スキップしてメイン コンテンツに移動

EU情報保護指令第29条専門調査委員会がEU情報保護一般規則草案に対する詳細意見書を採択

 


 標記委員会(Artle 29 Working Party)(注1)は、2012年3月23日、去る1月25日に発表された1995年の個人情報保護指令(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)に取って代わる「欧州個人情報保護規則草案(Proposal for a Regulation of the European Parliament and the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation):COM(2012) 11)」および「欧州個人情報保護指令改定案(Proposal for a directive of the European Parliament and the Council. on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data:COM(2012) 10)」に対する詳細意見書「Opinion 01/2012 on the data protection reform proposals」を採択した。

 また、Artle 29 Working Partyは2012年10月5日に「EU情報保護一般規則草案」につき更なる意見書(Opinion 08/2012 providing further input on the data protection reform discussions 」(全45頁)を採択、公表した。

 筆者は2012年5月に本ブログの原稿を下書きしていたが、多忙なこともあり、棚上げにしていた。このほど、欧州議会、欧州委員会、Article 29 Working Partyを巻き込んだ米国NSAや英国のGCHQといった情報機関の日頃の活動、とりわけ米国とEU加盟国間の個人情報の移送にかかる監視問題をブログでまとめたことなどをきっかけとして、急遽本ブログをまとめることにした。(したがって、今回まとめていない詳細項目や前述の2012年10月の追加意見書等については、改めて紹介することにしたい)


1.「欧州個人情報保護規則草案」に対するWorking Partyの意見書
(1)内容の要旨
 アイルランドの大手ローファーム“A&L Goodbody”(注2)および“Hunton & Williams LLP”(注3)の解説記事が簡潔に要点をまとめており、抜粋・引用のうえ筆者が適宜補足した。
  
A.全体的な意見
 規則案のプライバシー保護に関し次のように積極的に取り組んでいる点を評価する。ただし、規則案の個々の事項・内容については、より明確化や見直しの余地がある。
EU市民(個人)にとっての意義:事業者の個人情報の取扱いのより透明性、データへのアクセス権、利用への反対権ならびにデータの携帯性に関する保護を強化し、またデータの削除権(right to be forgotten)や各国の保護コミッショナー(DPA)や裁判所を介した補償権行使の機会を強化した。

 データ・コントローラー(data controllers)にとっての意義:プライバシー・インパクト・アセスメント(プライバシー影響度評価)を通じ、加盟国事業者における情報保護担当役員(Data Protection Officer)の任命、データ漏えい通知義務および国際的な個人情報の移送に関する保護面からの予防的取組みにより、より一貫性を強化した。
 データ処理者(data processors)にとっての意義:当該処理がクラウド・サービス・プロバイダーのようなプロセッサーがコントローラーの指示の範囲を超えるような特別な処理を行うときのコントローラーの責任を明確・義務化する。
情報保護コミッショナー(DPAs)にとっての意義:課徴金(administrative fines)を含む独立性と権限強化を定め、かつ立法的措置に関する諮問を受ける責務が与えられる。

B.規則案に関する具体的な改善,修正意見
 “Working Party”(以下、「WP」という)規則案に関し、いくつかの明確化すべき点を提起する。例えば、データ主体は第一義的に居住地の裁判管轄権を持つDPAまたは該当地のデータ処理者やデータ・コントローラー宛に権利や司法手続きに関する苦情を申し出る必要があるが、現在の規則案ではこれらのデータ主体の権利の行使手続等につき混乱や不確実性が生じる可能がある。
  
 また、規則案はDPAsが本規則に定める状況下で課徴金を課すことよりも、いつ課徴金を課すかを決定する裁量権を持つ余地を持たねばならないことを推奨する。
 しかし、WPはそのような場合に2段階の通知手続きを導入するデータ漏えい通知義務(data breach notification duty)を定めることを勧奨する。データ・コントローラーによる情報漏えい違反の通知はそれが明らかになってから24時間以内に行うべきであり、24時間以内に明確に提供できなかった情報漏えいに関しては更なる機会で行うとするものである。このことは、時宜を得た漏えい違反通知の実現に結びつく。
  
 また、漏えい通知義務はデータ主体にとって影響が小さくまた不必要にDPAsの責務を負うような場合は除くべきである。
  
 個人情報の第三国への移送(data transfer)(注4)についてのデータ主体の同意等、法的根拠の逸脱措置は、「モデル契約」、「第三国への国際データ移転のための拘束的企業準則(BCRs)」および「セーフハーバー」等、その他のより適切なデータ移送メカニズムにより保証されるべく限定的に解すべきである。
  
 “right to be forgotten”は、第三者の所有下にある場合、データ・コントローラーがすでに存在しない場合など特にインターネット環境下では狭く考える必要がある。
  
 WPはデータ主体の自由権に関し重大な影響を持つものである「プロファイリング手法」として、「ウェブ解析ツール」、「ユーザ行動の調査目的の追跡」、「モバイル端末のアプリ・ソフトによる動機の創作」や「ソーシャル・ネットワークによる個人プロファイルの創作」を包含すべきであると考える。
  
 個人の情報保護の権利に影響がある中小企業の経営負担を減少させるための例外措置に関し、WPは情報の性格や範囲を考慮すべくより適切な代替手段の閾値(しきいち:threshhold)の使用の配慮を勧奨する。
  
 WPは、規則案の第4編(EUの予算関連(Budgetary Implication))で“Recitals”(注5)につき解釈注釈の「第24項」につき次の野通りの修正を勧奨する。すなわち、第24項は個人情報の定義に関し、「ID番号(identification numbers)、位置データ(location data)、オンライン識別子(online identifiers)その他特別な識別要素はあらゆる状況下の個人情報として考えられることが必要とされない」とするがこのような定義は、例えば「IPアドレス」や「クッキーID」という個人情報の概念を過度に制限的に解釈するものといえる。WPとしてはこのような場合は「IPアドレス」や「クッキーID」は個人情報であると具体的に明記すべきと勧奨する。
  
 第27項に関し、WPは多国籍企業(EU加盟国内の企業が所有すると否とにかかわらず)の主たる設立場所につき異なる事業部門に分かれて運営している場合を含みより明確な定義を行うべきと考える。
  
 さらに、第20項では「EU加盟国内に所在しないコントローラーによる情報処理活動ならびにデータ主体の行動のモニタリングを行うべく商品やサービスの提供にともなうデータ処理に適用する」と規定する。WPはこの「商品やサービスの提供」や「データ主体の行動モニタリング」につきより明確な定義が必要であると考える。
  
 DPAsには、特にはじめての規則違反や小規模な意図せざる不履行に関し、罰金を課す独自の権限を持たせるべきである。
  
(2)WPの個別の問題指摘
 A.「 COM(2012) 11」に関し、前述した事項を含む28の個別意見をまとめている。
  主な項目を挙げる。

・The Principle of Public access to information
・Exceptions introduced for public authorities
・Minors
Right to be forgotten
Direct marketing
Profiling
Data breach notification
With regard to the role and functioning of DPAs
Jurisdiction and competence of DPAs(one-stop- shop)
EDPB(European Data Protection Board) institutional structure
International transfers
Disclosure not authorised by EU law
Right to liability and compensation
Fines
Judicial remedies
B. 「 COM(2012) 10」に関し、前述した事項を含む9の個別意見をまとめている。
 主な項目を挙げる。
Choice of instrument
Consistency
Scope of application
Data processing principles
Data subject rights
Data controller oboligations
International transfers
Power of DPAs and co-operation
  
2.以下は省略する。


**********************************************************************************************
(注1) 「EU情報保護指令第29条専門調査委員会」はEUの全加盟国の個人情報保護コミッショナーの代表からなる委員、欧州個人情報保護監察局(European Data Protection Supervisor:EDPS)および欧州委員会委員で構成されるEU機関。

(注2) 2012年4月17日に掲載した2012年3月23日の委員会の採択意見のまとめに関する同ローファームの第一次紹介レポート、また2012年10月5日のWPの追加意見書に関する解説リリースを参照。

(注3) Article 29 Working Party Opines on Proposed EU Data Protection Law Reform Package Posted on March 30

(注4) 第三国への国際的なデータ移転のための「拘束的企業準則」は、WPが策定している。http://www.caa.go.jp/seikatsu/kojin/H21report3a.pdf参照。

(注5) “Recitals”は“Whereas Clause”とも呼ばれ、Whereasで始まるいくつかの文章で、法令案の起草にいたった経緯・当事者の詳しい説明、当事者のこの契約における希望・契約の目的等を記すものであるが、概して精神条項的な規定も多い。
   
*******************************************************************************************************

Copyright © 2006-2013 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...