スキップしてメイン コンテンツに移動

欧州委員会はEU司法裁判所のシュレムス事件判決(セーフ・ハーバー協定の無効)を受けたガイダンス等を発布

 

 筆者は、11月5日付け福田平治ブログ「EU-米国の個人情報移送に関する協定(「アンブレラ協定」)に見るプライ バシー保護の抜本見直し(その1)」、 「同(その2完)」および11月6日 星野英二ブログ「EU・米国のセーフ・ハーバーは無効化され たが、おそらく破壊されない!」において10月6日の欧州司法裁判所(CJEU)のシュレムス判決を受けたセーフ・ハーバー協定のEU機関や人権擁護団体さらには英国の情報保護機関等の問題指摘や企業として考えなければならない点をまとめた。 

 しかし、実際そこで紹介した論点は必ずしも明確でなく、読者の中にはどのように受けためたらよいか、迷うものが多かろう。 

 筆者も、その点特に「拘束力のある企業グループ内準則(Binding Corporate Rules:BCR)」や「標準契約条項(Standard Contractual Clauses )」の効力は今後どのように解されるのか、またEU指令第29条専門家会議(以下「第29条会議」という)の検討スケジュール等はどのようになっているのかなどが極めて気になっていた点である。そのなかでEU側の協定交渉の当事者である欧州委員会は11月6日、 「プレスリリース」 「委員会事務連絡(Communication)」および「Q&A」を公表した。

 今回のブログは、欧州委員会のリリース文を詳しく解説した米国ローファーム(注1)の中からInside Privacy(Covington & Burling LLP)サイトの解説と欧州委員会サイトの原文を適宜抜粋のうえ仮訳する。 

1.欧州委員会の欧州司法裁判所の判決を受けた事務連絡やQ&Aを発布

  欧州委員会は、シュレムス事件(事件番号C-362/14)に係る(本ローファームの以前のブログ投稿を参照)の10月6日の欧州司法裁判所の判決を受けて、EUから米国に向けた個人データの移送に関するガイダンスとなる「委員会事務連絡(Commission Communication)」と「Q&As」を発布した旨プレス・リリースした。 

 概していうと、同ガイダンスは現状を確かめ、第29条会議、加盟国のデータ保護当局(「DPAs」)の代表から成るプライバシーに関するEU諮問機関、EU加盟国のデータ保護当局(DPAs)、EDPS(注2)、EUおよび欧州委員会の既存のガイダンスを要約する。そして、第29条会議10月16日(我々の前のブログ投稿をここで見ます)についての記述である。最も特に、データフローを認可している代わりのツールがまだ第三国(それから更なる委員会が更に詳細にこれらの代替ツールの各々説明する米国を含む)に合法のデータ転送のために会社によって使われることができるという見解の下で、本委員会は第29条会議に参加した。 

2.SSCsやBCRsの扱いに関する委員会の考え方

(1)「標準契約条項(Standard Contractual Clauses :SSCs):現在、本委員会決定が承認した3セットのSCC(注3)がある。委員会決定が加盟国で完全に拘束しているので、SCCを契約に取り入れることは国家保護当局が原則としてそれらの条項を受け入れなければならないことを意味する。言い換えると、認可が国内法令のもとに必要とされる所で、国家保護当局は、原則として自動的にそのような認可を授けなければならない。これは、全国データ保護当局(以下「DPAs」という)の既得権を侵害しない。SCCを除いて、会社は特別契約の約定にも頼るかもしれない。そして、それはケース・バイ・ケースでDPAsによる承認を必要とする。 

(2)拘束力のある企業グループ内準則(Binding Corporate Rules :BCRs)(注4 ):BCRsは、EUデータ保護指令(EU指令95/46/EC)の第26条(2) (注5)の下で移動条件の迎合性を確実にするための代わりのツールである。大部分のEU加盟国の法律のもとでは、BCRsを基礎としたデータ移送は、多国籍企業がデータ(この承認プロセスは『相互認承』と『協力』手順によって用意になった)を転送予定である各々の加盟国のDPAsによって認可されなければならない。

 (3)規範の逸脱:個人データも指令95/46/ECの第26条(1)で述べられる明白な同意、契約の履行の必要性、その他を含む規範の逸脱の1つを使って移送されるかもしれない。本委員会ガイダンスは本質的に第29条会議の既存のガイダンスと最高の実務慣行と同じことを言う。 

(4)本委員会ガイダンスに従うと、代替の合意ツールに対する依存度は、2つの条件の影響を受ける。

 当初のデータ収集と処理は、第一的に合法的でなければならない。

  また、データ・コントローラは、代替のツールを使用するとき、個人データが効果的に保護されていることを確かめる役割を果さなければならない。10月16日の第29条会議の声明と同様に委員会はコントローラがSCCまたはBCRsによって与えられるそれらを補うためにさらなる安全装置をとる必要があると考える。そして、「データ移送を停止するか、契約を解除するという可能性への技術的、組織化されたビジネスの典型的な関連した法的方法」に言及する。 

3.適性ありとされる第三国に関する適切な決定

  本委員会は、シュレムス判決が委員会のセーフ・ハーバー決定に限られていることを思い起こす。しかし、欧州委員会がEU指令95/46/EC(リスト(2010年2月5 日欧州委員会決定「Decision updating the standard contractual clauses for the transfer of personal data to processors established in non-EU countries」)参照)の第25条(6)に従って第三国問題に関し発したすべての他の適切性決定がそれをCJEUが無効と判断したセーフ・ハーバー決定の第3条でそれと同一のDPAsの効力に対する制限を含む点に注目する。したがって、CJEUが要求したので、委員会はすべての既存の適切性決定においてその供給に代わっている決定を準備し、また、さらに既存および将来の適切性決定についての定期的な評価に取り組む。 

4.セーフ・ハーバーに関するEUと米国の交渉の行方

 本委員会の見解において、米国への個人データの移送に対する更新されかつ堅牢なフレームワークは、重要なプライオリティーのままである。本委員会は3ヵ月以内に大西洋を横断する個人データ移送のために新しい取り決めに関する交渉を米国政府で終わることを希望している。そして、第29条会議が2016年1月末まで暗黙のうちに与えた『猶予期間』の終わりと時期が同じである。もし、2016年1月末までには米国当局で適切な解決案が見つからないならば、EU加盟国のDPAsが法執行行動を開始するかもしれないというリスクが依然残る。

***********************************************************************************::**

(注1) 欧州委員会のリリース内容の米国のローファーム解説として代表的なものは次のとおりである。

・2015.11.6 Technology Legal Edge 「Safe Harbor: European Commission issues guidance to clarify the EU-US data transfer conundrum 」 

・2015.11.6 Privacy Law Blog「The European Commission Issues Guidance on Alternative Cross-Border Data Transfer Tools 」

・2015.10.16 Proskauer Rose LLP「Article 29 Working Party Issues Statement Following Landmark CJEU Safe Harbor Ruling」

・2015.11.6 McDermott Will & EmeryのOf Digital 「Interest「Safe Harbor Update: European Commission Reaffirms Commitment to a Safe Harbor Sequel 」 

(注2) EDPSについては、2012年9月24 日の星野英二ブログ「EUの個人情報保護監視機関(EDPS)が欧州委員会の諮問に応えプライバシー規則案の改善 に向けた意見書を提出」等を参照されたい。 

(注3) 3セットとは具他的には次のとおりである。なお、より詳しくは欧州委員会司法担当委員サイト「Model Contracts for the transfer of personal data to third countries」を参照されたい。

1.(EU-controller to (Non-EU/EEA)controller

Decision 2001/497/EC:SetⅠ

Decision 2004/915/EC:SetⅡ

2.(EU-)controller to (Non-EU/EEA)processor

Decision 2010/87/EU(and repealing Decision 2001/16/EC  

(注4)「拘束力のある企業グループ内準則(Binding Corporate Rules:BCR)」とは、データ保護の十分なレベルを提供しない国にある事業体に同じ同一企業グループ内での個人データの国際的な移動に関して、その世界的戦略ポリシーを定める多国籍グループによって採用される内部準則(例えば、行動規範等)をいう。(欧州委員会の司法担当サイトの解説を筆者が仮訳)

  2013年9月16日 星野英二ブログ「欧州委員会がクラウド・コンピューティングの 信頼性強化と安全・公平な契約条件等の策定 専門家グループ募集」の(注6)参照。

なお、BCRに関し多くの解説を加えている慶応義塾大学の新保教授の訳語「拘束力を有する企業の内部規程(Binding Corporate Rules(略称:BCR))」は、首相官邸サイトの資料だけに、その意味がやや分かりにくい点が気になる。

 (注5) EU指令(95/45/EC)第26条2項の原文を引用する。

Without prejudice to paragraph 1,a Member State may authorize a transfer  a

Set of transfers of personal data to a third country which does not ensure an

Adequate level of protection within the meaning of article 25(2), where the

Controller adduces adequate safeguards with respect to the protection of the

 Privacy and fundamental rights and freedoms of individuals and as regards the

Exercise of the corresponding rights ;such safeguards may particular result

from appropriate contractual clauses.

*****************************************************************.

Copyright © 2006-2015 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...