2021.8.6 Last Updated
筆者は、フランスの個人情報保護監視機関である「情報処理および自由に関する国家委員会(La Commission nationale de l’informatique et des libertés:CNIL)」の2012年3月以降のEU加盟国を代表して行ったGoogleのプライバシー・ポリシー等に対する正式質問状やGoogleの回答内容に関して、2012年3月、 同10月で詳しく紹介してきた。
その後につき、この問題は両者の見解の平行線をたどっているように見える。一方、「EU 指令第29条専門家会議(Article 29 Working Party)」(以下、「WP29」という)のうち6か国からなるEU特別調査委員会(Task Force)(以下「Task Force」という)メンバーでもあるCNILは、6月10日付けでGoogleに対し、「1978年 情報技術・データファイルおよび市民の自由権に関する法律(Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés:Act N°78-17 of 6 January 1978 on Information Technology,Data Files and Civil Libertés )」(「1978年保護法」という) (筆者注1)今後3ヵ月以内に具体的な措置を求める旨公式文書による予告通知(2013-025)を行った。
後記(筆者注5)で説明するとおり、この予告にしたがって手続きを行わないときは1978年保護法に基づく制裁がなされることになる。さらに特記すべきは、今回の制裁措置はフランスだけでなく、英国(ICO) (筆者注2)、ドイツ(ハンブルグ州情報保護・自由化委員: Hamburg ischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) 、イタリア(個人情報保護機関(Garante per la Protezione dei dati Personali:GPDP) (筆者注3) 、オランダ(情報保護機関(Dutch DPA:College bescherming persoonsgegevens (CBP)、スペイン(個人情報保護庁(Agencia Española de Protección de Datos (AEPD))といった6か国の監視機関による国際協調の一環として行われている点である。
これらのすべての国におけるGoogleに対する保護機関による制裁通知に係る法執行の内容を網羅するには、なお時間がかかる点もあり、今回はスペインの取組みのみ詳しく取り上げることとし、その他の国については各監視機関のサイトで見た参考となるリリースの要旨やURLのみ紹介するにとどめる。
1.CNILの予告通知と制裁内容
(1)2012年2月から10月の間、WP29はEUの個人情報保護法に定める実用条件に合致しているかどうかにつきチェックする目的でGoogleの新プライバシー・ポリシーを調査した。2012年10月16日の公表した調査結果に基づき、WP29はGoogleに対し4ヵ月以内に勧告内容を実行に移すよう求めた。
この期限が切れた後でも、Googleは何等重要な保護法遵守に係る手段を講じていない。GoogleとCNILが主導したTask Force間の意見交換に引き続き、フランス、ドイツ、イタリア、オランダ、スペインおよび英国の保護機関(DPAs)はGoogleに対し、法執行行為に着手した。CNILがリードした前記調査において、Googleのポリシーでは個人が自分の個人情報がいかなる方法で使用されているかを知り得ないし、またその使用をコントロールできないということから「1978年保護法(2004年改正法)」(英語版)に違反することが確認された。
このような背景に基づき、 CNIL委員長イザベル・ファルク・ピエロタン(Isabelle Falque-Pierrotin) (筆者注4)は2013年6月10日付けで、次のようなGoogleヘの改善内容を公式に決定、公表した。 (筆者注5)
①ユーザーが自身の個人情報の処理の理解が出来るよう特定かつ曖昧さのない「目的」を定義すること。
②ユーザーに対し、コントローラーが追跡する目的に関し、実行された処理フランス「1978年保護法」第5章 データコントローラー等の責任義務および個人の権利 第1節 データコントローラーの責任義務 第32条に定める法「適用」内容を通知すること。
③収集目的にとって必要な期間を超えない処理対象の個人情報の保持期間を明確化すること。
④ユーザーデータの潜在的な無制限な組合せにつき、法的根拠のない手続きを進めないこと。
⑤Googleの「ダブルクリック(Doubleclick)」(筆者注6) 、「アナリティクス(Analytics)」クッキー、 “+1 ボタン”、その他の訪問したページで利用可能なGoogleサービスの従順なユーザーデータに関し公正なデータ収集・処理を行うこと。
⑥ユーザーの端末に強力なクッキーを行う前にユーザーに通知し、同意を得ること。
本公式通知はGoogleが適用すべき具体的な手段を代用することを目的とするものではなく、むしろGoogleがビジネスモデルまたは革新的能力の妨げることなしに法律の諸原則の遵守させることを意図するものである。
もし、Googleが本公式通知が定めた期限までに遵守しないときは、CNLの特別委員会は1978年保護法違反の責任を問うべくGoogle社に対し、制裁措置を行う。
本制裁措置に関し、フランス以外のTask Force参加5ヵ国は次の国際協同行動に関する調査を実行する。
①スペイン:6月10日、スペインの情報保護法の主要規定違反を理由に制裁手続きに入った旨発表した。
②英国:Googleの新プライバシーポリシーが英国の「1998年保護法」の遵守問題を検討してきており、予備段階で明らかとなった問題点につき近々、Googleに対し確認書面を送る予定である。
③ドイツ:ハンブルグ委員会はGoogleに対し公開行政調査手続きを開始した。すなわち、Googleに対しドイツの保護法令の遵守するための適用手段を求める行政命令の先行手続きとなる行政手続法に基づく「公聴会」を開始した。
④オランダ:DPAはGoogleに関する法執行調査の一環として、予備調査段階で明らかとなった点に関する「第一次機密報告書」を発行し、その中でGoogleに対する質問事項を述べる予定である。制裁内容の判断については、詳細報告書を使用する予定である。
⑤イタリア:GPDPは、5月末にGoogleに対する公開聴聞手続きを開催後、Googleからの追加的な詳細説明を待っている状態にあり、近々イタリアの制裁保護法の下で適用可能な法執行手続きを決定するため関係事項の調査を行う予定である。 (筆者注7)
(2)今回のCNIL決定の結論部分
今回の正式決定の遵守期限内に、もしGoogle社が本通知に即した遵守手続を取ったときは、本手続きは終了したものとみなし、その旨の通知を送付する。他方、Google社が同社のプライバシー・ポリシーでカバーされるすべてのデータ処理にかかる正式通知内容を遵守しなかったときは「1978年保護法(2004年改正)」第7章第45条 (筆者注8)に基づきCNL報告者(rapporteur)が指名され、CNIL特別委員会(la formation restreinte)による聴聞手続きを踏まえた制裁処分が行われる。
2.「ハンブルグ州データ保護・自由化委員」がまとめた29条専門家会議の取組みとTask Forceの懸念に基づく緊密な連携活動
今回のブログの原稿を作成する段階で各国の情報保護機関のリリース等を確認したが、フランスや英国を除くと今一明確な取組み姿勢が読み取れなかった。その中で「ハンブルグデータ保護・自由化委員」のリリース「2013年4月2日、グーグルのプライバシー・ポリシーにつきEU特別調査委員会(Task Force)がEUレベルでの手続き内容から見た再精査を実施」は短い内容ではあるが、論点を明確に示していた。
そこで、その内容を仮訳しておく。
・「ハンブルグ・データ・プライバシー・自由化委員」は、このほど処理対象であるGoogleユーザの個人情報データに関するGoogle社の現行の実務慣行を再検討するというEU側の意思をGoogleに伝えた。 これらに一連の行動の背景は、2012年3月にGoogleによって実施された新しいプライバシー・ポリシーである。 それらはEU指令第29条専門家会議(以下「WP29」という)においてEUレベルとして集約化されたEU加盟国の国家データ保護当局によって述べられていた大きな懸念にもかかわらず、これを実施した点である。
・Googleは、Googleの数多くのサービスにおける各個人ユーザから包括的に情報を収集し、かつすべてのサービス横断的に特定の目的をもって無制限に収集したデータを評価する権利それ自体につき事実を認める。 これらの新しいグーグル・プライバシー規則によると、Googleが手広くそれらの影響を受けることができる人のプロフィールの創造への重要な貢献が方法においてユーザによって提供されたデータを意図的に評価することが可能となる。 特にGoogleが定める曖昧なガイドラインによっては、ユーザーは彼の「同意」の範囲と内容について自身のデータの処理結果を見通すのは完全に不可能といえる。
・事実、Googleにより大部分が無視されたWP29の勧告内容は、EU加盟国の情報保護監視機関にとって大きな懸念の源の1つである。 したがって、各国監視当局はそれぞれの国家の監督官庁が介入の可能性が与えられることになっている一定の手続きの連携方法につき合意した。 主導的立場をとるフランスの監督官庁(CNIL)とイタリアの監督官庁と並んで、オランダ、スペインとイギリスおよびハンブルクデータ・プライバシーおよび自由委員会は、この共同推進手続きのために設立された特別調査委員会のメンバーになるであろう。
・ハンブルク州データ・保護・自由化委員であるヨハン・カスパー(Johannes Caspar)は次のとおり述べた。
「フランスのCNILに詳細な分析は、事実Googleによるユーザのデータの処理に関する新しい規則(プライバシー・ポリシー)が正しく法的根拠に基づいているかどうかに関しては、29条委員会が過去数カ月に危惧を引き起こす過程の上で集約化された。
様々な国家の法令により認められた約款の評価基準に従って、Task Forceのメンバー国は、現在、これを見直すであろう。 データ保護への懸念が確認されれば、適切な監督施策が個々の加盟国で実施されうるということである。」
3.スペインにおけるGoogle問題
わが国では、スペインの情報保護法制度に関する詳細な解説は皆無といってよい。また、知られていないがEU加盟国中、厳格な保護規制国でもある。
時間の関係で限りがあるが、筆者が調べた範囲で解説を試みる。なお、参考としてスペインの情報保護法制度につき正確にリンクが出来ている米国の人権擁護NPOであるEPIC(Electronic Privacy Information Center)等のサイト情報を適宜引用しておく。
(1)スペインの情報保護法制の基礎知識
A. スペイン個人情報保護庁(Agencia Española de Protección de Datos (AEPD):Spanish Data Protection Agency)
8頁の英文のブックレット“Spanish Data Protection Agency”がある。個人情報保護にかかる法令の遵守状況を監視する法執行機関で、行政機関から完全な独立性をもつ政府機関である。その主要部分を仮訳する(リンクは筆者の責任で行った)。
・AEPDは1993年3月26日の国王令第428号(Royal Decree 428/1993)により設立され、個人情報保護法たる「1999年Organic 法(法律第15号)( Ley Orgánica de Protección de Datos de Carácter Personal:LOPD)」6編35条(Artículo 35 Naturaleza y régimen jurídico :Data Protection Agency Article 35. Nature and legal status)に基づき改正がなされた。
この改正は、EU保護指令たるDirective95/46/ECに基づき行われたものである。 政府機関(AEPD)は「1978年スペイン憲法」18条「名誉とスペイン国民の個人および家族のプライバシーを保護するために情報の使用を制限するものとする。裁判所命令がある場合を除き郵便および通信の機密は保護される。これらの権利を保証するため、本法は個人情報の使用を制限する」という文脈において創設された。
Section 18
(1) The right to honour, to personal and family privacy and to the own image is
guaranteed.
(2) The home is inviolable. No entry or search may be made without the consent of the householder or a legal warrant, except in cases of flagrante delicto.
(3) Secrecy of communications is guaranteed, particularly regarding postal,
telegraphic and telephonic communications, except in the event of a court order.
(4) The law shall restrict the use of data processing in order to guarantee the honour and personal and family privacy of citizens and the full exercise of their rights.
B.スペインの情報保護に関する参考検索データ
・AEPDの保護法令・決定等検索専門サイト(英文版)
・AEPDの「ORGANIC LAW 15/1999 of 13 December on the Protection of Personal Data」の立法経緯および国王令の全文検索サイト
C. 欧州委員会のEUの加盟国の保護機関向けのデータ「加盟国の情報保護法」のスペイン:ORGANIC LAW 15/1999 of 13 December on the Protection of Personal Data
D. 米国プライバシー擁護NPO団体EPICがまとめた「Privacy and Human Rights Report 2006(国別)」の中でスペインの個人情報保護体制に関し詳しく解説するとともに、基本的に参照すべきURLが明記されている。
(2)スペイン憲法裁判所(Tribunal Constitucional:TC)とAEPDの決定の意義
欧州大学院(EUI) (筆者注9)の博士研究員Cristina Blasi Casagran およびIT・情報保護専門弁護士Eduard Blasi Casagran の共著小論文「Google’s obligation to de-index Constitutional court decisions published in the Spanish Official Journal」(全7頁)がよくまとまっている。導入部分を仮訳する。
・この点で、Googleに対する訴訟数に関する限り、スペインはEU加盟国中多い国の1つである。スペイン情報保護庁(AEPD)は、憲法裁判所が極めて首尾よく行ってきたのと同様に、スペイン法およびEU法の両者が定める情報主体のアクセス権、削除権、訂正権、異議申立権につき法的な執行力を保証してきた。
・しかしながら、AEPDには、常にスペインの官報で発行されるスペイン憲法裁判所の判決の索引に関して悩みの種があった。
・それらの裁判事件に関して、AEPDは常に憲法裁判所(AEPDでなく)のみがGoogle Indexからそのような情報を削除できるか否かを決める唯一かつ十分な権限を持つ機関であると考えていた。 驚いたことに、この解釈は2012年3月31日AEPDの論証(R/00645/2012)において変更された。 すなわち、初めてAEPD自身は、Googleに異議を唱える法的資格(とりわけGoogleにより「インデックス削除(de-indexed)」されたA)憲法裁判所判およびB)官報において宣言された情報に関し)を有する旨の決定を下したのである。
・本稿は、以下の2つの部分でこの決定内容を分析する。まず最初に、AEPDがインデックス削除情報に対し関与してきた従来の事件内容を示す。第2に、憲法裁判所の判決で示された反対する権利の法執行面の制約と、AEPD決定がいかなる形で従来のスペインの判例法において変化を引き起こしたかを論じる。
(3)今回のGoogleの新プライバシー・ポリシーに対する制裁内容
AEPDは、2012年に導入されたGoogleのプライバシー・ポリシーにつき調査した後にサーチエンジン、Gmail、Google+ソーシャルネットワーキングプラットホーム、およびユーチューブを含むその他のサービスを横断的にユーザの活動を追跡するのを可能にしたと述べた。
これを受け、スペインAEPDは6月10日、5つの重大な保護法違反を理由とする制裁手続きを立ち上げた。AEPDは、1つの軽微な違反に対し最高40万ユーロ(約5,080万円)の罰金刑に相当する違反の事実証拠と同様に、各違反行為に対し最高30万ユーロ(約3,810万円)をもって罰金を科する事実を明らかにした。
なお、2013年12月19日にAEPDはGoogleに対し3件の保護法違反をもって合計90万ユーロ(約1億1,160万円)の罰金刑を科した旨リリースした。(2019.3.23追記)
******************************************************************************************************************
(筆者注1)
“Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés”の訳語について改めて考えたい。というのはわが国の専門家による訳語が内容的にみて正確性を伴っていない点があるからである。
確かに仏文科の学生なら「1978年情報処理・データおよび自由に関する法律」という訳語で合格しよう。しかし、ここで問われているのは立法時のコンテンツに基づく訳語であり、時として意訳となるかも知れないが、この場合、立法者の考えを的確に反映した一定範囲での意訳は許されると思う。
その意味で、筆者はフランス法の政府公式サイト“Legifrance gouv.france.”サイトやCNILの法注釈サイトで同法の原文および注釈(Texte annoté)を再度読んでみた。CNILサイトの英訳が「情報技術・データファイルおよび市民の自由権に関する法律」としている背景が理解できよう。仮訳する。
〔第1条注釈〕
情報技術(IT)は、すべての市民のためのサービスである必要がある。その開発は、国際的な協力の枠組みの中で行われなければならない。情報技術は、人間のアイデンティティ(自分は何者かという自己同一性)、人間としての権利、プライバシーまたは個人や公共の自由権を損なってはならない。
〔第2条注釈〕一部抜粋
本法律は、個人情報ならびに個人情報の非自動化処理の処理と同様な自動処理またはコントローラーが行うが第5条に定める条件を満たす純粋に個人的な処理の場合を除き、データ・ファイルに含むことを意図した処理に適用される。
(筆者2) 英国ICOのGoogleに対する制裁措置は遅れているわけではない。筆者が独自に調査した結果では、6月21日付けで「Further action for Google over Wi-Fi data collection」という罰金制裁措置を行う代わりにGoogeの専用車に保持されている個人情報の35日以内の完全削除を命じる「法執行通知」を発した旨リリースした(通知の原本参照)。この問題は、ICOがイギリス国内のGoogleのStreet View車から収集したペイロードデータ(伝送されるパケットのヘッダー部を除いたデータの本体)の収集を行い、さらにその結果ファイルを保持、Google本社に供給したという問題である。(詳細は、英国ローファーム・ブログ:Out-Law「Google escapes fine from ICO over Street View data collection and retention failings」参照)
ICO法執行部門代表であるスティーブン・エッカスリー(Steve Eckersley )は、以下のとおりコメントした。
「本日のICO法執行通知はICOが従来から取ってきた行動を強化する、すなわち35日以内に2012年に特定されたグーグル撮影車に残っているペイロードデータを削除するとともに、さらの何か一層のディスクが見つけられるかどうかを直ちにICOに通知するというGoogleの法的必要条件を課すものである。仮にGoogleが本通知を遵守しないときは、法廷侮辱罪(contempt of court)みなすことになる」。(法廷侮辱罪は刑事罰の対象)。
なお、2013年4月に ハンブルグ情報保護・自由化委員の制裁実施はGoogleに対し、2008年から2010年の間にグーグル(Street View)撮影専用車が公開WiFiネットワークを介して収集したEメールやパスワードの保存行為は、ドイツ保護法違反であるという理由により行われた。その他のEU加盟国の制裁内容については、IAPP(International Association of Privacy Professionals)の解説記事参照。
(筆者注3) イタリアGPDPは、6月20日に他のEU加盟国5か国とともにGoogleに対する追加調査を行う旨リリースした。その要旨を一部仮訳する。
「GPDPは2013年4月に米国企業であるGoogleに対しイタリアの個人情報保護法の遵守状況の調査のため引き続きの行動を行った。米国カリフォルニア州マウンテン・ヴューに本部を持つGoogleに対し、イタリア国民のユーザーのいかなる個人情報の保有しているか、とりわけGoogleが保有する個人情報の内容および本人の同意につき、より拡大しより正確な範囲で調査を行った。加えてGGPDPが適切と思われる追加的証拠の調査を行い、もしそれらが不適切と推定されるときは実務慣行的として認めるかまたは制裁の対象になる。
今年の4月のGPDPのリリース(筆者注9 参照)を思い出してほしい」
(筆者注4) Isabelle FALQUE-PIERROTINは、国立行政学院(ENA)の卒業後、国務院(Conseil d'État)の部長職、2009年2月にCNILの副委員長に任命、2011年9月に委員長に指名された。対外活動にも積極的である。例えば、2012年5月8日 開催「IT FOR BUSINESS FORUM 2012」のゲスト・スピーカー、2012年12月14日 TV番組BMF Business「le 20h30」のインタヴュー等は理論家としての面白い発言がうかがえる。
なお、CNIL委員長は2019.2.1 国務院出身のMarie-Laure DENISに代わっている。
Marie-Laure DENIS 氏
(筆者注5) フランス個人情報保護法の特色は、独立行政委員会( autorité administrative indépendante )であるCNIL(情報処理および自由に関する国家委員会)に、強力な規制権限を認める点にある。1978 年法は、CNIL が独立行政委員会であることを明記し(11 条)、委員はその権限行使に当たり、いかなる機関の指揮も受けないと定める(21 条1項)。
・CNIL は、以下の委員(計17 名)で構成される(13 条Ⅰ)。いずれも任期5年で再任が
可能である(13 条Ⅱ)。委員は、委員会が認めた支障がある場合を除き、解任されない(13条Ⅱ)。なお、2009 年2月4日に、新委員が、前任者の任期切れとともに、新たに任命されている。
1)議会上院(le Sénat)・下院(L’Assemblée nationale)各2名
2)経済・社会・環境評議会(Conseil économique, social et environnemental )の委員2名
3)コンセイユ・デタ(国務院:Conseil d'État)の現職又は元裁判官2名
4)破毀院( Cour de cassation )の現職又は元裁判官2名
5)会計院( Cour des comptes )の現職又は元裁判官2名
6)有識者15 名上下院議院各
(中略)
(2)義務違反行為に対する制裁権限
本法の定めに反する行為は、刑事罰の対象となるほか(50 条、51 条)、以下のようなCNILによる制裁の対象となる。
(2)-1 通常の制裁
1)警告(45 条Ⅰ)
2)処理中止の指示(45 条Ⅱ)
3)指示に従わない情報処理責任者に対する制裁として、
(a)過料(45 条Ⅰ①)。過料額は、15 万ユーロ(約1,900万円)あるいは30 万ユーロ(約3,800万円)以下、あるいは、30 万ユーロを上限とした総売上額の最大5%(47 条)
(b)届出の対象となる処理の中止命令(45 条Ⅰ②)
(c)CNIL による許可(前述2(1)①(1)-2-2)がなされている場合は、その取消し(45 条Ⅰ)
(消費者庁「諸外国等における個人情報保護制度の実態調査に関する検討委員会・報告書(平成20年度)」(2)フランスの解説文から一部抜粋(正式名や内容の見直し、リンクおよび円換算等は筆者の責任で行った)
(筆者注6):Googleの“DoubleClick”とは、デジタル広告掲載を包括的に強化すべく世界中のデジタル広告の購入者、作成者、販売者を対象に、デジタル広告の作成、取引、管理をサボートする広告技術プラットフォームをいう。
(筆者注7 )イタリアGPDPの2013年4月2日付けリリース要旨(仮訳)
「GPDPは、他の加盟国5カ国(フランス、ドイツ、オランダ、スペイン、英国)とWP29・特別委員会(intrapresa dalla task force)を組成し、加盟27カ国が2012年3月から10月の間に行ったGoogleの新プライバシー・ポリシーがEU保護指令(95/46/EC)に即しているか等を解析した。とりわけ、GmailとYouTubeやGoogle Maps間の無制限の個人情報の結合につき調査した。
この調査結果は2012年10月26日に公表し、各国の保護機関(DPAs)はGoogle社に対し、執行力を持つ立法の内容に即して必要な手続きといえるいくつかの変更を4ヵ月以内に行うよう促した。
この4ヵ月間の調査の終了後、Google社の代表が2013年3月19日に特別委員会を訪問し会合を開いたが、Google社が前向きに取組むと述べていたにもかかわらず改定は行われなかった。このため6か国のDPAsは緊密な協調関係を維持しつつ、更なる別途の公的な優先手続きを取ることとした。」
(筆者注8)フランス1978年個人情報保護法の原文(英語版)の該当条文(第7章第45条)原文を抜粋しておく。
CHAPTER VII: SANCTIONS PRONOUNCED BY THE SELECT COMMITTEE OF THE “COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS”
Article 45
I. – The Select Committee (“formation restreinte”) of the Commission Nationale de l’Informatique et des Libertés may, after due hearing of all parties, issue a warning to a data controller failing to comply with the obligations of this Act. Such warning shall be regarded as a sanction.
The Chairman of the Commission may also serve a formal notice to comply on said data controller to cease the non-compliance within a given deadline. In case of urgency, this deadline may be limited to five days.
If the data controller complies with the notice served, the Chairman of the Commission shall pronounce the procedure to be closed.
Should the data controller fail to comply with the notice served, the Select Committee may pronounce the following sanctions, after due hearing of the parties:
1° Financial penalty, under the conditions provided in Article 47 (amount and collection of a fine), except in
cases where the processing is carried out by the State;
2° Injunction to cease the processing, where applicable under the provisions of Article 22 (notification), or a withdrawal of the authorisation given in application of Article 25.
(筆者注9) 欧州大学院( European University Institute, EUI、伊: Istituto Universitario Europeo, IUE)は、欧州共同体加盟国がヨーロッパ社会の展望について、文化的、科学的な発展に寄与するために設立した、大学院生および博士研究員による国際研究機関。イタリアのフィレンツェに設置されている。EUIは法令により政府間機関とされている。
***************************************************************************************************************
Copyright © 2006-2013 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
コメント
コメントを投稿