欧州連 合に在住するデータ本人に対して効果的な行政法上ならび に司法上の救済を含む効果的かつ執行可能な権利を保障し ていない場合には、本条第 2 項の意味における十分な保護 措置を確保していないと決定することができる。これらの 決定行為は第 87 条第 2 項を参照して所定の審査手続、そ うでなければ、個人データ保護の権利に関する個人に対す る極度に急を要する場合に第 87 条第 3 項を参照して手続 に従い採択しなければならない。