今回は、EUデータ保護規則の執行と罰則の強化について考えてみます。

ＥＵデータ保護規則の動向が日本で注目された理由の一つに、巨額の過料があります。「罰金」という用語を使用している文献もありますが、「罰金」は刑事罰で使用される用語であり、EUデータ保護規則で課せられのは行政罰であるため、「過料」という用語の方が日本法の用語の使用に合致していると思われます。　また、日本法の英語訳では、過料は”administrative fine”または”administrative fines”と訳されています。そこで、このサイトでは「過料」という用語を用いることにします。なお、文献によっては、課徴金、制裁金という用語を使用しているものもあります。

さて、２０１２年に欧州委員会によって規則案が提案された段階では、違反の内容によって、２５０，０００ユーロまたは企業の場合は全世界の売上高の０．５％（いずれか高い方）を上限とする過料、５００，０００ユーロまたは全世界の売上高の１％（いずれか高い方）を上限とする過料が課される内容となっていました。指令と異なり、きわめて大きな制裁が提案され、データ保護の遵守が以前にもまして企業の経営に大きく影響を及ぼすこととなりました。日本でも数多くの報道がなされたとことです。
それでは、発効したＥＵデータ保護規則の最終的な内容はどうなっているでしょうか。結論を先取りすると、過料の金額の上限が、１０００万ユーロ（企業の場合は全世界の前年の総売上高の２％）または２０００万ユーロ（企業の場合は全世界の前年の総売上高の４％）まで引き上げられています。

過料を課す権限は、監督機関の権限の一つです。
ＥＵデータ保護指令では、指令の執行を監督する機関（監督機関といいます。SA：Supervisory Authority）の権限として、調査権限、処理に介入する権限、違反について法的手続を開始する権限などを定めていました（第２８条３項）。もっとも、その詳細は構成国の法律にゆだねられていました。その結果、監督機関である国内データ保護機関（DPA：Data Protection Authority）の権限や執行能力は、構成国によってまちまちになっていたのです。
EUデータ保護規則では、監督機関の権限を強化し執行能力を増強するなど、大きな変更がありました。これに伴い課すことのできる過料も巨額なものとなったのです。このことは、規則の前文１４９項に明示されています。
指令と異なり、規則は国内法の制定を必要としません。また、統一的な執行を目指して統一的な仕組みを講じているため、各構成国の監督機関の権限はこれまでと異なり均一化されることになりました。

監督機関の権限

主たる監督機関

過料の額に目を取られがちですが、監督機関の権限にも目を配っておきたいところです。過料の制裁はあくまで監督機関の権限の一つにすぎません。

監督機関については、規則の第６章に規定があります。第５１条から第５９条までです。
日本企業が監督を受けるのは、「主要な事業所」（main establishment）が存在する構成国の監督機関となります。ここでは、主要な事業所と訳しましたが、”establishment”を「拠点」と訳す例もあるようです。
企業がＥＵ内で国境を越えるデータ処理をする場合、多数の構成国の監督機関が監督権限を持つように思われますが、規則は、主要な事業所が存在する構成国の監督機関を、「主たる監督機関」（lead supervisory authority）と位置づけ、原則として「主たる監督機関」が監督をすることとしました。
詳細は、”EUデータ保護規則（GDPR）ー監督機関とデータ保護評議会”を参照してください。

監督機関の権限—５８条

監督機関の権限は、規則第５８条に詳細に定められています。

第５８条　権限

１　各監督機関は以下の一切の調査権限を有するものとする。

（ａ）管理者および処理者ならびに該当する場合にはその代表者に対し、職務の遂行に必要とする一切の情報を提供するよう命じること

（ｂ）データ保護監査の形式で調査を行うこと

（ｃ）第４２条（７）に基づき発行された認証について審査すること

（ｄ）管理者および処理者に対し、申し立てられた本規則の侵害行為を通知すること

（ｅ）管理者および処理者から、職務の遂行に必要なすべての個人データおよび情報へのアクセスを得ること

（ｆ）ＥＵおよび構成国の訴訟法に従い、データ処理設備および手段を含む管理者および処理者の施設へのアクセスを得ること

２　各監督機関は、以下の一切の是正権限を有する。

（ａ）管理者または処理者に対し、予定する処理業務が本規則の条項に違反するおそれがあることを警告すること

（ｂ）処理業務が本規則の条項に違反している場合に、管理者または処理者に対し、けん責を発すること

（ｃ）管理者又は処理者に対し、本規則に基づくデータ主体による権利行使の請求に応じるよう命じること

（ｄ）管理者または処理者に対し、適当な場合に、一定の方法で一定の期間内に処理業務について本規則の条項を遵守するよう命じること

（ｅ）管理者に対し、データ主体へ個人データの侵害を連絡するよう命じること

（ｆ）処理の禁止を含む暫定的または最終的な制限を課すこと

（ｇ）第１６条、第１７条および第１８条に基づく個人データの訂正もしくは削除または処理の制限ならびに第１７条（２）および第１９条に基づき開示された個人データの受領者に対する当該行為の通知を命じること

（ｈ）認証を撤回すること、もしくは第４２条及び第４３条に基づき発行された認証を認証機関に撤回するよう命じること、または認証の要件を満たしていないもしくはもはや満たしていない場合には、認証を発行しないよう認証機関に命じること

（ｉ）個別事案の状況に応じて、本項にいう措置に加えまたはその措置に代えて、第８３条に基づく過料を課すこと

（ｊ）第三国の受領者又は国際機関へのデータ流通の停止を命じること

３　各監督機関は、以下の許可および助言をする一切の権限を有する。

（ａ）第３６条にいう事前協議手続に従い管理者に助言すること

（ｂ）個人データの保護に関連する事項について公衆のみならず議会、構成国政府または構成国法に従いその他の機関および団体に対し、みずから進んで、または要請により意見を述べること

（ｃ）構成国法が事前の許可を要求している場合には、第３６条（５）にいう処理を許可する

（ｄ）第４０条（５）に基づき、意見を述べ、行動規範案を承認すること

（ｅ）第４３条に基づき認証機関を認定すること

（ｆ）第４２条（５）に従って認証を発行し、認証の基準を承認すること

（ｇ）第２８条（８）および第４６条（２）（ｄ）にいう標準データ保護条項を採択すること

（ｈ）第４６条（３）（ａ）にいう契約条項を許可すること

（ｉ）第４６条（３）（ｂ）にいう行政措置を許可すること

（ｊ）第４７条に基づき拘束的企業準則を採択すること

監督機関がきわめて強大な権限を持っていることがわかりますね。この権限の一つに過料を課す権限があるのです。規則第５８条第２項（i）です。第８３条に従って課せられるので、過料については第８３条の規定も確認しておく必要があります。

巨額の過料？――どのような場合に課されるのか

過料を課す際の考慮要素

過料は、各個別事案で効果的、比例的及び制止的に課さなければならないとされ（第８３条第１項）、過料を課すか否か、その額をいくらにするかは、次の要素を考慮して監督機関が判断します（第８３条第２項）。

(a)　侵害を受けたデータ主体の数及び彼らが受けた損害の程度のみならず当該処理の性質、範囲又は目的を考慮に入れた違反の性質、重大性及び期間

(b)　違反に係る故意又は過失の性質

(c)　データ主体が受けた損害を低減するために、管理者又は処理者が採った行為

(d)　第２５条および第３２条に基づき管理者又は処理者が採った技術的及び組織的措置を考慮に入れた管理者又は処理者の責任の程度

(e)　管理者又は処理者による過去の関連する違反

(f)　違反を救済し違反により生じうる重大な支障を低減するためにした監督機関との協力の程度

(g)　違反により影響を受けた個人データの種類

(h)　監督機関が違反を知った方法、特に管理者又は処理者が違反を通知したか否か、通知した場合には通知の程度

(i)　第５８条（２）にいう措置が、従前同一の事項について当該管理者または処理者に対し命令されていた場合には、それらの措置の遵守

(j)　第４０条に基づき承認された行動規範又は第４２条に基づき承認された認証の仕組みの厳守

(k)　違反により、直接であるか間接であるかを問わず、取得した経済的利益、または回避した損失といった事案の状況に係るその他の悪化または低減要因

過料の額

過料の額は、２つに分かれています。企業の場合は、前年の総売上高が関係します。

▼１０，０００，０００ユーロを上限とする過料。企業の場合は、これと全世界の前年の総売上高の２％を比較して、いずれか高い方を上限とする過料。

▼２０，０００，０００ユーロを上限とする過料。企業の場合は、これと全世界の前年の総売上高の４％を比較して、いずれか高い方を上限とする過料。

過料が課される場合として、日本の法律と同様にさまざまな条文があげられています。もっとも、過料の最初のところで書いたとおり、過料を課すか否か、過料の額をいくらにするかは、様々な要素を勘案することになっていますので、規則の違反があったからといって、即座に過料が課されるわけではありません。

構成国が独自に過料を設けることも認められています（第８４条）。主要な事業所を置く構成国の法律を確認しておく必要があるでしょう。

データ主体の権利救済の強化

最後に、規則の執行の強化の一つとして、データ主体の権利救済が強化された点も留意しておきましょう。
指令では、データ主体の権利救済は、各構成国が法律で定めることになっていました。この結果、データ主体の権利救済は、構成国によって異なっていたのです。
上で見たように、規則は監督機関を通して規則の執行を強化する形を取っています。もしも、監督機関が業務を怠った場合には、データ主体の権利救済が実現できなくなります。規則は構成国間で分かれていた権利救済を統一し、強化するためにいくつかの規定を置いています。

監督機関に対する不服申立てと司法救済

まず、データ主体は、自身に関する個人データの処理が規則に違反すると考える場合、その居住地、勤務地または権利侵害の生じた地がある構成国の監督機関に不服申立てをする権利を有しています（第７７条第１項）。不服申立てを受けた監督機関は、調査の進捗状況と結果をデータ主体に連絡しなければなりません（第７７条第２項）。
監督機関が出した決定に不満があったり、不服申立てを取り扱わなかったり、データ主体に対し調査の進捗状況や結果を連絡しなかった場合に、データ主体は、当該監督機関が所在する構成国の裁判所に司法救済を求める権利があります（第７８条第１項、第２項、第３項）。
これらの不服申立てや訴訟提起については、特定の非営利団体が代理することができます（第８０条）。

管理者または処理者に対する司法救済

監督機関に対する不服申立てとは別に、データ主体は、個人データの処理に関する規則違反について、直接管理者または処理者に対して訴訟を提起し、司法救済を求めることができます（第７９条第１項）。この訴訟提起は、管理者または処理者が事業所を有する構成国の裁判所またはデータ主体が居住する構成国の裁判所に対して行うことになります（第７９条第２項）。
この訴訟提起については、特定の非営利団体が代理することができます（第８０条）。

管理者または処理者に対する損害賠償請求

規則に違反する個人データの処理の結果、データ主体が損害を被った場合には補償を求めることもできます（第８２条）。この訴訟提起は、管理者または処理者が事業所を有する構成国またはデータ主体が居住する構成国の法律に基づき権限ある裁判所に対して行うことになります（第８２条第６項）。

まとめ

上述のとおり、規則の執行は指令と異なり各段に強化されています。
規則によるＥＵ内での統一化、監督機関の権限の強化、とりわけ過料の制裁、監督機関に対する不服申立て、監督機関および管理者または処理者に対する司法救済といった各種の制度がそれらを支えています。
これまで以上に、個人データの処理に関して理解を深めることが必要となります。

２０１６年１０月２６日更新：冒頭の”administrative fines”の日本語訳についての注記を追加しました。
２０１６年１１月９日更新：監督機関については別の記事で詳しく説明をしましたので、細かい記載を削除しました。

この 作品 は クリエイティブ・コモンズ 表示 – 非営利 – 改変禁止 4.0 国際 ライセンスの下に提供されています。