EUデータ保護規則(GDPR)―個人データの処理に関する7つの原則

今回は、個人データの処理に関する原則を見てみます。

指令でも同種の規定がありました(第6条)。
規則は、①合法性、公正性および透明性、②目的制限、③データ最小限性、④正確性、⑤保管制限、⑥完全性および機密性保持、⑦責任という7つの原則を定めています。具体的な条文は第5条になります。

第5条 個人データの処理に関する原則

1 個人データは、

(a)データ主体に関し、合法、公正および透明性ある方法で処理されなければならない<合法性、公正性および透明性>

(b)特定された明示的で正当な目的のために収集され、かつ当該目的に相容れない方法によって処理してはならない。公益のために保管する目的、科学的もしくは歴史的な研究目的または統計目的でさらに行う処理は、第89条1項に従い、当初の目的と相容れないとみなしてはならない。<目的制限>

(c)データが処理される目的に照らし適正で、関連性があり、必要な範囲に限定されなければならない。<データ最小限性>

(d)正確で、必要な場合には最新の状態にしなければならない。:処理目的に照らし不正確な個人データを遅滞なく削除または訂正することを確保するために、あらゆる適当な措置が採られなければならない。<正確性>

(e)個人データの処理目的に必要とされる期間を超えない間は、データ主体の特定を可能にする形式で保管するものとする。個人データは、第89条1項に従って公益のための保管目的、科学的または歴史的研究目的もしくは統計目的のためにのみ処理される限り、データ主体の権利および自由を保護するために本規則で必要とされる適切な技術的および組織的措置を実施する場合には、より長期間にわたり保管することができる。<保管制限>

(f)適切な技術的又は組織的な措置を講じた、権限のないまたは違法な処理および偶発的な消失、破壊または毀損に対する保護を含む、個人データの適切な安全対策を確保した方法で処理されなければならない。<完全性および機密性保持>

2 処理者は第1項の遵守に責任を負うとともに、遵守を証明できなければならない。<責任>

規則の各条文は、これらの原則は具体化したものといってよいでしょう。原則は抽象的なものではありますが、法律の解釈の指針を示すものですので、押さえておきましょう。

 

EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済

今回は、EUデータ保護規則の執行と罰則の強化について考えてみます。

EUデータ保護規則の動向が日本で注目された理由の一つに、巨額の過料があります。「罰金」という用語を使用している文献もありますが、「罰金」は刑事罰で使用される用語であり、EUデータ保護規則で課せられのは行政罰であるため、「過料」という用語の方が日本法の用語の使用に合致していると思われます。 また、日本法の英語訳では、過料は”administrative fine”または”administrative fines”と訳されています。そこで、このサイトでは「過料」という用語を用いることにします。なお、文献によっては、課徴金、制裁金という用語を使用しているものもあります。

さて、2012年に欧州委員会によって規則案が提案された段階では、違反の内容によって、250,000ユーロまたは企業の場合は全世界の売上高の0.5%(いずれか高い方)を上限とする過料、500,000ユーロまたは全世界の売上高の1%(いずれか高い方)を上限とする過料が課される内容となっていました。指令と異なり、きわめて大きな制裁が提案され、データ保護の遵守が以前にもまして企業の経営に大きく影響を及ぼすこととなりました。日本でも数多くの報道がなされたとことです。
それでは、発効したEUデータ保護規則の最終的な内容はどうなっているでしょうか。結論を先取りすると、過料の金額の上限が、1000万ユーロ(企業の場合は全世界の前年の総売上高の2%)または2000万ユーロ(企業の場合は全世界の前年の総売上高の4%)まで引き上げられています。

過料を課す権限は、監督機関の権限の一つです。
EUデータ保護指令では、指令の執行を監督する機関(監督機関といいます。SA:Supervisory Authority)の権限として、調査権限、処理に介入する権限、違反について法的手続を開始する権限などを定めていました(第28条3項)。もっとも、その詳細は構成国の法律にゆだねられていました。その結果、監督機関である国内データ保護機関(DPA:Data Protection Authority)の権限や執行能力は、構成国によってまちまちになっていたのです。
EUデータ保護規則では、監督機関の権限を強化し執行能力を増強するなど、大きな変更がありました。これに伴い課すことのできる過料も巨額なものとなったのです。このことは、規則の前文149項に明示されています。
指令と異なり、規則は国内法の制定を必要としません。また、統一的な執行を目指して統一的な仕組みを講じているため、各構成国の監督機関の権限はこれまでと異なり均一化されることになりました。

続きを読む →

EUデータ保護規則(GDPR)―用語の定義:本人の同意がより厳しくなっています!

EUデータ保護規則は、第4条で用語の定義をしています。指定では8項目について定義がありましたが、規則では26項目に増えて精緻になっています。指令と規則で共通する8項目については、そのほとんどが実質的に変わりはありません。注意しなければならないのは、データ主体の「同意」がより厳しくなっている点です。

個人データ(Personal data)

第4条(1)は次のように定義しています。

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

「個人データ」とは、特定されたまたは特定可能な自然人(データ主体)に関するすべての情報をいう。特定可能な自然人とは、特に名前、認識番号、位置情報、オンラインIDまたは当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的特定に固有な1つ以上の要素を参照することにより、直接的または間接的に特定できる者をいう。

指令の定義(第2条(a))と大きく変わりはありませんが、細かな違いがあります。位置情報とオンラインIDが例示として加えられている点です。指令でも、これらは個人データとして捉えられるのが一般でしたが、規則によって明確化されました。

「データ主体」とは、「特定されたまたは特定可能な自然人」をいいますが、これは日本の個人情報保護法の「本人」に該当する概念と捉えておけばよいでしょう。

続きを読む →

EUデータ保護規則(GDPR)―どのような場合に日本企業に適用されるのか

EUデータ保護規則は、EUデータ保護指令と比べて適用される企業の範囲が広がっています。
日本企業の備えとしては、まず自社がEUデータ保護規則が適用される企業であるかどうかをチェックする必要があります。3つの項目でチェックしてみましょう。

3つの適用範囲に関するチェック項目

(1)EUの1つ以上の構成国に管理者または処理者となる拠点を設置しているか。
(2)国際公法によって、構成国の国内法が拠点に適用されるか。
(3)EU内のデータ主体に対し商品やサービスを提供しているか、またはEU内のデータ主体の行動を監視しているか。

(1)と(2)は、EUデータ保護指令と変わりません。つまりEU内かまたは国際公法によって構成国の国内法が適用される地域内のいずれかに、日本企業が管理者または処理者としての拠点を有している場合には、EUデータ保護規則が適用され、規則を遵守する義務が生じます。
拠点とはestablishmentを和訳したものですが、安定した設備を通じた効果的かつ現実の活動の実施を意味し、安定した設備が支店か法人格を有する子会社かという法的な形式は問われていません(前文22)。
また、実際のデータ処理がEU内で行われているかどうかは関係がありません。
続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利④:削除権(忘れられる権利)

EU個人データ保護規則が正式決定

2016年4月27日に、EUの欧州議会と理事会が共同で、EU個人データ保護規則を決定しました。理事会が同規則の提案をしたのが、2012年1月25日でしたから、正式決定するまで約4年強かかったことになります。

英語の正式名称は、”REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)”という長い名称です。和訳するならば、「個人データの処理に係る自然人の保護及び当該データの自由な移動並びにEC指令の廃止に関する2016年4月27日付け欧州議会と理事会の2016年679号EU規則」とでもいうのでしょうか。長い名称なので、ここではEUデータ保護規則と呼ぶことにします。施行は2018年5月25日です。

EUでは、欧州議会と理事会が立法機関ですが、立法行為には、欧州議会と理事会が共同で決定する通常立法行為と、欧州議会または理事会が単独で決定する特別立法手続があります。個人データ保護規則は、通常立法行為によって決定されました。

これまでEUの個人データ保護は、個人データ保護指令(”DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data”)で規律されていましたが、2018年5月25日からは個人データ保護規則が取って代わることになります。

なお、指令と規則は、いずれも第二次法ですが、両者の法的効力についてはどちらかが優位とされるという関係にはありません。違いは、規則はすべての構成国で直接に適用され自動的に国内法になりますが、指令は内容を達成する手段と方法が構成国に任されており、国内法化をする必要があります。
EU個人データ保護規則は、この意味で構成国内での相違が少なくなり、統一的な規律ができるものとなっています。

削除権(忘れられる権利)

EU個人データ保護規則案の段階

EU個人データ保護規則は、様々な意味で動向に注目を集まっていましたが、その一つが忘れられる権利でした。
理事会が提案をした規則案では、忘れられる権利について、次のような条文が示されました。2項以下は省略しています。

 

Article 17  Right to be forgotten and to erasure

1  The data subject shall have the right to obtain from the controller the erasure of personal data relating to them and the abstention from further dissemination of such data, especially in relation to personal data which are made available by the data subject while he or she was a child, where one of the following grounds applies:

(a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or when the storage period consented to has expired, and where there is no other legal ground for the processing of the data;

(c) the data subject objects to the processing of personal data pursuant to Article 19;

(d) the processing of the data does not comply with this Regulation for other reasons.

第17条 忘れられる権利と削除権
1 データ主体は、次の理由がある場合、特に子供のときに自身が利用可能にした個人データについて、管理者に対し個人データの削除及び当該データの拡散の抑止を求める権利を有する。
(a) 当該データが収集その他処理された目的との関係でもはや必要でなくなった場合
(b) データ主体が第6条(1)(a)に基づきなされた処理についての同意を撤回した場合、同意した保管期間が経過した場合、その処理にその他の法的根拠がない場合
(c) データ主体が第19条に従って個人データの処理に異議を申し立てた場合
(d) データ処理がその他の理由で本規則を遵守していない場合

欧州議会の修正意見

この規則案に対して、欧州議会は、忘れられる権利という言葉を削除し、いくつかの修正提案をしました。このため、最終的に決定される規則には、忘れられる権利という言葉は削られるのではないかと思われていました。

Article 17 Right to be forgotten and to erasure

1  The data subject shall have the right to obtain from the controller the erasure of personal data relating to him or her and the abstention from further dissemination of such data,especially in relation to personal data which are made available by the data subject while he or she was a child,and to obtain from third parties the erasure of any links to, or copy or replication of, those data where one of the following grounds applies:

(a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or when the storage period consented to has expired, and where there is no other legal ground for the processing of the data;

(c) he data subject objects to the processing of personal data pursuant to Article 19;

(ca) a court or regulatory authority based in the Union has ruled as final and absolute that the data concerned must be erased;

(d) the processing of the data does not comply with this Regulation for other reasons have been unlawfully processed.

 最終的に確定したEUデータ保護規則

ところが、公表された規則では、忘れられる権利という言葉が復活。

Article 17 Right to erasure (‘right to be forgotten’)

1  The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:

(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing;

(c) the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2);

(d) the personal data have been unlawfully processed;

(e) the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;

(f) the personal data have been collected in relation to the offer of information society services referred to in Article 8(1).

第17条 削除権(「忘れられる権利」)
1 データ主体は、次の理由がある場合、遅滞なく管理者に対し個人データの削除を求める権利を有し、管理者は遅滞なく個人データを削除する義務を負う。
(a) 当該データが収集その他処理された目的との関係でもはや必要でなくなった場合
(b) データ主体が第6条(1)(a)又は第9条(2)(a)に基づきなされた処理についての同意を撤回した場合、及びその処理にその他の法的根拠がない場合
(c) データ主体が第21条(1)に従って処理に異議を申し立てた場合で、その処理に優越的な正当理由がない場合か、又は第21条(2)に従って異議を申し立てた場合
(d) 個人データが違法に処理された場合
(e) 管理者がEU法又は構成国法の法的義務を遵守するために個人データを削除しなければならない場合
(f)    個人データが、第8条(1)にいう情報化社会サービスの提供に関連して収集された場合

今後は、EUでは、データ主体は、上記の内容で削除権=忘れられる権利を行使することができ、管理者は削除の義務を負うことになります。

違反がある場合の救済

データ主体の権利に関して違反がある場合、管理者である企業などは、行政罰である過料を課される可能性があります。また、データ主体は、監督機関に対し不服を申し立てたり、司法的救済を求めることができます。
詳細は、”EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済“の記事でまとめましたので、参考にしてください。

*本記事は、Privacylaw.jpのサイトに掲載していたものを、同サイトをリニューアルするため、本サイトに移動したものです。

2016年10月21日更新:違反がある場合の救済を追加しました。

 

EU個人データ保護規則(GDPR)―制定の経緯と手続

欧州連合(EU)で、2016年4月27日に、欧州議会と理事会が個人データ保護規則を決定しました。
施行は、2年後の2018年5月25日です。
理事会が規則案を提案してから正式に決定するまで約4年かかりましたが、現在の法枠組みであるEUデータ保護指令からの大きな変更もあり、ヨーロッパでビジネスを展開する日本企業にとっては、内容を確認しておきたいところです。
制定の経緯と手続を見ていきましょう。

現在の法枠組み:EU個人データ保護指令

EUの個人データ保護といえば、EU個人データ保護指令を思い浮かべる方が多いのではないでしょうか。2018年5月24日までは、EU指令が効力を有しています。
1995年に立法されたEU指令の正式名称は、DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(個人データの処理に係る個人の保護及び当該データの自由な移動に関する1995年10月24日付け欧州議会と理事会の欧州共同体1995年46号指令)です。以下、EU指令と呼びます。

指令の中に欧州共同体(EC)という名称が出てきますが、ECについてはミニ知識を参照してください。

EU指令の英語の条文はこちら
堀部政男研究室の和訳が総務省のウェブサイトに掲載されています。

続きを読む →

欧州評議会条約108号の改正

欧州連合(EU)の個人データ保護と異なり、欧州評議会(Council of Europe)の個人データ保護は注目を集めていませんが、現在、個人データの保護を定めた条約108号を現代化する改正が行われています。
条約108号がEU個人データ保護指令、そして最近採択されたEU個人データ保護規則と比べて注目を集めていない理由の一つは、EUの法令の方が厳しい基準を採っているため、EUの基準を満たしていれば、必然的に条約108号の基準を満たすことになるという関係にあるからではないかと思われます。
しかし、条約108号は最も早く法的拘束力を持つ個人データ保護の枠組みを示した条約ですし、欧州評議会の加盟国はEUとは異なりますので、その改正もフォローしておきたいところです。特に、日本は欧州評議会のオブザーバー国で、条約108号の改正に関する会議にも出席しています。

欧州評議会条約108号

欧州評議会では、閣僚委員会が1980年9月17日に、個人データの自動処理に係る個人の保護に関する条約(条約108号)を採択しました。英語名は、Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data といいます。
同条約は、1981年1月28日に各国の署名に付され、スウェーデン(82.9.29)、スペイン(84.1.31)、ノルウェー(84.2.20)、フランス(83.3.24)、ドイツ(85.6.19)の5か国の批准により、1985年10月1日に発効しました。

1999年6月15日に、リスボン条約に伴う改正が行われました。

2001年には、監督機関および越境データ流通に関する追加議定書(Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows)を採択し、各国の署名に付しています。スウェーデン(01.11.8)、スロバキア(02.7.24)、ドイツ(03.3.12)、チェコ(03.9.24)、リトアニア(04.3.2)の5か国の批准により、2004年7月1日に追加議定書が発効しました。2016年8月31日現在で加盟国47か国と非加盟国3か国が批准しています。

続きを読む →