オランダでEU一般データ保護規則の実施法令案が出されパブコメが終了

オランダの個人データ保護法制の最近の動きについてまとめてみました。

オランダは人口約2000万人の国で、言語の問題もあって、その法律が紹介される機会はあまりないようです。
しかし、多くの日本企業が子会社をオランダに置いていることを思えば、各種の法律の検討が必要となってきます。その中で、本サイトの関心事項である情報法関連で、オランダの個人データ保護法制をみてみました。

EU一般データ保護規則の施行まで-オランダデータ保護法の適用

オランダはEU加盟国ですので、個人データ保護については、現在EU指令に基づき、個人データ保護法が制定され適用されています。オランダの個人データ保護法は、Wet bescherming persoonsgegevensといい、英語ではDutch Data Protection Act (DDPA)として紹介されています。

一般にEU指令と呼んでいますが、正式な名称は、Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such dataであり、「個人データの処理に係る個人の保護および当該データの自由な移動に関する1995年10月24日の欧州議会および欧州理事会のEC規則95/46」と訳されています。

2018年5月25日のEU一般データ保護規則の施行とともに、EU指令は廃止されますが、それまでは加盟国はEU指令に沿って制定した個々の国内法で個人データ保護を行うことになっています。

新しく施行されるEU一般データ保護規則とは、「個人データの処理に係る個人の保護および当該データの自由な移動並びにEC指令95/46の廃止に関する2016年4月27日の欧州議会および欧州理事会のEU規則2016/679」を指します。英語名は、REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)です。

EU一般データ保護規則の詳細については、記事一覧にまとめあります。

オランダの個人データ保護法の改正

2016年1月1日に改正法が施行されました(オランダ語による条文はこちら)。この改正法を含んだ法律の英語翻訳は、Hendriks & Jamesという法律翻訳の会社が行い、オランダの大きな法律事務所であるAKDが要約等を加えたものがあります。”THE PERSONAL DATA PROTECTION ACT

改正法のポイントは2点です。
一つは、データ侵害の際の通知です。
もう一つは、罰則の強化です。

この記事では、後者の罰則の強化について取り上げます。

改正法では、オランダデータ保護機関(Autoriteit Persoonsgegevens)によって、最高で820,000ユーロまたは総売上高の10%に相当する制裁金が課されることがあります。この制裁金は行政罰であり、刑事罰ではありません。この情報だけだと、制裁金の額が高額であることが気になりますが、オランダデータ保護法の条文は、制裁金を課す要件を絞っています。

改正法第66条は、次のように規定しています。

1.オランダデータ保護機関は、第4条第3項、第78条第2項柱書及び同(a)号に定める条項の違反に対して、刑法第23条第4項の第4分類の罰金の額を超えない行政罰を課すことができる。

2.オランダデータ保護機関は、(本法)第6条ないし第8条、第9条第1項・第4項、第10条第1項、第11条ないし第13条、第16条、第24条、第33条、第34条第1項・第2項・第3項、第34a条、第35条第1項第2文・第2項・第3項・第4項、第36条第2項・第3項・第4項、第38項ないし第40条第2項・第3項、第41条第2項・第3項、第42条第1項・第4項、第76条、第77条または第78条第3項・第4項、並びに一般行政法第5:20条に定める条項の違反に対して、刑法第23条第4項の第6分類の罰金の額を超えない行政罰を課すことができる。刑法第23条第7項が同様に適用される。

3.オランダデータ保護機関は、第66条第2項にいう条文に定める条項の違反の行政罰については、同機関が拘束力ある命令を発した後の違反にのみ課すものとする。オランダデータ保護機関は、違反者が命令を遵守しなければならない期間の制限を設けることができる。

4.第3項は、違反が故意または重過失の結果による場合には、適用しない。

5.オランダデータ保護機関は、拘束力ある命令の不遵守に対して、刑法第23条第4項の第6分類の罰則を超えない行政罰を課すことができる。刑法第23条第7項は、同様に適用される。

オランダ刑法の罰金分類

さて、オランダ刑法は、第23条第4項で、罰金の額の分類を設けています。

第1分類 410ユーロ
第2分類 4,100ユーロ
第3分類 8,200ユーロ
第4分類 20,500ユーロ
第5分類 82,000ユーロ
第6分類 820,000ユーロ

また、第23条第7項で、第6分類の罰金が適当な制裁とならない場合には、前年の総売上高の10%までの額を処することができるとしています。

オランダデータ保護法の罰則

オランダデータ保護法によると、同法の条項の違反行為には、刑法の分類の第4分類に記載された20,500ユーロを超えない額の制裁金、第6分類に記載された820,000ユーロまたは前年の総売上高の10%に相当する額を超えない額の制裁金が課されることがあります。

違反行為については、条文が列挙してありますので、制裁金が課されるのは、これらの条文に違反する行為に限られます。

また、注意を要するのは、違反すればすぐ制裁金が課されるわけではないという点です。
この後者の高額な制裁金が課されるのは、故意または重過失による違反であるか、過失の場合にはオランダデータ保護機関から命令が出されているにもかかわらず違反をした場合に、限定されています。

なお、オランダデータ保護法は、第75条で刑事罰も定めています。ただ、この条項の違反は条文を見る限り日系企業には関係がなさそうです。

EU一般データ保護規則の施行後はどうなる?

さて、EU一般データ保護規則が2018年5月25日に施行されると、オランダデータ保護法の規定はどうなるのでしょうか。

同規則は、規則の形式を採っていますので、加盟国の国内での立法措置を必要とすることなく、直接適用され加盟国の国内法となります。そして、EUの規則は国内法に優位します。したがって、オランダデータ保護法とEU一般データ保護規則との間で齟齬を生じると、EU規則の方が優位することになります。もっとも、現在、下記の実施法令が検討されており、オランダデータ保護法は、EU一般データ保護規則とこの実施法令に代わることとなるようです。

実施法令の提案

EU一般データ保護規則が直接適用されるにもかかわらず、なぜ別途法律が必要なのか、ですが、同規則の条項には、加盟国に別途規定を設けることを認めたり、求めているものがあります。加盟国各国はそうした条項について、実施法令(implementing act)を定めることがあるわけです。

たとえば、罰則に関連する条文で説明するならば、規則の第84条第1項は「加盟国は、本規則違反に適用されるその他の罰則、特に第83条による過料の対象となっていない違反に関する規定を定めなければならず、それらの罰則が実施されるために必要な措置をとらなければならない。当該罰則は効果的で、比例的で、かつ抑止的でなければならない。」と定めています。したがって、加盟国はEU一般データ保護規則の罰則規定以外に、罰則を実施法令で定める必要がある、ということになります。もちろん、規則は重要な侵害行為を定めているので、その他の罰則はそれよりもマイナーなものとなるのではないかと思われます。

さて、オランダは、2016年12月9日に、EU一般データ保護規則の実施法令をパブリックコメントに付しました。1月20日に締め切られましたが、提出されたパブリックコメントそのものが閲覧できます。コメントが要約されるのではなく、そのまま閲覧できることは、コメントを行う側も慎重になり、コメントも質の高いものとなる可能性が高まるのではないかと思われます。それに政府の側で要約を作成しなければならない手間を省くこともできます。法案の内容によって匿名が必要な場合には配慮するとして、日本でもそのままのパブリックコメントを掲載するほうがよいのではないかと思われます。

英語で書かれたコメントもありますので、ご関心のある方はご覧ください。
https://www.internetconsultatie.nl/uitvoeringswetavg
左の欄の”Reacties op consultative” に集まった67件のコメントが掲載されています。

実施法令の英語翻訳はまだ見当らないため、内容の検討ができていませんが、実施法令が成立すれば英語翻訳がなされると思われますので、追って補足したいと思います。

なお、短い記事ですが、法律事務所のStibbeが” Proposal for a Dutch GDPR Implementation Act”という記事で、実施法令について説明をしています。

 

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。