EUデータ保護規則(GDPR)―個人データの処理に関する7つの原則

今回は、個人データの処理に関する原則を見てみます。

指令でも同種の規定がありました(第6条)。
規則は、①合法性、公正性および透明性、②目的制限、③データ最小限性、④正確性、⑤保管制限、⑥完全性および機密性保持、⑦責任という7つの原則を定めています。具体的な条文は第5条になります。

第5条 個人データの処理に関する原則

1 個人データは、

(a)データ主体に関し、合法、公正および透明性ある方法で処理されなければならない<合法性、公正性および透明性>

(b)特定された明示的で正当な目的のために収集され、かつ当該目的に相容れない方法によって処理してはならない。公益のために保管する目的、科学的もしくは歴史的な研究目的または統計目的でさらに行う処理は、第89条1項に従い、当初の目的と相容れないとみなしてはならない。<目的制限>

(c)データが処理される目的に照らし適正で、関連性があり、必要な範囲に限定されなければならない。<データ最小限性>

(d)正確で、必要な場合には最新の状態にしなければならない。:処理目的に照らし不正確な個人データを遅滞なく削除または訂正することを確保するために、あらゆる適当な措置が採られなければならない。<正確性>

(e)個人データの処理目的に必要とされる期間を超えない間は、データ主体の特定を可能にする形式で保管するものとする。個人データは、第89条1項に従って公益のための保管目的、科学的または歴史的研究目的もしくは統計目的のためにのみ処理される限り、データ主体の権利および自由を保護するために本規則で必要とされる適切な技術的および組織的措置を実施する場合には、より長期間にわたり保管することができる。<保管制限>

(f)適切な技術的又は組織的な措置を講じた、権限のないまたは違法な処理および偶発的な消失、破壊または毀損に対する保護を含む、個人データの適切な安全対策を確保した方法で処理されなければならない。<完全性および機密性保持>

2 処理者は第1項の遵守に責任を負うとともに、遵守を証明できなければならない。<責任>

規則の各条文は、これらの原則は具体化したものといってよいでしょう。原則は抽象的なものではありますが、法律の解釈の指針を示すものですので、押さえておきましょう。

 

EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済

今回は、EUデータ保護規則の執行と罰則の強化について考えてみます。

EUデータ保護規則の動向が日本で注目された理由の一つに、巨額の過料があります。「罰金」という用語を使用している文献もありますが、「罰金」は刑事罰で使用される用語であり、EUデータ保護規則で課せられのは行政罰であるため、「過料」という用語の方が日本法の用語の使用に合致していると思われます。 また、日本法の英語訳では、過料は”administrative fine”または”administrative fines”と訳されています。そこで、このサイトでは「過料」という用語を用いることにします。なお、文献によっては、課徴金、制裁金という用語を使用しているものもあります。

さて、2012年に欧州委員会によって規則案が提案された段階では、違反の内容によって、250,000ユーロまたは企業の場合は全世界の売上高の0.5%(いずれか高い方)を上限とする過料、500,000ユーロまたは全世界の売上高の1%(いずれか高い方)を上限とする過料が課される内容となっていました。指令と異なり、きわめて大きな制裁が提案され、データ保護の遵守が以前にもまして企業の経営に大きく影響を及ぼすこととなりました。日本でも数多くの報道がなされたとことです。
それでは、発効したEUデータ保護規則の最終的な内容はどうなっているでしょうか。結論を先取りすると、過料の金額の上限が、1000万ユーロ(企業の場合は全世界の前年の総売上高の2%)または2000万ユーロ(企業の場合は全世界の前年の総売上高の4%)まで引き上げられています。

過料を課す権限は、監督機関の権限の一つです。
EUデータ保護指令では、指令の執行を監督する機関(監督機関といいます。SA:Supervisory Authority)の権限として、調査権限、処理に介入する権限、違反について法的手続を開始する権限などを定めていました(第28条3項)。もっとも、その詳細は構成国の法律にゆだねられていました。その結果、監督機関である国内データ保護機関(DPA:Data Protection Authority)の権限や執行能力は、構成国によってまちまちになっていたのです。
EUデータ保護規則では、監督機関の権限を強化し執行能力を増強するなど、大きな変更がありました。これに伴い課すことのできる過料も巨額なものとなったのです。このことは、規則の前文149項に明示されています。
指令と異なり、規則は国内法の制定を必要としません。また、統一的な執行を目指して統一的な仕組みを講じているため、各構成国の監督機関の権限はこれまでと異なり均一化されることになりました。

続きを読む →

EUデータ保護規則(GDPR)―用語の定義:本人の同意がより厳しくなっています!

EUデータ保護規則は、第4条で用語の定義をしています。指定では8項目について定義がありましたが、規則では26項目に増えて精緻になっています。指令と規則で共通する8項目については、そのほとんどが実質的に変わりはありません。注意しなければならないのは、データ主体の「同意」がより厳しくなっている点です。

個人データ(Personal data)

第4条(1)は次のように定義しています。

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

「個人データ」とは、特定されたまたは特定可能な自然人(データ主体)に関するすべての情報をいう。特定可能な自然人とは、特に名前、認識番号、位置情報、オンラインIDまたは当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的特定に固有な1つ以上の要素を参照することにより、直接的または間接的に特定できる者をいう。

指令の定義(第2条(a))と大きく変わりはありませんが、細かな違いがあります。位置情報とオンラインIDが例示として加えられている点です。指令でも、これらは個人データとして捉えられるのが一般でしたが、規則によって明確化されました。

「データ主体」とは、「特定されたまたは特定可能な自然人」をいいますが、これは日本の個人情報保護法の「本人」に該当する概念と捉えておけばよいでしょう。

続きを読む →

EUデータ保護規則(GDPR)―どのような場合に日本企業に適用されるのか

EUデータ保護規則は、EUデータ保護指令と比べて適用される企業の範囲が広がっています。
日本企業の備えとしては、まず自社がEUデータ保護規則が適用される企業であるかどうかをチェックする必要があります。3つの項目でチェックしてみましょう。

3つの適用範囲に関するチェック項目

(1)EUの1つ以上の構成国に管理者または処理者となる拠点を設置しているか。
(2)国際公法によって、構成国の国内法が拠点に適用されるか。
(3)EU内のデータ主体に対し商品やサービスを提供しているか、またはEU内のデータ主体の行動を監視しているか。

(1)と(2)は、EUデータ保護指令と変わりません。つまりEU内かまたは国際公法によって構成国の国内法が適用される地域内のいずれかに、日本企業が管理者または処理者としての拠点を有している場合には、EUデータ保護規則が適用され、規則を遵守する義務が生じます。
拠点とはestablishmentを和訳したものですが、安定した設備を通じた効果的かつ現実の活動の実施を意味し、安定した設備が支店か法人格を有する子会社かという法的な形式は問われていません(前文22)。
また、実際のデータ処理がEU内で行われているかどうかは関係がありません。
続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利④:削除権(忘れられる権利)

EU個人データ保護規則が正式決定

2016年4月27日に、EUの欧州議会と理事会が共同で、EU個人データ保護規則を決定しました。理事会が同規則の提案をしたのが、2012年1月25日でしたから、正式決定するまで約4年強かかったことになります。

英語の正式名称は、”REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)”という長い名称です。和訳するならば、「個人データの処理に係る自然人の保護及び当該データの自由な移動並びにEC指令の廃止に関する2016年4月27日付け欧州議会と理事会の2016年679号EU規則」とでもいうのでしょうか。長い名称なので、ここではEUデータ保護規則と呼ぶことにします。施行は2018年5月25日です。

EUでは、欧州議会と理事会が立法機関ですが、立法行為には、欧州議会と理事会が共同で決定する通常立法行為と、欧州議会または理事会が単独で決定する特別立法手続があります。個人データ保護規則は、通常立法行為によって決定されました。

これまでEUの個人データ保護は、個人データ保護指令(”DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data”)で規律されていましたが、2018年5月25日からは個人データ保護規則が取って代わることになります。

なお、指令と規則は、いずれも第二次法ですが、両者の法的効力についてはどちらかが優位とされるという関係にはありません。違いは、規則はすべての構成国で直接に適用され自動的に国内法になりますが、指令は内容を達成する手段と方法が構成国に任されており、国内法化をする必要があります。
EU個人データ保護規則は、この意味で構成国内での相違が少なくなり、統一的な規律ができるものとなっています。

削除権(忘れられる権利)

EU個人データ保護規則案の段階

EU個人データ保護規則は、様々な意味で動向に注目を集まっていましたが、その一つが忘れられる権利でした。
理事会が提案をした規則案では、忘れられる権利について、次のような条文が示されました。2項以下は省略しています。

 

Article 17  Right to be forgotten and to erasure

1  The data subject shall have the right to obtain from the controller the erasure of personal data relating to them and the abstention from further dissemination of such data, especially in relation to personal data which are made available by the data subject while he or she was a child, where one of the following grounds applies:

(a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or when the storage period consented to has expired, and where there is no other legal ground for the processing of the data;

(c) the data subject objects to the processing of personal data pursuant to Article 19;

(d) the processing of the data does not comply with this Regulation for other reasons.

第17条 忘れられる権利と削除権
1 データ主体は、次の理由がある場合、特に子供のときに自身が利用可能にした個人データについて、管理者に対し個人データの削除及び当該データの拡散の抑止を求める権利を有する。
(a) 当該データが収集その他処理された目的との関係でもはや必要でなくなった場合
(b) データ主体が第6条(1)(a)に基づきなされた処理についての同意を撤回した場合、同意した保管期間が経過した場合、その処理にその他の法的根拠がない場合
(c) データ主体が第19条に従って個人データの処理に異議を申し立てた場合
(d) データ処理がその他の理由で本規則を遵守していない場合

欧州議会の修正意見

この規則案に対して、欧州議会は、忘れられる権利という言葉を削除し、いくつかの修正提案をしました。このため、最終的に決定される規則には、忘れられる権利という言葉は削られるのではないかと思われていました。

Article 17 Right to be forgotten and to erasure

1  The data subject shall have the right to obtain from the controller the erasure of personal data relating to him or her and the abstention from further dissemination of such data,especially in relation to personal data which are made available by the data subject while he or she was a child,and to obtain from third parties the erasure of any links to, or copy or replication of, those data where one of the following grounds applies:

(a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or when the storage period consented to has expired, and where there is no other legal ground for the processing of the data;

(c) he data subject objects to the processing of personal data pursuant to Article 19;

(ca) a court or regulatory authority based in the Union has ruled as final and absolute that the data concerned must be erased;

(d) the processing of the data does not comply with this Regulation for other reasons have been unlawfully processed.

 最終的に確定したEUデータ保護規則

ところが、公表された規則では、忘れられる権利という言葉が復活。

Article 17 Right to erasure (‘right to be forgotten’)

1  The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:

(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing;

(c) the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2);

(d) the personal data have been unlawfully processed;

(e) the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;

(f) the personal data have been collected in relation to the offer of information society services referred to in Article 8(1).

第17条 削除権(「忘れられる権利」)
1 データ主体は、次の理由がある場合、遅滞なく管理者に対し個人データの削除を求める権利を有し、管理者は遅滞なく個人データを削除する義務を負う。
(a) 当該データが収集その他処理された目的との関係でもはや必要でなくなった場合
(b) データ主体が第6条(1)(a)又は第9条(2)(a)に基づきなされた処理についての同意を撤回した場合、及びその処理にその他の法的根拠がない場合
(c) データ主体が第21条(1)に従って処理に異議を申し立てた場合で、その処理に優越的な正当理由がない場合か、又は第21条(2)に従って異議を申し立てた場合
(d) 個人データが違法に処理された場合
(e) 管理者がEU法又は構成国法の法的義務を遵守するために個人データを削除しなければならない場合
(f)    個人データが、第8条(1)にいう情報化社会サービスの提供に関連して収集された場合

今後は、EUでは、データ主体は、上記の内容で削除権=忘れられる権利を行使することができ、管理者は削除の義務を負うことになります。

違反がある場合の救済

データ主体の権利に関して違反がある場合、管理者である企業などは、行政罰である過料を課される可能性があります。また、データ主体は、監督機関に対し不服を申し立てたり、司法的救済を求めることができます。
詳細は、”EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済“の記事でまとめましたので、参考にしてください。

*本記事は、Privacylaw.jpのサイトに掲載していたものを、同サイトをリニューアルするため、本サイトに移動したものです。

2016年10月21日更新:違反がある場合の救済を追加しました。

 

日本政府が飛行機の乗客予約記録(PNR)の提供をEUと交渉へ

日本政府が、飛行機の乗客予約記録(PNR: Passennger Name Record)の提供について、EUと協定の締結に向けて交渉する方針が示されました。
2020年の東京オリンピック・パラリンピックに向けたテロ対策の一環とのことです。
共同通信が報じています。EUと乗客名簿提供協定の交渉へ 五輪対策、要注意人物の入国阻止

*本記事は、Privacylaw.jpのサイトに掲載していたものですが、同サイトのリニューアルのため、本サイトに移動したものです。記事の公開日時は、Privacylaw.jpのサイトに合わせています。

EU個人データ保護規則(GDPR)―制定の経緯と手続

欧州連合(EU)で、2016年4月27日に、欧州議会と理事会が個人データ保護規則を決定しました。
施行は、2年後の2018年5月25日です。
理事会が規則案を提案してから正式に決定するまで約4年かかりましたが、現在の法枠組みであるEUデータ保護指令からの大きな変更もあり、ヨーロッパでビジネスを展開する日本企業にとっては、内容を確認しておきたいところです。
制定の経緯と手続を見ていきましょう。

現在の法枠組み:EU個人データ保護指令

EUの個人データ保護といえば、EU個人データ保護指令を思い浮かべる方が多いのではないでしょうか。2018年5月24日までは、EU指令が効力を有しています。
1995年に立法されたEU指令の正式名称は、DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(個人データの処理に係る個人の保護及び当該データの自由な移動に関する1995年10月24日付け欧州議会と理事会の欧州共同体1995年46号指令)です。以下、EU指令と呼びます。

指令の中に欧州共同体(EC)という名称が出てきますが、ECについてはミニ知識を参照してください。

EU指令の英語の条文はこちら
堀部政男研究室の和訳が総務省のウェブサイトに掲載されています。

続きを読む →

ミニ知識――欧州共同体(EC)

欧州共同体(EC)とは、おおざっぱにいえばEUの機構の一部です。
1993年に発効した欧州連合条約(マーストリヒト条約)に基づき、それまでの枠組みが欧州連合(EU)という名称に変更されます。
同条約はEUに3つの柱を組みます。欧州共同体(EC)、共通外交・安全保障政策(CFSP: Common Foreign and Security Policy)、司法・内務協力(JHA: Cooperation in the fields of Justice and Home Affairs)です。
この3つの柱の一つであったECは、さらに欧州経済共同体(EEC)、欧州石炭鉄鋼共同体(ECSC)、欧州原子力共同体(Euratom)という3つの機構で構成されていました。
EUは、2009年に発効したリスボン条約により大きく変わります。意思決定手続を効率的にするため3本柱構造が廃止され、EUがECを吸収し、法人格を持つことになりました。ただし、欧州原子力共同体は法人格を別に維持しています。
EUの法律の中に、EC指令、EC規則などが出てくるのは、EC時代の法律だからです。

 

Glossary-EUとCoE用語集

◇逐次用語をUPしていきます。

欧州連合(EU)のGlossary

Committee of the Regions:地域委員会、EUの機関。地域・地方政府の代表者で構成する諮問機関。各地域・地方の利害が関係する諮問に対して答申を行う。

Council (of the European Union):理事会、EUの機関。立法機関の一つ。欧州議会と共同で立法行為を行う。欧州連合理事会、EU理事会、閣僚理事会とも呼ばれる。各構成国から閣僚級代表1名が出席。政策分野・内容別に設けられた委員会で活動する。 ♠ EUの最高意思決定機関である欧州理事会、EUとは別の機関である欧州評議会と混同しないように注意が必要。

Court of Justice of the European Union, CJEU:欧州司法裁判所、EU法の解釈、構成国や各機関による法の遵守を監督するEUの司法機関。3つの裁判所-司法裁判所、一般裁判所、専門裁判所-で構成されている。
♠ 欧州人権裁判所と混同しないように注意が必要。

European Commission:欧州委員会、英語そのままにコミッションとも呼ばれる。法案提出権限を持つEUの行政執行機関。欧州全体の利益を代表し、政治的に独立して政策を実施する。委員は欧州理事会によって選出され、欧州議会がそれを承認する。

European Council:欧州理事会、EU首脳会議、EUサミットとも呼ばれる。EUの最高意思決定機関。各構成国首脳、欧州理事会議長、欧州委員会委員長で構成。EUの組織や政策の重要方針を協議し決定する。
♠ EUの立法機関である理事会、EUとは別の機関である欧州評議会と混同しないように注意が必要。

European Data Protection Supervisor, EDPS:欧州データ保護監督機関、EUの個人データ保護のために設置された監督機関。EUデータ保護指令に基づき、EUの諸機関が個人データ保護を遵守しているかどうか監督し、助言を行う。2018年5月25日以降は、EUデータ保護指令は廃止され、EUデータ保護規則となる。

European economic and Social Committee, EESC:経済的・社会的利益団体を代表する評議員で構成されるEUの諮問機関。経済社会問題に関する各機関からの諮問に対して答申を行う。EUと市民をつなぐ役割を持つ。

European Parliament, EP:欧州議会、EUの立法機関の一つ。EU構成国民(EU市民)の中から直接選挙により選出される議員で構成。理事会と共同で立法行為を行う。

European Union, EU: 欧州連合、第二次世界大戦後、欧州石炭鉄鋼共同体条約に基づき1952年に作られた欧州石炭鉄鋼共同体から制度的に発展をした欧州を統合する国際機関。2007年のリスボン条約により、現在はEU条約とEU機能条約によって運営されている。法人格を有し、構成国の主権の一部がEUに移譲されている。

General Data Protection regulation, GDPR : EUデータ保護規則、EUで2016年4月に制定され、2018年5月25日に施行される個人データを保護する法令。EU一般データ保護規則、EU個人データ保護規則とも呼ばれる。

the Treaty on European Union, TEU: EU条約、リスボン条約により改正されたEUの基本条約。

the Treaty on the Functioning of the European Union, TFEU: EU運営条約、EUの機能に関する条約、EU機能条約とも呼ばれる。リスボン条約により改正されたEUの基本条約。

 

欧州評議会(CoE)のGlossary

Committee of Ministers:閣僚委員会、CoEの機関、加盟国外相が参加する意思決定機関。

Committee of Ministers at Deputy level:閣僚代理会議、CoEの機関、加盟国常駐大使の参加する会議。

Conference of INGOs:国際人権NGO会議、CoEの機関、約400の国際NGOの会議。政治家と公衆をつなぎ、欧州評議会に市民社会の声を届ける役割を担う。

Congress of Local and Regional Authorities, CLRAE:欧州地方自治体会議、CoEの機関、地方レベルの民主化を強化するために設置されている閣僚委員会および議員会議の諮問機関。

Council of Europe, CoE:欧州評議会、1949年に設立された人権、民主主義、法の支配の分野で国際社会の基準策定を主導するヨーロッパの国際機関。条約の策定、専門家会合の開催、国際問題などに関する勧告・決議の採択、決議事項のモニタリングを行う。2016年9月4日現在で加盟国は47か国。ヨーロッパ以外の国もオブザーバー国として会議に参加ができる。日本もオブザーバー国の一つ。

European Court of Human Rights:欧州人権裁判所、CoEの人権救済機関、欧州人権条約に基づき設立され、1998年から常設機関。
♠ EU司法裁判所と混同しないように注意が必要。

Human Rights Commissioner:人権コミッショナー、CoEの機関、人権の問題について、独立して言及し、人々の関心を引き寄せる役割を担う。

Parliamentary Assembly, PACE:議員会議、CoEの機関、加盟国の国会議員で構成。立法権はなく諮問・モニタリングを行っている。他に事務総長、人権コミッショナー、ヨーロッパ人権裁判所判事を選出。通常は分野ごとに9つの委員会で活動。

欧州評議会(Council of Europe)とは

欧州評議会とは

欧州評議会(Council of Europe)とは、1949年に人権、民主主義、法の支配の分野で国際社会の基準策定を主導するヨーロッパの国際機関として、フランスのストラスブールに設立されました。設立時の加盟国(原加盟国)は、フランス、イタリア、英国、ベルギー、オランダ、スウェーデン、デンマーク、ノルウェー、アイルランド、ルクセンブルグの10か国です。
2016年9月4日現在で加盟国は47か国に及んでいます。
また、欧州評議会には、ヨーロッパの国以外でも、投票権はありませんが、発言権をもって閣僚委員会以外の会合に参加することが可能なオブザーバー国があります。現在、日本を含む5か国がオブザーバー国となっています。
続きを読む →