EUデータ保護規則(GDPR)ー管理者の義務:情報の通知(Information Notices)

EUデータ保護規則に基づく管理者の義務には様々なものがあります。これらの多くは、データ主体の権利と表裏の関係になっています。情報の通知も同様です。

Contents

情報の通知義務

管理者が負う情報の通知義務は、EUデータ保護規則第3章「データ主体の権利」の中の第12条、第13条、第14条に定められています。
EU指令においても、同様の規定がありました(第10条及び第11条)。しかし、データ主体に提供する情報として列挙されているものは多くはなく、しかも構成国が法律で定めることになっていたため、構成国によってデータ主体に通知する情報はばらばらだった感があります。複数の国でビジネスを展開する企業にとっては、各構成国の法制を確認しなければなりませんでした。

これに対して、EUデータ保護規則は、同規則が施行とともに各構成国で適用されるという性質から、EU全体での統一がなされることになり、企業側の負担が減ることになります。しかし、一方で、EUデータ保護規則はデータ主体に通知すべき情報を詳細に掲げているため、この点では企業側の負担は増えるでしょう。

通知の方法

EUデータ保護規則で新たに設けられた条項です。通知は、「簡潔で、透明性ある、分かりやすく簡単に利用できる形式」でなされなければなりません。子供に向けられた情報については、特に「明確で平素な言葉」を使用することも求められています(第12条)。
続きを読む →

忘れられる権利――Google v. Spain

今日は欧州司法裁判所(Court of Justice)が、2014年5月13日にグーグル検索に関して「忘れられる権利」を認めた裁定をまとめておこうと思います。
略してGoogle v. Spain 事件と呼びます。
裁定の英語版はこちらです。
長い裁定を読むのが大変!という方は、プレスリリースで概略を読んでみてはいかがでしょうか。

Google v. Spain事件とは?

Google v. Spain事件は、2010年にスペイン人の弁護士Mario Costeja González氏が、スペインの新聞社とGoogleスペイン社およびGoogle社に対する苦情を、スペインのデータ保護機関(AEPD:the Agencia Española de Protección de Datos)に申し立てた事件が発端です。González氏は、約10年前に社会保障費用の未払いがあり、不動産差押手続きに関連する強制競売について、新聞に名前が載りました。GoogleでGonzález氏の名前を検索すると、過去の2件の新聞記事へのリンクが表示されるようになっていました。

González氏は、まず新聞社に対して、関連するページを削除または変更し、彼に関するデータが表示されないようにすることを求めました。彼は、次にGoogle Spain またはGoogle Inc.に対して、彼に関するデータを削除または隠すかし、検索結果に彼のデータが含まれたり、新聞社へのリンクで表示されないようにすることを求めました。
AEDPは、新聞社の記事は、労働社会政策省の命令に基づいてなされた法的に正当なものであるとして、新聞社に対する苦情は認めませんでした。一方で、Google両社に対する苦情は認めました。

このため、Google Spain社とGoogle社が、スペインの裁判所にAEDPの判断の取消しを求めて訴訟を提起しました。スペインの裁判所は、欧州司法裁判所に、次の3つの問題についてEU個人データ保護指令の解釈を付託しました。理事会(European Commission)のファクトシート(Factsheet on the “Right to be Forgotten” ruling)から抜粋します。
続きを読む →

Glossary―EUデータ保護規則(GDPR)用語集

EUに関する用語集は、別な記事にまとめていますが、EUデータ保護規則に特有の用語を中心にした別記事を作りました。
サイトの進行に併せて、逐次更新していきます。

・adequate decision —–十分性の決定。欧州委員会が、EU域外の第三国について、個人データの保護について十分な保護措置を備えているか否かを審査し、十分性を備えていると判断した場合に決定を下す。十分性の決定を得ている第三国に、EUの構成国から個人データを移転する場合には、特別な手続を必要としない。

・biometric data  —– 生体認証データ。顔画像や指紋認証データなどのような、自然人の固有識別を可能・確認する自然人の身体的、生理的、行動的な特性に関連する特定の技術処理からなる個人データを指します。

・BCRs: Binding Corporate Rules —– 拘束的企業準則。主に多国籍企業が採用する準則で、企業グループ内でEU域外の第三国に個人データを移転する場合に、特別の手続を必要としないで個人データを移転することができる仕組み。EU指令でも同様の仕組みがあったが、EUデータ保護規則によって明確に法令上の位置付けを得た。

・certification: —– 認証とは、認証団体が、企業の個人データ保護が一定の基準に達していることを証明する制度。認証を得た企業は、データ保護シールやデータ保護マークを企業のウェブサイトに掲載するなどして、個人データの保護が図られていることを示すことができる。

続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データ移転⑤/特例による移転

EUデータ保護規則-EU域外への個人データ移転①/概観&十分性の決定”では、EUの構成国から第三国に個人データを移転するためには、3つの場合のいずれか(①十分性の決定を受けている国への移転、②十分な保護措置に基づいた移転、③特例による移転)に該当する必要があることを概観しました。
今回は、3番目の特例による移転を簡単に見ていきます。

特例による移転とは?

特例による移転とは、EUデータ保護規則第49条に定められている「特定の状況における例外」にあたる個人データの移転をいいます。

第49条第1項は、第45条第3項に基づく十分性の判断または拘束的企業準則を含む第46条に基づく適切な保護措置がない場合、特定の条件を満たした場合に、第三国に個人データの移転を行うことを認めています。
この特例は、次のような項目に分かれていて、いずれかを満たせば移転することができます。(a)(b)・・・は、条文の号数です。

(a) データ主体が十分性判断及び適切な保護措置の欠如によりデータ主体に当該移転により発生しうるリスクを伝えた上で、データ主体が予定されている移転に明示的に同意をした場合
(b) データ主体と管理者との間の契約の履行に移転が必要な場合
(b) データ主体の請求により講じる契約前の措置の実施のために移転が必要な場合
(c) 管理者と第三者との間でデータ主体の利益のために交わされる契約の締結又は履行に移転が必要な場合
(d) 重要な公共の利益のために移転が必要な場合
(e) 法的主張の構築、行使又は防御のために移転が必要な場合
(f) データ主体または第三者の重要な利益を保護するために移転が必要で、データ主体が身体的または法的に同意を与えることができない場合
(g) EU法または構成国法に従って公に情報を提供し、公衆一般または正当な利益を証明できる者のいずれかによる閲覧のために公開されている記録から移転が行われる場合。但し、EU法または構成国法の定める閲覧の条件が特定の事案で満たされる程度に限られる。

(a)の同意ですが、同意はEUデータ保護規則で変更があったところですので、注意が必要です。”EUデータ保護規則――用語の定義:本人の同意がより厳しくなっています!”で説明しましたので、参考にしてください。

続きを読む →

EUデータ保護規則(GDPR)―行動規範と認証/コンプライアンスの仕組みの強化

今回は、EUデータ保護規則によって、規則の適切な適用のために、新しく定められた2つの仕組みについて見ていきましょう。行動規範(Codes of Conduct)と認証(Certifications)です。

Contents

行動規範とは何か

行動規範の意義

行動規範とは、業界団体が定め、その業界団体に属する企業が利用する個人データ保護のルールのことです。

EU指令にも行動規範の規定はあり、構成国がデータ保護の遵守を確保するために行動規範の作成を奨励することが予定されていました(第27条第1項)。策定された行動規範案が指令に沿ったものであるか否かを監督機関が確認する手続もありました。しかし、繰り返しになりますが、EU指令では構成国ごとに指令の解釈が異なることがあり、ある行動規範がある構成国の監督機関では指令に沿っているとみなされても、それが他の構成国でも同じようにみなされる保証はありません。
また、EU指令は、行動規範を第29条作業部会に審査のために提出しうることに触れていますが(第27条第3項)、承認をする手続が予定されているわけでもありませんでした。

これに対して、EUデータ保護規則は、行動規範を規則遵守の仕組みの一つとして、EU指令よりも強固なものに位置付けています。

第一に、構成国、監督機関、欧州データ保護評議会および欧州委員会は、中小・零細企業特有のニーズを考慮しながら行動規範を作ることを奨励しています。

第二に、複数の構成国にまたがる個人データの処理に関する行動規範案は、所定の手続を経て、EU内で一般的な有効性を持つことができます。EUのどこでも同じ有効性を持つことになるわけです。

第三に、EU域外の第三国に個人データを移転する場合、移転先の企業が行動規範を遵守し、データ主体の権利などについて拘束力と執行力をもつ適切な保護措置を備えている場合には、個人データの移転ができるようになります。この点は、別の記事”EUデータ保護規則-EU域外への個人データの移転④”にごく簡単に触れましたので、参考にしてください。

上記のような利点がありますので、行動規範を策定する方がビジネスの効率が高まるとともに、顧客に適正な個人データ保護措置を講じている業界であることを示すことにもなります。策定していない業界は準備を行い、すでに策定済みの業界も、規則に沿って行動規範の見直しをすることになるでしょう。

続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データの移転④/行動規範と認証 

前回の”EUデータ保護規則―EU域外への個人データの移転③/標準データ保護条項と契約条項“では、標準データ保護条項と契約条項の2つの方法のいずれかを利用すれば、EUから第三国に個人データが移転できることを確認しました。

繰り返しになりますが、EU域外にある十分性の決定を得ていない第三国に個人データを移転する方法は、十分な保護措置に基づくことが必要です。次のような方法があります。表を再掲します。

拘束的企業準則 (BCRs: Binding Corporate Rules) §46Ⅱ(b),§47
標準データ保護条項(欧州委員会が採択または監督機関+欧州委員会の承認) (SDPC: Standard Data Protection Clauses) §46Ⅱ(c)(d),§93Ⅱ
行動規範 (Code of Conducts) §46Ⅱ(e),§40
認証 (Certification) §46Ⅱ(f),§42
契約条項 (Contractual Clauses) §46Ⅲ(a)

今回は、このうちの行動規範(Code of Conduct)と認証(Certification)を簡単に見ていきます。

続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データの移転③/標準データ保護条項と契約条項

前回の記事”EUデータ保護規則-EU域外への個人データの移転②”では、十分性の決定を受けていない第三国にEUから個人データを移転する場合に、十分な保護措置に基づく移転であることが必要であることを概観しました。表を再掲します。

拘束的企業準則 (BCRs: Binding Corporate Rules) §46Ⅱ(b),§47
標準データ保護条項(欧州委員会が採択または監督機関+欧州委員会の承認) (SDPC: Standard Data Protection Clauses) §46Ⅱ(c)(d),§93Ⅱ
行動規範 (Code of Conducts) §46Ⅱ(e),§40
認証 (Certification) §46Ⅱ(f),§42
契約条項 (Contractual Clauses) §46Ⅲ(a)

十分な保護措置に基づく移転には、5つの場合があり、拘束的企業準則については、すでに前回の記事で触れたところです。
今回は、2番目の標準データ保護条項と5番目の契約条項を見ていきましょう。
続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データの移転②/十分な保護措置と拘束的企業準則

前回の”EUデータ保護規則―EU域外への個人データの移転①”では、EU域外への個人データの移転を行う場合には、3つの条件のいずれか(①十分性の決定、②十分な保護措置、③特例)を満たす必要があることと、3つの条件の最初の十分性の決定について見てきました。これから、2番目の「十分な保護措置」について考えていきます。まずは、拘束的企業準則について説明しましょう。
なお、2018年5月25日にはEU指令は廃止され、EUデータ保護規則が施行され、仕組みが一変することから、EUデータ保護規則を中心に記述しています。

十分な保護措置とは何か

EUから第三国または国際機関への個人データの移転は、十分な保護措置に基づく場合に行うことができます。十分な保護措置とは、adequate safeguardsを訳したものですが、適切な安全措置と訳す文献も見かけます。EUデータ保護規則によると、次の5つの場合のいずれかを満たす場合を指します。

拘束的企業準則 (BCRs: Binding Corporate Rules) §46Ⅱ(b),§47
標準データ保護条項(欧州委員会が採択または監督機関+欧州委員会の承認) (SDPC: Standard Data Protection Clauses) §46Ⅱ(c)(d),§93Ⅱ
行動規範 (Code of Conducts) §46Ⅱ(e),§40
認証 (Certification) §46Ⅱ(f),§42
契約条項 (Contractual Clauses) §46Ⅲ(a)

続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データの移転①/概観&十分性の決定

今回は、EU構成国からEU域外に個人データを移転する場合の規制について見ていきます。現代は、飛躍的に個人データが国境を越えるようになりました。たとえばクラウドコンピューティングやITサービスでは、日本国内にある企業であっても、他国に個人データが物理的に存在することがありうることがたやすく理解できるでしょう。
EUは、個人データのEU構成国以外の第三国への移転について、EU個人データ保護指令の時代から取り組んできたパイオニアです。個人データの越境移転について、EUデータ保護規則はどのように定めているのでしょうか。指令の時代と比べて、どの点に変更があるのでしょうか。

 

EU構成国間の個人データ移転

EUの構成国と構成国との間で、個人データを移転することは当然のことながら自由です。
個人データを自由に移転することができる地域は、欧州経済圏(EEA: the European Economic Area)にも拡大されています。つまり、EU構成国28か国とアイスランド、リキテンシュタイン、ノルウェーの31か国間では、個人データを自由に移転することができるのです。EU、EEAの関係については、ミニ知識-EFTA(欧州自由貿易協定)とEEA(欧州経済圏)を参考にしてください。

したがって、日本企業がEU構成国内に事業所を有していたり、その国の法律にしたがい子会社を設立している場合に、EU規則の規律を遵守しつつ、事業者や子会社から他のEU構成国、EEA加盟国に個人データを移転することについては、何ら制限はありません。 続きを読む →

ミニ知識ーEFTA(欧州自由貿易連合)とEEA(欧州経済圏)

EU法はEU構成国ばかりではなく、欧州自由貿易連合(EFTA)と欧州経済圏(EEA)に加盟する国に適用されることがあります。
EFTAは、the European Free Trade Associationの略語で、加盟国の自由貿易の促進と経済融合を目指す政府間機関です。
EEAは、 the European Economic Areaの略語で、欧州経済領域、欧州経済地域と訳されることもあります。EEAは、EFTA加盟国がEUに加盟することなく、EUの単一市場に参加することができるための仕組みで、1994年1月1日に発効したEEA協定によるものです。物、サービス、人、資本の移動が自由になりました。EEA協定では、EUに加盟する場合にはEEAにも加盟しなければならないことになっています(128条)。

EU、EFTA、EEAの加盟国を整理すると、次のようになります。

EU(28か国)
ベルギー、ドイツ、フランス、イタリア、ルクセンブルク、オランダ、デンマーク、アイルランド、英国、ギリシャ、ポルトガル、スペイン、オーストリア、フィンランド、スウェーデン、キプロス、チェコ、エストニア、ハンガリー、ラトビア、リトアニア、マルタ、ポーランド、スロバキア、スロベニア、ブルガリア、ルーマニア、クロアチア(計28か国)
EFTA(4か国)
アイスランド、ノルウェー、リヒテンシュタイン、スイス
EEA(31か国)
EU構成国28か国

ベルギー、ドイツ、フランス、イタリア、ルクセンブルク、オランダ、デンマーク、アイルランド、英国、ギリシャ、ポルトガル、スペイン、オーストリア、フィンランド、スウェーデン、キプロス、チェコ、エストニア、ハンガリー、ラトビア、リトアニア、マルタ、ポーランド、スロバキア、スロベニア、ブルガリア、ルーマニア、クロアチア(計28か国)

スイスを除くEFTA加盟国3か国

アイスランド、ノルウェー、リヒテンシュタイン