データ保護プライバシー・

データ保護プライバシー・

コミッショナー国際会議

─プライバシー保護の国際基準と越境執行協力─

The International Conference of Data Protection and Privacy Commissioners:

The International Standard of Privacy Protection and Cross─border Enforcement Cooperation

宮  下   紘^＊

   目   次

1．コミッショナー国際会議の概要

2．コミッショナー国際会議の非公開セッション 3．国際基準と越境執行協力の具体例

4．第35回コミッショナー国際会議

 本稿は，データ保護・プライバシーのグローバルな諸課題に対処するた め，35年にわたり国境を越える問題を審議・対応してきたデータ保護プラ イバシー・コミッショナー国際会議を紹介することを目的としている^1）。 日本は，これまでのところ会議の正式加盟国ではないことから，諸外国の 機関との情報交換や越境執行協力が行われてきていない。情報がグローバ ルに流通する時代において，国境を越えるプライバシー保護に関する問題 にどのように対応すべきか，という観点から，データ保護プライバシー・

＊ 所員・中央大学総合政策学部准教授

1） 同会議については，金融情報システムセンターが第25回会議以降，『金融情 報システム』に会議報告を公開しており参考になる。筆者は，第29回会議以降

7 年間継続してこの会議に出席している。

コミッショナー国際会議の様々な決議や実際の執行協力例は大いに参考に なると思われる。

 以下，同会議の概要，非公開セッション，越境執行協力の取組例，最新 の会議の決議等について紹介していく。

1．コミッショナー国際会議の概要

⑴ 会議の背景

 データ保護プライバシー・コミッショナー国際会議は，承認を受けた各 国・地域のデータ保護機関から構成されるデータ保護及びプライバシーに 関する国際会議である。1979 年第 1 回会議がドイツ・ボンで開催され，

以降，毎年 1 回秋に開催され，2013年 9 月にポーランド・ワルシャワで第 35回会議が開催された。第36回会議はアフリカ大陸初の開催となるモーリ シャスがホスト国となった（2014年10月13日〜 16日開催予定）。

 コミッショナー会議には，一般参加が認められる公開セッションと，国 際会議の決議に基づき承認を受けた各国・地域のデータ保護機関のコミッ ショナーのみの出席が認められる非公開セッションがある。プライバシ ー・コミッショナーとは，法令に基づく公的機関で，自律性・独立性を保 障され，プライバシー保護に関する適切な範囲の調査等の権限を有する監 督機関である。プライバシー・コミッショナーは，欧州諸国で設けられて いたが，2013年の会議では欧州以外に，アジア太平洋，アフリカ等から66 か国の代表とその他国際機関等を含むオブザーバーが非公開セッションに 出席している。非公開セッションに出席する各国の代表は任期が定められ たコミッショナーが出席するため，出席者のほとんどが 5 年から10年以上 にわたり継続的に出席しており，本会議は出席者の継続性という特徴があ る。

 第35回会議の閉会のセッションでは，今季で引退する欧州データ保護監 督官（European Data Protection Supervisor）であるPeter Hustinx（1976 年欧州評議会データ保護専門委員会以降この分野に携わる）が，コミッシ

ョナー会議の目覚ましい発展について言及した^2）。すなわち，1979年に開 催された第 1 回会議は小さな部屋で欧州の数名担当者が出席した国際会議 であり，当時の政治情勢からポーランドでデータ保護の国際会議が開催さ れることなど予想すらできなかったものの，35年の時を経てデータ保護が 欧州全域において共有された価値として確立したのみならず，この会議が 北米，アジア，南米，そしてアフリカで開催されることとなり，データ保 護がいかに普遍的でグローバルな課題となったかということをこの国際会 議が示していると述べた。

 公開セッションへの出席者は，コミッショナー，政府機関関係者，学 者，民間の専門家等であり，近年の会議における出席者は500 〜 1000 名 程度である。

⑵ 会議の目的

 会議運営セットアップの改善に関する決議（第32回データ保護プライバ シー・コミッショナー国際会議（イスラエル・エルサレム）2010年10月29 日採択）に基づき，会議の「規則及び手続」が整備された。その規則及び 手続によれば，会議の目的は以下のとおりである。

① 個人データ保護及びプライバシーの権利を国際的に促進・推進する こと

② 対話・協力・情報共有を奨励する場を提供することでデータ保護及 びプライバシー保護を改善すること

③ 承認を受けた参加国の共通の利益又は問題に対処するための主題に 関する共同決議及び宣言の草案及び採択

④ 承認を受けた参加国と共通の目的を共有する国際組織の会合の場と

2） Peter Hustinx, Closing Remarks: 35th International Conference of Data Protection and Privacy Commissioners, 26 September 2013. Available at https://

secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/

EDPS/Publications/Speeches/2013/13─09─26_Speech─Warsaw_EN.pdf (last visited 30 April 2014).

なること

⑤ 承認を受けた参加国間の特に執行行為に関する協力並びに情報交換 の推進及び促進

⑥ 個人データの保護の分野に関する国際標準化の策定の推進

 会議の運営については， 5 か国から構成される執行委員会によって決め られ，非公開セッションでアジェンダの採択を行うこととなっている。執 行委員会は 1 名の委員長と前回ホスト国と今回ホスト国が委員として入る こととなっている。第35回会議開催時の委員構成は以下のとおりである。

 オランダ・データ保護監督機関Jacob Konhstanmm（委員長）

 アメリカ合衆国・連邦取引委員会 Julie Brill

 オーストラリア・情報コミッショナー Timothy Pilgrim  ウルグアイ・データ保護規制コントロール局 José Clastornik  ポーランド・個人データ保護監督官 Wojciech Wiewiórowski

⑶ 公開セッション

 公開セッションは 2 日程度でデータ保護・プライバシーに関する最新の 論点について，コミッショナー，政府関係者，研究者，民間の専門家，市 民団体等がパネルに参加して，それぞれの国における取組を紹介するなど 活発な討論が行われる。総会セッションと並行セッションの二つがあり，

並行セッションでは参加者の関心に応じてそれぞれのセッションを聴取す ることができる。

 公開セッションの冒頭または結論には，ホスト国の大統領・首相または 大臣クラスがパネルに参加する。近時の例としては，たとえば，ポーラン ド総務・デジタル大臣（第35回），ウルグアイ大統領（第34回），メキシコ 大統領（第33回），イスラエル首相（第32回・OECD会議合同），スペイ ン皇太子と法務大臣（第31回）がそれぞれプライバシーに関する諸問題に ついて紹介された。また，基調講演では，アメリカ合衆国国土安全保障省 長官Janet Napolitanoによるテロ対策とプライバシーに関する問題（第31

回）から経済学者Kenneth Neil Cukierによるビッグデータとプライバシ ー保護（第33回）など幅広いテーマについて様々なバックグラウンドを持 った人が行ってきた。

2．コミッショナー国際会議の非公開セッション

⑴ 非公開セッションの役割

 非公開セッションではその時々の重要なプライバシーに関するテーマを 審議の上，決議あるいは宣言として採択され，公表される。決議や宣言に は法的拘束力はないものの，各国のプライバシー法制の執行を担うコミッ ショナーが直接文書採択に関わるため，その影響力は決して小さなもので はない。また，会議は 1 年に一度の開催であるが，参加資格を承認された 国の間では作業部会を通じて定期的に情報交換を行っている。

 非公開セッションの役割としては次のことが掲げられている。

① 会議のアジェンダ及び前回会議の議事録の採択

② 執行委員会及び執行委員長の選出

③ 適切な作業部会の設置

④ 会議開催場所及びホスト国の機関の選定

⑤ 提案された決議及び宣言の審議及び投票

⑥ 執行委員会及び作業部会による報告書の採択

⑦ 第32回会議で採択された規則に従い，会議出席申請の承認及び加盟 国並びにオブザーバーの審査

⑧ データ保護・プライバシー保護に関する活動の会議・国際組織への オブザーバー申請の決定

⑨ 会議の戦略的方向性の明確化

⑩ 必要に応じ，規則の改正

⑵ 非公開セッションの出席資格

 これまでコミッショナー国際会議はヨーロッパ諸国が中心となり開催

し，またヨーロッパのコミッショナーが中心となって決議採択をしてき た。第32回会議（2010年）に参加資格が緩和され，これまでオブザーバー であったアメリカ合衆国（連邦取引委員会）が正会員の国として承認さ れ，以降，第33回・第34回と南米開催が続き，国際会議のグローバルな展 開が行われてきた。非公開セッションの審議の内容は公にすることができ ないが，採択された決議や宣言等はそれぞれの母国語に翻訳することが奨 励されている。

 日本は国際会議への正式な承認を受けるに相当する公的機関が存在して こなかったため，オブザーバーとしての参加にとどまり，他の参加国との 情報交換ができず，また会議での発言権を有してこなかった。非公開セッ ションの参加資格に基づき，第29回会議から内閣府が，また第32回会議か ら消費者庁がそれぞれオブザーバーとして出席してきた。

 出席資格としては次の 5 つの要件を満たした上で，会議開催の 3 か月前 に必要な審査書類を提出し，執行委員会の審査と非公開セッションの決議 を経て，出席資格が承認されることとなる。第33回会議以降，オブザーバ ーとしての出席がひとたび認められると，オブザーバーについては再申請 の必要はない。

 会議出席資格承認の規則と手続については，以下のとおりである。

① 当該国又は国際機関の法的慣習に基づく適切な法的根拠によって設 置された公的機関であること

② 主要な規制権限の一つとして個人データ又はプライバシーの保護に 関する立法の執行の監督権を有していること

③ 所掌事務を定める立法が，データ保護及びプライバシーに関する主 要な国際的枠組みに準拠していること

④ 任務を遂行するための適切な範囲の法的権限を有していること

⑤ 適切な自律性及び独立性を備えていること

 オブザーバーは①〜⑤のいずれか一つの要件を満たし，申請の審査が認 められた場合に非公開セッションに出席が認められる。

 （執行委員会「規則及び手続（ 5 ．資格承認規則及び手続）」：「資格に関

する委員会の基準及び規則並びに認定の原則」（第23回データ保護コミッ ショナー国際会議（2001年 9 月25日）採択（第32回データ保護プライバシ ー・コミッショナー国際会議（2010年10月29日）最終改定））

 日本は個人情報保護に関する基本方針に基づき個人情報保護法を所管し ている消費者庁がオブザーバーとしての参加申請し，第33回国際会議で承 認されている。消費者庁を含め政府の一機関は自律性と独立性の要件を満 たしていないことから，正式な出席資格の承認を受けることができない。

 なお，日本では社会保障・税番号制度に伴う，独立監視機関としての特 定個人情報保護委員会が設置されたが，下記の出席資格の要件である「適 切な範囲の法的権限を有していること」を満たしているかどうか検討が必 要となる。ここでいう「適切な範囲」については，①社会保障と税という 特定分野に限定されないデータ保護プライバシーの全般的な範囲を指して いること，②過去10年の会議では番号制度に直接かかわる決議・宣言がな いこと，③番号制度に関して従前の例に見られる具体的な執行協力の可能 性が極めて限定されていることなどから，仮に特定個人情報保護委員会が 資格審査で承認されない場合対外的にはデータ保護の独立監視機関とみな されなくなるため慎重な検討が必要となる^3）。

3） 特定個人情報保護委員会の職員が，同委員会独自の職員採用ではなく，通常 の採用による国家公務員であることは，EUデータ保護指令及びEUデータ保 護規則提案に示された「独立性」の要件を満たしていないことにも注意が必要 であるが，どの程度厳格にこの「独立性」の要件をとらえるかは国によって異 なりうる。See CJEU, European Commission v. Austria, C─614/10, 16 October 2012.

過去のコミッショナー会議の概要（2000年以前は開催国のみ）

開催国 会議テーマ 主な決議等

第35回 2013年 9/23─26

ポーランド ワルシャワ

データが氾濫する世 界における羅針盤

社会の「アプリフィケイション」に関 するワルシャワ宣言

プロファイリングに関する決議 会議の戦略的方針に関する決議 国際執行協力に関する決議

国際法におけるデータ保護及びプライ バシー保護の定着に関する決議 公開原則に関する決議 デジタル教育に関する決議 ウェブ追跡に関する決議 第34回

2012年 10/23─26

ウルグアイ プンタデルエス タ

プライバシーと技術 のバランス

プロファイリングに関するウルグアイ 宣言

クラウドコンピューティングに関する 決議

プライバシーの未来に関する決議 第33回

2011年 11/1─3

メキシコ メキシコシティ

グローバル時代のプ ライバシー

データ保護と自然災害に関する決議 IPv6の識別子の利用に関する決議 国際レベルにおけるプライバシーの執 行調整に関する決議

第32回 2010年 10/27─29

イスラエル エルサレム

プライバシー：新世 代

会議運営に関する決議

拘束力ある国際文書に向けた政府間会 議の組織設置のための決議

会議運営セットアップの改善に関する 決議

プライバシー・バイ・デザインに関す る決議

第31回 2009年 11/3─6

スペイン マドリード

プライバシー・個人 情報保護の国際標準

マドリッド宣言

個人データ及びプライバシー保護に関 する国際標準化に関する決議 事例報告に関する決議

ロンドンアクションプランとICANN インターネット・ガバナンス・フォー ラムにオブザーバー出席を検討するた

めの作業部会に関する決議

ウェブサイト作業部会提案に関する決 議

第30回 2008年 10/15─17

フランス・ドイ ツ

ストラスブール

国境なき世界におけ るプライバシー保護

児童オンライン・プライバシーに関す る決議

国際プライバシー・データ保護の日又 は週間の設定検討に関する決議 プライバシー及び個人データ保護に関 する国際基準の設立に関する共同決議 ソーシャル・ネットワーク・サービス におけるプライバシー保護に関する決 議

国際組織の会合における代表に係る検 討部会の設置に関する決議

ウェブサイトの作業部会に関する決議 第29回

2007年 9/25─28

カナダ モントリオール

プライバシーの地平

：未開拓の領域

乗客データ保護の国際基準の緊急の必 要性に関する決議

国際標準化策定に関する決議 国際協力に関する決議

会議運営協定の作業部会に関する決議 第28回

2006年 11/2─3

イギリス ロンドン

監視社会 ロンドン・イニシアチブ 会議運営の取決めに関する決議 プライバシー保護とサーチ・エンジン に関する決議

第27回 2005年 9/14─16

スイス モントルー

データ保護及びプラ イバシーの普遍的な 権利の承認に向けて

モントルー宣言

パスポート及びID カード等における バイオメトリクスの利用に関する決議 政治的コミュニケーションのための個 人情報の利用に関する決議

第26回 2004年 9/9─11

ポーランド ブロツワフ

プライバシーの権利

─尊厳への権利

プライバシー枠組みに関する国際標準 機構草案に関する決議

自動ソフトウェアアップデータに関す る2003年修正決議

第25回 2003年

オーストラリア シドニー

自動ソフトウェアアップデータに関す る決議

9/10─12 乗客データの移転に関する決議 RFIDに関する決議

第24回 2002年 9/9─11

イギリス カーディフ

通信のトラフィックデータの保全に関 する決議

資格認定委員会の基準と規則と認定原 則

第23回 2001年 9/24─26

フランス パリ

資格認定委員会の基準と規則と認定原 則

第22回 2000年 9/28─30

イタリア ベニス

電子化された市民権 に向けて

会議の決議に関するガイドライン及び 手続

第21回（1999）香港，第20回（1998）スペイン・サンティアゴ・デ・コンポステーラ，第 19回（1997）ベルギー・ブリュッセル，第18回（1996）カナダ・オタワ，第17回（1995）

デンマーク・コペンハーゲン，第16回（1994）オランダ・ハーグ，第15回（1993）イギリ ス・マンチェスター，第14回（1992）オーストラリア・シドニー，第13回（1991）欧州評 議会・ストラスブール，第12回（1990）フランス・パリ，第11回（1989）ドイツ・ベルリ ン，第10回（1988）ノルウェー・オスロ，第 9 回（1987）カナダ・ケベック，第 8 回

（1986）ポルトガル・リスボン，第 7 回（1985）ルクセンブルク，第 6 回（1984）オース トリア・ウィーン，第 5 回（1983）スウェーデン，ストックホルム，第 4 回（1982）イギ リス・ロンドン，第 3 回（1981）フランス・パリ，第 2 回（1980）カナダ・オタワ，第 1 回（1979）ドイツ・ボン

3．国際基準と越境執行協力の具体例

⑴ 国際基準の創設に向けた動向

 コミッショナー国際会議は，特に第30回会議以降データ保護・プライバ シーに関する国際基準となるべき枠組みの創設に向けた審議を重ねてき た。2008年10月17日，第30回会議において，過去の会議における個人デー タ及びプライバシーを普遍的な権利を謳った決議を手掛かりに，「国境な き世界におけるプライバシー保護の緊急の必要性に関する決議及びプライ

バシー並びに個人データ保護に関する国際基準設定のための共同提案」^4）

が採択された。これにより，スペインとスイスが中心となり，コミッショ ナー国際会議において国際基準の草案のための審議を重ねてきた。

 そして，第31回会議では，2009年11月 5 日，スペインのコミッショナー が主導した「個人データ及びプライバシー保護に関する国際基準」^5）が採 択された。この国際基準は，個人データの処理に係るプライバシー保護に 関する国際基準草案のための共同提案として，コミッショナー国際会議の 非公開セッションで審議され，50か国以上ののコミッショナーからの支持 を得て採択された。同時にこの国際基準は，IT企業大手10社や欧州評議 会からも支持が表明された。

 この国際基準は，「効果的で国際的に統一的な個人データの処理に関す るプライバシー保護を確保する原則と権利」（第 1 条）を目的としており，

今後コミッショナーの間では一つの国際基準の指針となりうる。ここでは それぞれの原則や権利の内容には立ち入らないが，EUデータ保護指令，

OECDプライバシー・ガイドライン，欧州評議会条約第108号，APECプ ライバシー・フレームワークという既存の国際枠組みの平均値をとった内 容となっている。なお，これらの決議は法的に拘束力がなく，コミッショ ナーが政府機関を通じて国際文書化を働き掛ける内容となっている点に留 意する必要がある。また，第31回会議以降，国際基準に関する文書化に向

4） 30th International Conference of Data Protection and Privacy Commissioners, Resolution on the Urgent Need for Protecting Privacy in a Borderless World, and for Reaching a Joint Proposal for Setting International Standards on Privacy and Personal Data Protection, 17 October 2008.

5） 31st International Conference of Data Protection and Privacy Commissioners, International Standards of the Protection of Personal Data and Privacy, 5 November 2009. 本文書の紹介については，堀部政男「「国際プライバシー基 準」（International Standards of Privacy） という新たな基準論議─2009年マドリ ード会議の決議」日本データ通信172号（2010） 1 頁，藤原静雄「第 3 国への 個人データ移転と『個人データの処理にかかるプライバシー保護の国際標準草 案のための共同提案』」季報情報公開個人情報保護37号（2010） 3 頁，参照。

けた作業部会で継続的に審議がされているが大きな進展はないものの，

2012年以降EU，OECD，欧州評議会における国際文書の見直しにも参考 にされてきている。

⑵ 越境執行協力の具体例

 国境を越えるデータ保護とプライバシーに関する諸課題に対処するた め，コミッショナー国際会議は2011年開催の第33回会議以降本格的に執行 協力に関する取組を準備してきた。第33回会議では，「国際水準における プライバシー執行協力に関する決議」^6）が採択された。同決議では，①既 存の方法や体制を通じた執行例の共有，②地域レベルでの越境執行協力の ネットワークへの参画，③策定済みの越境執行協力のツールの利用とこれ らのツールの促進及び補充が掲げられている。そして，この決議に基づ き，「国際執行調整作業部会」がコミッショナー国際会議に設置された。

さらに，第35回会議で採択された「国際執行協力に関する決議」^7）には，

越境執行調査の更なる効果的調整を目的として，①国際執行調整作業部会 の他のネットワークとの協働の要求，②執行機関における具体的な協力機 会の奨励，③安全な情報プラットフォームの策定支援，といった実務的な 執行協力に向けた事項が決議に含まれた。

 このようなコミッショナー国際会議における動向を背景にして，欧州委 員会の支援による執行協力促進のプロジェクト（PHAEDRA）は，コミッ ショナー国際会議とも連携を図り，具体的な越境執行協力の取組例につい て情報共有を行ってきている^8）。PHAEDRAが報告書に掲載しているデー タ保護監督機関の執行協力に関する具体的事例として，次の11件が列挙さ

6） 33rd International Conference of Data Protection and Privacy Commissioners, Resolution on Privacy Enforcement Co─ordination at the International Level, 1 November 2011.

7） 35th International Conference of Data Protection and Privacy Commissioners, Resolution on International Enforcement Coordination, 23 September 2013.

8）  デ ー タ 保 護 監 督 機 関 の 間 の 実 践 的 か つ 有 用 な 協 力 改 善 プ ロ ジ ェ ク ト

れている^9）。

①グーグル・バズ

 2010年 4 月20日，カナダ，スペイン，イスラエル等のデータ保護機関に よるグーグルCEO宛の共同の書簡でプライバシー保護の規則の尊重を要 求した^10）。その後，アメリカ連邦取引委員会による調査で欺瞞的な方法 を用いていたことなどから20年間にわたる監査等が決定した^11）。

②グーグル・ストリート・ビュー

 オーストラリア，オーストリア，ベルギー，カナダ，チェコ，フラン ス，ドイツ，ギリシャ，香港，アイルランド，イタリア，オランダ，ニュ ージーランド，スペイン，スイス，イギリス，アメリカ等において自国の 法に基づきそれぞれ調査が行われた。特に技術的な調査については，カナ ダ，ドイツ，フランス，スペイン，オランダの間で非公式な連絡がとられ た。結果として，データ保護監督機関の間で異なる事実認定がされるな ど，国によって対応が割れてしまった。

③グーグル・プライバシー・ポリシー（フランスによる調査）

（PHAEDRA：Improving Practical and Helpful Cooperation between Data Protection Authorities）は第35回データ保護プライバシー・コミッショナー国 際会議において共同ワークショップを開催した。See PHAEDRA, A Compass Toward Best Elements for Cooperation between Data Protection Authorities, 28 February 2014 (Authors: Paul De Hert & Gertjan Boulet).

9） See PHAEDRA, Co─ordination and Co─operation between Data Protection Authorities, 1 April 2014 (Authors: David Barnard─Wills & David Wright).

10） Jennifer Stoddart et. al., Letter to Mr. Eric Schmidt, 19 April 2010. Available at https://www.priv.gc.ca/media/nr─c/2010/let_100420_e.pdf (last visited 30 April 2014).

11） Federal Trade Commission, Google, Inc., In the Matter of, 24 October, 2011.

Available at http://www.ftc.gov/enforcement/cases─proceedings/102─3136/

google─inc─matter (last visited 30 April 2014).

 グーグルのプライバシー・ポリシーの改訂について，ユーザーのデータ の結合を行ったり，オプトアウトの可能性がなかったなどの理由から，

EUデータ保護指令に基づき設置された第29条データ保護作業部会^12）を代 表してフランスデータ保護監督機関が調査を実施した^13）。この調査につ いては，フランスがアジア太平洋プライバシー機関やカナダ，アメリカと も連携を図るなど，グローバルな形で対応が行われた^14）。なお，制裁金 は€150.000（フランス）^15）や€900.000（スペイン）^16）など国によって異なっ た。

④ワッツアップ

 ワッツアップ（WhatsApp）のインスタントメッセージのアプリのユー ザーの連絡帳へのアクセス等についてオランダとカナダが覚書（2012年 1

12） EU加盟国のデータ保護機関，EU諸機関と欧州委員会から構成され，デー タ保護機関の加盟国間の統一的な法適用の促進等を目的としたEUのデータ保 護の専門家会合である。年 5 回程度の会合を開催し，データ保護分野の専門的 な意見や勧告を公表している。2014年 4 月現在議長はフランスIsabelle Falque

─Pierrotinである。

13） Article 29 Data Protection Working Party, Press Release: Googleʼs privacy policy: European data protection authorities are coordinating their enforcement actions, 27 February 2013. See also Article 29 Data Protection Working Party, Letter to Mr. Page, 16 October 2012. Available at http://www.cnil.fr/fileadmin/

documents/en/20121016─letter_google─article_29─FINAL.pdf (last visited 30 April 2014).

14） See e.g., APPA, Letter to Article 29 Data Protection Working Party, 12 October 2012. Available at http://www.cnil.fr/fileadmin/documents/en/APPA_

SUPPORT_LETTER─Article_29_Letter.pdf (last visited 30 April 2014).

15） Commission nationale de lʼinformatique et des libertés, Deliberation No. 2013─

420 of the Sanctions Committee of CNIL imposing a financial penalty against Google Inc., 3 Januar y 2014. Available at http://www.cnil.fr/fileadmin/

documents/en/D2013─420_Google_Inc_EN.pdf (last visited 30 April 2014).

16） Agencia Española de Protección de Datos, Press Release, The AEPD sanctions Google for serious violation of the rights of the citizens, 19 December 2013.

月16日発効）を結んだ上で共同調査を行った。共同調査をしたものの，そ れぞれの執行権限の違いなどから，オランダとカナダではそれぞれ別の調 査報告書が公表された^17）。報告書に示された勧告の内容（データ保全の 期間）についてもオランダとカナダでは異なっている。

⑤フェイスブック

 フェイスブックの国際本部がダブリンにあることからアイルランドによ るフェイスブックの監査を実施した^18）。監査に際し，ノルウェーの消費 者審議会からの苦情を受け付けている。また，カナダ，アメリカ，ドイ ツ・ハンブルクにおいてもそれぞれ調査が行われた。調査過程で管轄の問 題が明らかになったこと，また監査という調査形態がEUでは批判的であ ったことがそれぞれ指摘された。

⑥ソニー・プレイステーション・ネットワーク

 ソニー・プレイステーション・ネットワークのハッキングによるユーザ ー情報の漏えいについて，オーストラリア，香港，ニュージーランド，イ ギリス等においてそれぞれ調査が行われた。オーストラリアでは子会社が 個人情報を保有していなかったため，違反の認定ができなかったと結論付

Available at http://www.agpd.es/por talwebAGPD/revista_prensa/revista_

prensa/2013/notas_prensa/common/diciembre/131219_PR_AEPD_PRI_POL_

GOOGLE.pdf (last visited 30 April 2014).

17） See Of fice of the Privacy Commissioner of Canada, Repor t of Findings Investigation into the personal information handling practices of WhatsApp Inc., PIPEDA Report of Findings #2013─001, 15 January 2013, Available at https://

www.priv.gc.ca/cf─dc/2013/2013_001_0115_e.asp (last visited 30 April 2014);

Dutch Data Protection Authority, Investigation into the processing of personal data for the ʼwhatsappʼ mobile application by Whatsapp Inc., Z2011─00987, Report on the definitive findings, 15 January 2013.

18） See Data Protection Commissioner, Facebook Ireland Ltd. Report of Audit, 21 December 2011; Facebook Ireland Ltd. Report of Re─Audit, 21 September 2012.

けられたが^19），イギリスではハッキングが防止できていたという結論が 下され，£250,000の制裁金が科された^20）。ソニーの複雑な企業体系から管 轄や責任の所在を問う問題が明らかになった。

⑦SWIFTとアメリカのテロ対策金融追跡プログラム

 国際銀行間通信協会（SWIFT）がアメリカ財務省のテロ対策の監視プ ログラムに協力するため金融データの無断送信が明らかになった。通信セ ンターが置かれているベルギーが調査し，2006年の報告でベルギー法に違 反していることが指摘された。実質的にはベルギーの調査であったが，第 29条作業部会を通じたヨーロッパの機関の協力の例であり，同時にEUが アメリカとの交渉を行い，SWIFTデータの取扱いに関してEUとアメリ カの間で国際協定が締結された^21）。

⑧通信データ保全

 データ保全指令に基づく通信会社やインターネットプロバイダに対する データ保全の仕方について，第29条作業部会の調査によれば国内法の執行 の在り方にばらつきがあることが報告された。そこで，第29条作業部会を 通じて加盟国のデータ保護監督機関が立ち入り調査を含む執行協力の調査

19） Office of the Australian Information Commissioner, Sony PlayStation Network / Qriocity: Own motion investigation report, 29 September 2011. Available at http://

www.oaic.gov.au/privacy/applying─privacy─law/commissioner─initiated─

investigation─reports/sony─playstation─network─qriocity (last visited 30 April 2014).

20） Information Commissioner, Monetar y Penalty Notice, 14 Januar y 2013.

Available at http://ico.org.uk/news/latest_news/2013/~/media/documents/

librar y/Data_Protection/Notices/sony_monetar y_penalty_notice.ashx (last visited 30 April 2014).

21） International Agreements on the signing, on behalf of the Union, of the Agreement between the European Union and the United States of America on the processing and transfer of financial messaging data from the European Union to the United States for the purposes of the Terrorist Finance Tracking Program, 28 June 2010.

を行った。アイルランド最高裁判所とオーストリア憲法裁判所においても 審理され，欧州司法裁判所に付託された。データ保全指令は，2014年 4 月 8 日，私生活尊重と個人データ保護の基本権への干渉があることから，欧 州司法裁判所の判決により無効とされることとなった^22）。

⑨世界反ドーピング機関の規程

 世界反ドーピング機関は，反ドーピング規程として「プライバシーと個 人情報保護に関する国際基準」^23）を2009年に制定し，薬物テスト実施のた めの選手の居場所やセンシティブ・データを含む情報の提供が義務付けら れた。ベルギーの選手らが私生活尊重の権利の侵害であることを主張し，

第29条作業部会が調査を実施し，情報収集の最小限化の原則の履行に関す る 2 つの意見を公表した。反ドーピング機関がカナダに所在していること から，カナダとも連携を図り，反ドーピング機関との意見交換を行ってき た。また，スペインの裁判所では反ドーピング規程がスペインのデータ保 護法に違反しないとの判決が下された。

⑩GPENプライバシー・スウィープ

  OECDプライバシー保護法の執行に係る越境協力に関する勧告^24）に基

づき2010年に設置されたグローバル・プライバシー執行ネットワーク

（Global Privacy Enforcement Network）が，カナダの主導により2013年 5 月 6 日〜 12日に第 1 回「プライバシー・スウィープ（Privacy Sweep）」と いうプライバシーの広報啓発活動を行った^25）。第 1 回のテーマはプライ

22） CJEU, Digital Rights Ireland and Seitlinger and Others, Joined Cases C─293/12 and C─594/12, 8 April 2014.

23） The World Anti─Doping Code, International Standard for the Protection of Privacy and Personal Information, 11 May 2009.

24） OECD, Recommendation on Cross─Border Co─operation in the Enforcement of Privacy Laws, 12 June 2007.

25） GPEN, Action Plan for the Global Privacy Enforcement Network, adopted 15

バシー実務の透明性であり，プライバシー・ポリシーの公表等についても 併せて調査が行われた。参加国・地域は，オーストラリア，カナダ，エス トニア，フィンランド，フランス，ドイツ，香港，アイルランド，マカ オ，マセドニア，ノルウェー，イギリス，アメリカである。

⑪グーグル・グラス

 2013年 6 月，カナダが主導して第29条作業部会，オーストラリア，ニュ ージーランド，メキシコ，イスラエル，スイス，カナダ・アルバータ州，

ケベック州，ブリティッシュ・コロンビア州の連名によるグーグルCOE 宛て書簡でグーグル・グラスがもたらすプライバシーに関する問題につい て質問を行った^26）。アメリカ連邦議会においても同様の質問項目を含む 書簡を宛てている。プライバシーに関する潜在的な問題についてコミッシ ョナーで共同して新たな技術利用が始まる早い段階で調査した例である。

 上記の例のように，各コミッショナーはコミッショナー国際会議の非公 開セッションの場などを通じて，情報共有やベストプラクティスの交換を して，プライバシー保護の執行協力を推進してきている。他方で，日本で は，個人情報保護に関する基本方針において「個人情報の保護に関する国 際的な取組への対応」に「消費者庁が，各省庁と協力し，必要な対応・措 置を検討する」ことが明記されているが，コミッショナーの不在や執行権 限の不足からこれまでのところ具体的な越境執行協力の例は見当たらな い。これまでのところ，同一の問題が発生しているにもかかわらず，日本 の関係省庁が独自の判断により，諸外国とは異なる結論に至る事例（グー グル・プライバシー・ポリシー改正について日本のみ違法性の認定が公式

June 2012; Par t E amended 22 Januar y 2013. Available at https://www.

privacyenforcement.net/public/activities (last visited 30 April 2014).

26） Office of the Privacy Commissioner of Canada, News release: “Data protection authorities urge Google to address Google Glass concerns”, 18 June 2013. http://

www.priv.gc.ca/media/nr─c/2013/nr─c_130618_e.asp (last visited 30 April 2014).

に行われていない事例）が見られる。なお，国際的な枠組みへの参画状況 については，図を参照（PHAEDRA報告書に基づき作成）。

 なお，コミッショナー国際会議以外に，欧州連合第29条データ保護作業 部会や通信分野データ保護国際作業部会等のヨーロッパでは様々な情報共 有と執行協力の場がある。特に2012年に公表されたEUデータ保護規則提 案においては，EU加盟国におけるデータ保護の執行にバラつきがあるこ とから，one─stop─shopと呼ばれる体制，すなわち，消費者やユーザーは どこの国でも苦情申立をする権利が保障される体制が構築されつつあ る^27）。ヨーロッパ以外では，前記の事例⑩のOECDにおける情報共有ネ ットワークとしてのGPENがある^28）。また，地域的な連携として，APEC における越境プライバシー執行取決め，アジア太平洋プライバシー監督機 関による技術作業部会と通信作業部会，イベロアメリカデータ保護ネット ワーク，フランス語圏データ保護協会等においても執行協力に向けた取り 組みが見られる^29）。

27） EUデータ保護規則提案では，管理者又は処理者が二か国以上に拠点を持つ 場合，主要拠点のある国の監督機関が全加盟国の管轄権を有することが規定さ れ（第51条 2 項），また消費者・ユーザー及びその他の団体はいかなる加盟国 の監督機関に対し苦情申立する権利及び司法救済を求める権利を有することが あきらかにされている（第73条・第74条）。もっとも，2014年 4 月現在，理事 会においては，加盟国からone─stop─shopの体制そのものの現実的運用につい て批判的な意見が提出されている。

28） OECDプライバシー・ガイドラインは2013年に改正され，加盟国間の協力 体制についても新たに条項が盛り込まれた。新保史生「OECDプライバシ ー・ガイドライン（2013年改正）の解説」NBL1017号（2014）23頁以下，参 照。もっとも，今回のガイドライン改正を受け，国内法の見直しをするのは34 か国の中で日本のみにとどまる（OECD, Roundtable: Protecting Privacy in a Data─driven Economy: Taking Stock of Current Thinking, 21 March 2014における 議論による）。

29） 諸外国における国際的な協調体制に向けた法的枠組みの改正状況について

出所：PHAEDRA報告書をもとに筆者作成 図：国際的枠組への参画状況（2014年 4 月現在）

日本

（15省庁）

イスラエル ブルガリア

キプロス ラトビア マルタ クロアチア リヒテンシュタ

イン 日本

スイス ノルウェー

マカオ アメリカ メキシコ

アンドラ ボスニチアヘルチェゴビナ

モルドバ、ウルグアイ アイスランド

ペルー 香港

ロシア

コロンビア オーストラリア

カナダ ニュージーランド

韓国

オーストリア デンマーク ポルトガル ギリシャ ハンガリー スロバキア スウェーデン

ジャージー島 マン島

トルコ チリ

フランス スロベニア、ベルギー ポーランド、チェコ、オランダ

ドイツ、イタリア、スペイン イギリス、アイルランド ルクセンブルク、エストニア

モナコ モーリシャス

第29条作業部会 APPA GPEN

CoE条約第108号 OECD

CBPR APEC CPEA APEC

データ保護プライバシー・コミッショナー国際会議

８（21）

10

37

47

３

29 34

アルゼンチン、ブルキナファソ、コスタリカ、

モロッコ、チェジニア、コソボ

4．第35回コミッショナー国際会議

 最新のコミッショナー国際会議の動向として，第35回コミッショナー国 際会議の概要について，以下紹介する^30）。

⑴ 開 催 概 要

日 程：2013年 9 月23日〜 26日

場 所：ポーランド・ワルシャワ（ヒルトンホテル）

は，宮下紘「プライバシー・イヤー 2012」Nextcom12号（2012）32頁以下，

参照。

30）  第35回 会 議 の ウ ェ ブ サ イ ト は，https://privacyconference2013.org/ (last visited 30 April 2014).

出席者：500名程度（非公開セッションには66か国からの代表が出席）

⑵ 採択された宣言及び決議（概要）

① 社会の「アプリフィケイション」に関するワルシャワ宣言^31）

スマートフォンやタブレットの急速な普及に伴い， 1 日あたり 3 万種 類のアプリが開発され，現在では600万種類も利用可能なアプリがあ る。これらのアプリの利便性の反面，ユーザーの気づかぬところでの 継続的なデジタルの監視が行われてきた。

 EUデータ保護第29条作業部会による「スマートデバイスのアプリ に関する意見」，アメリカ連邦取引委員会「モバイルプライバシーの開 示に関する報告書」，通信分野のデータ保護国際作業部会の「スポット覚 書」においてアプリとプライバシーに関するガイダンスを示してきた。

 ユーザーは個人データに責任を有しており，どんな情報を何の目的 で誰と共有されるかを決定すべきである。アプリはユーザーの不意打 ちが最小限化されるよう策定されるべきであり，隠された機能や検証 不可能なデータ収集は許されない。

 アプリの開発者はプライバシーとデータ保護の規則の遵守を確保す る必要があり，アプリの開発初期段階からプライバシーに留意しなけ ればならない。また，アプリに必要な情報が何であるかを決定し，ユ ーザーの同意なしに個人データを追加的に収集してはならない。

 オペレーティングシステムの提供者は，自らもプラットフォームの 責任を負うべきであり，プライバシーの認証制度へのコミットメント も奨励される。

 プライバシー・コミッショナーはアプリの問題に関して産業界とユ ーザーへの意識向上をすべきである。

② 参加資格承認に関する決議^32）

31） 35th International Conference of Data Protection and Privacy Commissioners, Warsaw Declaration on the “Applification” of Society, 23 September 2013.

32） 35th International Conference of Data Protection and Privacy Commissioners,

会議への参加資格を承認されたのは次の国・地域である。

─モーリシャス（データ保護監督機関）

─コソボ（個人データ保護監督機関）

─ブエノスアイレス・アルゼンチン（市オンブズマン局）

会議へのオブザーバー参加を認められたのは次の国・地域である。

─韓国（国家情報セキュリティ局）

─ロシア（通信・情報技術・マスコミュニケーション連邦監督機関）

─カナダ（国際産業セキュリティ局）

─シンガポール（個人データ保護委員会）

─ブレーメン・ドイツ（データ保護情報公開コミッショナー）

─エクアドル（国家データ登録局）

─エクアドル（通信監督機関）

③ プロファイリングに関する決議^33）

 プロファイリングの必要性と具体的運用の決定の事前確認，

 プライバシー・バイ・デザインに整合するよう目的範囲内の収集に とどめること，

 分析結果の正確性のためプロファイリング方法の継続的検証の実 施，

 プロファイリングの周知と個人のコントロールの最大限の確保，

 個人にアクセスや訂正の権利があることを通知すること，

 適切な監督を受けることを内容として，コミッショナーは政府に対 し公開性を確保できるよう要請すべきである。

④ 会議の戦略的方針に関する決議^34）

2014─15年にかけたアクションプランと今後の会議の戦略的方針のた

Resolution on Accreditation, 23 September 2013.

33） 35th International Conference of Data Protection and Privacy Commissioners, Resolution on Profiling, 23 September 2013.

34） 35th International Conference of Data Protection and Privacy Commissioners, Resolution on Conferenceʼs Strategic Direction, 23 September 2013.

めの作業部会の設置を決定する。

⑤ 国際執行協力に関する決議^35）

国際執行協力作業部会が越境問題について他のネットワークと協働す ることを認め，プライバシー執行機関の間で具体的な越境問題につい て協力を図るよう奨励し，機密情報を共有するための安全な場を策定 することを支持する。

⑥ 国際法におけるデータ保護及びプライバシー保護の定着に関する決議^36）

市民的及び政治的権利に関する国際規約第17条^37）にデータ保護及びプ ライバシー保護のグローバルに適用可能な基準をつくるため追加議定 書の採択を政府に要請する。

なお，本決議についてはアメリカ連邦取引委員会が棄権をしており，

アメリカがプライバシー保護の国際標準化に消極的な姿勢を見せてい ると考えることができる。

⑦ 個人データの公開原則に関する決議^38）

 個人データの収集する組織は収集目的，責任者の連絡先，データへ のアクセス・訂正方法について説明すること，

 データ収集のポリシーと慣行を明確かつ平易でアクセスしやすい方 法で本人に提供すること，

 組織，データ保護監督機関，政府はプライバシーの認証の有用性に ついて検討すること，

 国家安全保障，公共の安全，公共政策上の配慮と両立できるよう，

35） 35th International Conference of Data Protection and Privacy Commissioners, Resolution on International Enforcement Coordination, 23 September 2013.

36） 35^th International Conference of Data Protection and Privacy Commissioners, Resolution on Anchoring Data Protection and the Protection of Privacy in International Law, 23 September 2013.

37） 「何人も，その私生活，家族，住居若しくは通信に対して恣意的に若しくは 不法に干渉され又は名誉及び信用を不法に攻撃されない。」

38） 35th International Conference of Data Protection and Privacy Commissioners, Resolution on Openness of Personal Data Practices, 23 September 2013.

政府は個人データの収集の慣行について更なる公開性を高めること なお，本決議についてはアメリカ連邦取引委員会が公的部門に関する 部分に棄権をしている。

⑧ デジタル教育に関する決議^39）

 デジタルリテラシーの促進とすべての世代に対するデジタル環境に おけるスキルや権利と義務の理解に関する啓発の実施，

 次の基本原則と運用目標に基づくデジタル教育に関する共通プログ ラムの採用，

共通プログラムの基本原則─未成年への特別保護，生涯教育，デジ タル技術のチャンスとリスクのバランス，良き慣行の策定と他のユ ーザーの尊重，デジタル技術に関する批判的思考，

共通プログラムの運用目標─プライバシー教育の促進，研修人材の ための研修，デジタル技術の専門家育成，新技術の利用に関する勧 告と良き慣行の策定。

⑨ ウェブ追跡に関する決議^40）

ウェブ上の追跡からユーザーの様々な情報が収集され，特定のデータ 主体のオンライン活動のプロファイリングが行われていることから，

すべての利害関係者が次のことを実施することを要請する。

─利用目的の制限の原則を監視すること

─追跡の要素へのコントロールを付与すること

─セキュリティ，不正検出，ネットワーク管理以外の目的で見えない 追跡の要素の利用を控えること

─セキュリティ，不正検出，ネットワーク管理以外の目的で情報の要 素を引き出すことを控えること

─すべてのウェブ追跡に関して十分な透明性を確保すること

39） 35th International Conference of Data Protection and Privacy Commissioners, Resolution on Digital Education for All, 23 September 2013.

40） 35th International Conference of Data Protection and Privacy Commissioners, Resolution on Web Tracking and Privacy, 23 September 2013.

─ユーザーに適切な自らの個人データの収集と利用へのコントロール できるツールを提供すること

─児童への追跡の禁止

─プライバシー・バイ・デザインの原則の尊重とプライバシー影響評 価の実施

─匿名化や仮名化によるプライバシーへの影響の低減

─追跡禁止等の規格向上

なお，スロベニア，フランスはこの決議の採択を棄権している。

⑶ プログラム 公開セッション 1 日目

開会

 Wojciech Wiewiórowski（ポーランド・コミッショナー）

 Michał Boni（ポーランド・行政・デジタル大臣）

総会 1 「文化的価値としてのプライバシー」

 Hiroshi Miyashita（日本・中央大学）

 Lee Bygrave（ノルウェー・オスロ大学）

 Michał Boni（ポーランド・行政・デジタル大臣）

非公開セッションからの報告

 Jacob Kohnstamm（国際会議執行委員会）

総会 2 「世界中の改革：地域ごとの相互運用性」

 Marie Shroff（ニュージーランド・コミッショナー）

 Jan Philip Albrecht（欧州議会）

 Sophie Kwasny（欧州評議会）

 Michael Donohue（OECD）

 Daniele Chatelois（APEC）

データ保護の伝統の相互 認証

ビッグデータと開発目的 のデータ分析

デジタル世界におけるプ ライバシー教育

データ保護とグローバル 貿易法

グローバル・コンプライ アンスのためのツール策 定

民間データへの公的アク セス

公開セッション 2 日目 コンプライアンスと執行 の関連性

プライバシーとサイバー セキュリティ

個人へのプライバシー・

リスク評価 データ保護の刑事・行政

の執行

経緯と目的内データ利用 プライバシー

総会 3 「プライバシーと技術」

 Wojciech Cellary（ポーランド・ポーランド経済大学）

 Julie Brill（アメリカ合衆国・連邦取引委員会コミッショナー）

 Billy Hawkes（アイルランド・コミッショナー）

 David Hoffman（Intel）

 Christina Peters（IBM）

総会 4 「アクター：視点，役割，利害」

 Reijo Aarnio（フィンランド・コミッショナー）

 Jacob Kohnstamm（第29条作業部会）

 Małgorzata Steiner（ポーランド・行政・デジタル省）

 Omer Tene（International Association of Privacy Professionals）

 Said Ihrai（モロッコ・コミッショナー）

閉会

 Francoise Le Bail（欧州委員会）

 Jennifer Stoddart（カナダ・コミッショナー）

 Peter Hustinx（欧州データ保護監督機関）

⑷ サイドイベント

 コミッショナー国際会議とともに例年様々な組織・団体によるプライバ シー会議が開催される。第35回会議の公開セッション前日2013年 9 月24日 には以下の会議が開催された。

パブリック・ボイス会議  午前 9 時〜午後 6 時

 「我々のデータ，我々の生（Our Data, Our Lives」

NSA監視問題，EU─US貿易協定，NGO の役割等について討論

PHAEDRAワークショップ

 午後 2 時〜 5 時

「データ保護監督機関同士の協力・協調 の向上」

データ保護監督機関担当者による意見交 換