に個人情報を利用又は開示することを認めているが、差し迫ったという文言を削除すべきである。脅 威が深刻であっても、差し迫っていないという理由で、機関が情報を開示できないという場合が現実 に存在している。また、新たに、健康や安全を理由として、本人以外からの情報収集を認める例外規 定をおくべきである。そして、本人がその情報へのアクセスを求めた場合、機関は、健康又は安全にとっ て深刻な危険が存在することを理由としてその情報開示を拒むことができるようにすべきである。
電話禁止登録とダイレクト・マーケティング
(Do Not Call register and direct marketing)
現在、マーケティング協会によって行われている電話禁止登録については、立法的な根拠を与え、
業者はすべからく人々の意向を尊重すべきよう義務付けるべきであるが、これは、プライバシー法と いうよりは、むしろ、消費者法を通じてなされるべきである。もっとも、オプト・アウトの規定をプラ イバシー法におく必要が将来的に生じる可能性があるだろう。また、オンライン・マーケティングに関 するプライバシー問題やこれに対する諸外国の反応にも注視し、この分野における更なる措置の必要 性を注視していくべきである。さらに、産業界は、自働決定に対するマーケティングに関する現行の プライバシー保護規範の妥当性について検討すべきである。
172
に受け止められ、このような改正法も十分なレベルの保護を有していると判断されたのではないかと 考えられる。
ロー ・コミッションによる個人情報の越境的移転に関する勧告の概要については、次の通りである。
問題の本質
2010年のプライバシー法の改正は、ニュージーランドが海外から個人情報の移転を受け、それを更 に不十分なプライバシー保護水準の諸外国へ移転する場合に、プライバシー ・コミッショナーが介入で きる権限を与えている。この改正の主要な利点は、EUの審査における十分性の地位を獲得したことで ある。このことによって、データ処理、クラウド・コンピューティング、金融、コール・センターなど の分野において、新たな取引の機会が生じるものと考えられる。
だが、プライバシーの観点からすると、この改正は、ニュージーランドの取引先である諸外国の市 民の利益に資するものであるが、ニュージーランドを起源とし、不十分なプライバシー水準の場所へ の越境的データ移転の懸念に対処しようとするものではない。
改正へのアプローチ
この問題について、5人の意見提出者(submitters)は、現状のままで良いとしているが、9人の意 見提出者は、より一層の保護が必要であると解している。国税庁(Inland Revenue)、社会発展省(the Ministry of Social Development)、関税局(the Customs Service)の3つの政府機関は、一定の状況 下で越境的情報共有を認める定めをおいている。
2010年6月21日〜 22日にウェリントンで開催された、インターネット・ニュージーランド主催に よるフォーラムでは、プライバシー法10(3)条の射程範囲が広範に及ぶ可能性があることについて懸念 が示された。同規定では、外国法(アメリカの愛国者法(USA PATRIOT Act)のような)の要求に従っ て個人情報が開示される場合、アカウンタビリティの適用が除外されることについて定められている。
そこで、ロー ・コミッションでは次のように考える。機関の越境的個人情報の移転は、「個人情報が 処理や保管のため、ニュージーランドの委託者の機関として働き、その委託に関連する目的以外の目 的で個人情報を利用することを禁止されている海外の機関へ、個人情報を委託する場合」と「海外の 機関自身の利用のため、個人情報を開示する場合」とに分けられる。
委託(outsourcing)から開示(disclosure)まで様々な取引の類型を考慮することは、我々の分析にとっ て極めて重要な要素である。結論的には、機関が、越境的個人情報の移転に関する責任を負うべきで あるが、アカウンタビリティのレベルは、移転の類型によって異なると解する。
まず、個人情報を海外へ委託する機関のアカウンタビリティの水準は、相対的に高いと解すべきで ある。個人情報を委託すると決定した機関は、その個人情報の取扱いに対して、依然として完全に責 任を負うと解することが適切である。個人情報を信用して組織に預けた人々が、委託されるという決 定によって、不利益を被ることがあってはならないからである。このことは、委託の取決めにおいて、
個人情報がニュージーランドのプライバシー法と同レベルのプライバシー水準に服することが確保さ
れていなければならないということを意味する。このようなアカウンタビリティの水準が、プライバ シー法によっても企図されていると思うが、現行法によってこの点が明確化されるべきだと考える。
次に、海外の機関への開示に関しては、アカウンタビリティの水準は異なり、やや限定的となると 解する。開示する機関は、プライバシー原則を遵守すべき責任を負う。第11原則に従わない開示は、
違法である。さらに、機関は、海外で開示された情報が、受け入れられるプライバシー水準に服する ように合理的な措置をとるように求められるべきである。このような規定を新たにプライバシー法へ 導入すべきである。われわれが好ましいと考えるモデルは、アカウンタビリティと越境的データ移転 統制との両輪モデルであり、かつ、それが情報の自由な越境的流通を不当に妨げない程度であるとい うものである。
我々は、新しいアカウンタビリティの原則を本法に導入するという手法について、プライバシー ・コ ミッショナー ・オフィスから賛同を得たものの、意見書からは、明示的な賛同が得られなかった。この ことから、新しい原則に対して十分な支持が得られていないと考えている。そこで、アカウンタビリティ を強化するため、本法に対してなされ得るその他の改正点について検討した。
現行プライバシー法は、ニュージーランド域外に移転される個人情報を保護し、機関が責任を負う ような方向へ向けられているが、それらの規定は、散在している。我々は、それらの規定を最新のも のとし、明瞭化し、本法のひとつの章にまとめることが必要であると考えている。本法を越境的デー タ移転に適用するためには、機関は 3(4)条、10 条、第 5(b)原則、第 10 原則、第 11 原則及び新しい 11A章を参照しなければならず、これは極めて複雑である。
また、我々は、これらの規定によっても、現在よりアカウンタビリティを促進できると考えている。
そこで、指摘した2つの区別に従って、以下検討する。
海外への個人情報の委託
機関が、自らのために個人情報の処理を行うため、海外の機関にその処理を委託する場合、仮に、
その個人情報が、他の機関によって海外へ移転されたとしても、プライバシー法は、その委託機関が、
依然としてその個人情報を保有している(それゆえ、それに対する責任を有している)と解している(プ ライバシー法3(4)条、10(1)(2)条)。
現行法は、クラウドコンピューティングの契約上の取決めや委託取決めの越境的な側面の複雑性や 洗練化(sophistication)を予期していなかった。ひとつの問題として、3(4)条は、委託された個人情 報に対する機関の責任について定めているが(その個人情報が依然として委託機関によって保有され ていると解することによって)、それと同時に、アカウンタビリティからサービス提供者を免責すると いう機能も有しているということがあげられる。この免責の条件は、サービス提供者が、自身の目的 のために、その情報を利用又は開示しないというものである。だが、この規定の解釈が意味するとこ ろは、サービス提供者によるこの条件の不遵守が、その個人情報がもはや委託機関によって保有され ていないという結果となり、それゆえ、その機関のアカウンタビリティの水準が下落するということ である。我々の見解では、3(4)条におけるこれら2側面の機能は、別々に扱われるべきである。この
174
条件は、委託業者のアカウンタビリティを制限するのではなく、アカウンタビリティからサービス提 供者を免責することのみに作用すべきである。
3(4)条の解釈は、国内の文脈において取り立てて困難を生じさせない。なぜなら、委託業者もサー ビス提供者もニュージーランドのプライバシー法に服するからである。しかし、サービス提供者が国 外の機関である場合には、その法の適用に問題が生じる。それゆえ、越境的委託においては、委託機 関がその取決めによって個人情報の取扱いに対する責任を依然として負うと解することについて、合 理的な根拠を強化すべきである。
我々は、2000年カナダ個人情報法保護及び電子文書に関する法(the Canadian Personal
Information Protection and Electronic Document Act 2000 (PIPEDA))の規定に沿った、委託目的 での移転に関して、より広範囲に及ぶアカウンタビリティの規定を導入することを勧める。
「機関は、処理のために第三者に移転した情報を含む、その保有又は管理(custody)する個人情報 に対して責任を負う。」
この新しい規定は、安全な管理や処理など、3(4)条の射程に現在含まれている機関の機能を捕捉すべ きである。
この種の規定の採用は、プライバシー法3(4)条の現在のアプローチを簡潔化及び明瞭化するもので ある。この規定は、機関が、委託取決め下におけるサービス提供者のいかなるプライバシー違反に対 しても責任を負うということを意味している。
この種の厳格なアカウンタビリティの要求は、機関の自己保身のためには、個人データの海外委託 の前に、危険評価(risk assessment)を行い、その回避のために必要な措置をとる必要があることを 意味している。PIPEDAでは、第三者によって情報処理がなされる場合には契約上又は他の手段を利用 することとし、そのことを制定法で明示している。だが、我々は、ニュージーランドのプライバシー 法の枠組みでは、この種の要求は、制定法上の要求というよりは、指針の問題とする方が適切である と解する。
プライバシー ・コミッショナーは、委託されたデータに対して、プライバシー法と同等の水準の保 護を確保するために、契約又は他の手段を利用して委託機関がいかに自らを保護できるかに関する指 針を提供すべきである。
このような指針の一部として、プライバシー ・コミッショナーは、そのオフィスがニュージーラン ドのプライバシー法と同等のプライバシー水準を有する法域のリストを保有することが機関にとって 役立つか否かについて検討することができる。このことによって、特定の委託取決めが承認されるも のではないが、機関が委託目的で法域を選択する際に、何らかの確信を提供するであろう。ある法域が、
このプライバシー ・コミッショナーのリストに含まれていない場合には、契約規定のような更なる措置 が必要であるということを示唆しているだろう。
我々は、諸外国の法で要求された行為について免責する、10(3)条で定められている例外については、
プライバシー保護が減じられる可能性があるものの、これを削除することは困難であると解する。
外国法の要求に関する重大な懸念がある場合には、それは、プライバシー ・コミッショナーが発言