最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  (H) 情報保護コミッショナーの法執行権と刑事罰  48 英国の情報保護コミッショナー(ICO)は、英国の情報保護監督当局の責任者である。コミッショナーは、もともと「1984年データ保護法（Data Protection Act 1984）」によって提供されていた情報保護登録機関であった。1998年法では、情報保護コミッショナーに改称され、2000年法によってコミッショナーの現在のタイトルが確立された。本法案は1998年法を廃止し、GDPRは監督当局の存続を規定しているが、1998年法には引き継がれる必要がある事項がいくつか存在するため、法案は関連する条項を含む。    49 個人情報を含むすべての種類のデータは、30年前とは劇的に異なる方法でアクセス、分析、送信、保存されるため、責任者を調査し、制裁する権限は時間とともに変化し、成長した。1998年法の下では、ICO監督者は執行通知のみを提出することができ、罰金を科す権限は「2008年刑事司法および移民法」にのみ当てはまり、コミッショナーは最も重大な違反行為に最高50万ポンドを科すことができた。GDPRはこれを拡大して、コミッショナーは最も重大な場合に最大の罰金18百万ポンド（2,000万ユーロ）または総売上高の4％を課すことができるようにした。本法案は、告発の形態、控訴権および控訴権の行使方法に関する情報を含む、一定の保障措置が課されることを裁判官に罰金を科す権限があることを保証する。  50 英国の情報保護法には、情報管理者の同意なしに個人情報を取得、開示、販売することに関する犯罪行為や、令状の遵守や一般市民の不正行為に関する一般的な犯罪が含まれている。 大半の訴追は、データ管理者の同意なしに個人情報を故意または無謀に入手または開示または調達に関する1998年法第55条に基づいている。最大の刑罰は金額無制限の罰金刑である。法案は、1998年法の刑事犯罪の多くを再現し、”GDPR”によってもたらされた法的枠組みの変更を説明するための変更を加え、新たな脅威に対処するための新たな犯罪を導入する。    51 2016年6月、英国の 「市民...

  (G) 英国の情報機関の情報処理とGDPRとの関係  43 英国の 情報局保安部(Security service：MI5) 、 情報局秘密情報部（Secret Intelligence Service：SIS ：MI6) 、および 政府通信本部(Government Communications Headquarters) からなる情報サービスによる個人データの国内処理は、現在、1998年法によって規制されている。 国家安全保障は各加盟国の唯一の責任であると述べる欧州連合条約第4条（2 ）(筆者注10) により、国家安全保障はEU法の範囲外である。したがって、国家安全保障活動に関連する個人データの処理および国家安全保障問題に対処する機関または機関による処理は、”GDPR”の範囲内ではない。その結果、”GDPR”の規定は加盟国の情報機関の特別な性質がゆえに適用されない。したがって、法案の第4編は、欧州評議会に基づく情報サービスによる個人データの処理のためのデータ保護体制規定を置く。    44 1998年法は現在の EU条約108(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (“Convention 108”)) と合致している。この法案の第4編は、現代化された「条約第108号」を採用し、情報サービスによって実施される個人情報の処理が将来の予測される国際基準と整合することを目指して、既存の体制を構築するものである。英国の諜報機関が既存の新興国家の安全保障上の脅威に対処できるようにする一方で、国家安全保障の背景において個人情報を処理するための規則を規定している。  45 現在、1998年法に基づいており、かつ同法と整合的をとって、法案第4編の体系は、国家安全保障を確保するために必要なときにのみ適用できる...

  (E) 一般的な処理 (General Processing) 　法案第2部第2章は、GDPR内で利用可能ないくつかの適用除外(derogations)を実行している。2017年4月12日、政府は 「EUの一般データ保護規則の適用除外に関する意見募集(Call for views on the General Data Protection Regulation derogations)」 を公表し、2017年8月7日には、受け取った各意見への回答を政府の声明と共に発表した。  ① 定義   21 GDPRに使用されている主要用語は1998年法とほぼ一致しているが、法案はさらなる一貫性を達成することが可能な場合には例外規定を利用している。GDPR第4条（7）は、個人データの処理の目的と手段を決定する法人または自然人としての「管理者」が何を意味するのかを定義する。これは1998年法と内容が類似しているが、1998年法の第1条（4）は、制定法のもとで処理が要求される場合に、誰が管理者であるかを明確にすることによってさらに進んでいる。この法案は、1998年法第1条（4）の明瞭さが保持されることを保証する。   22 「公的機関」という用語はGDPRに定義されていない。このため法案の明確さと法的確実性のため、この法案は 「2000年情報自由法（Freedom of Information Act 2000)」 と 「2002年スコットランド情報自由法」 の定義を採用している。  ② 処理の合法性 　 　この法案は、”GDPR”が提供する強化された権利を前提として、既存のデータ処理を原則継続できるようにするために起草されたものである。    24 両親や後見人という個人情報の処理に同意する者は、情報社会サービスを利用する子供のために個人情報処理に同意しなければならないと”DGPR”が規定している理由を、ある程度理解する必要がある。GDPRにより、英国は、13歳...

   5 この法案は、2017年6月21日の英国女王の演説(Qeen’s Speech)で発表された。それは、2017年保守党宣言(2017 Conservative Manifesto)で作成された1998年法を更新する約束を実行に移すものである。法案は、ますますデジタル化された経済と社会のニーズを満たすために、英国の情報保護法を近代化している。2017年8月24日、政府は 「今後の英国の個人データの交換と保護(The exchange and protection of personal data – a future partnership paper)」 を発表した。これは将来の取引関係において英国にとってデータの自由な流れがなぜ不可欠であるかを説明する将来の政策方針書である。    6 現在、英国はEU加盟国のままであり、EU加盟国の権利と義務はすべて引き続き有効である。英国がEUを離脱するとき、”GDPR”は議会の前に現在の欧州連合（離脱）法案の下で英国の国内法に組み込まれことになろう。  7 個人情報は、ますますインターネットや国際的な環境のもとで保存、処理、交換されている。したがって、情報保護基準が国際レベルで一貫していることが必要である。欧州評議会(Council of Europe)は、1981年5月14日に英国が署名した 「個人情報の自動処理に関する条約(Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data )（「条約第108号」）」 を締結した。同条約には、欧州評議会の加盟国以外の国々へも開かれており、2017年11月1日、チュニジアは同条約の第51番目の参加国になる。欧州評議会は 、「...

  　筆者は、 2016年8月13日のブログ で、「EU議会が 『一般データ保護規則(正式には「EU General Data Protection Regulation (EU)2016/679」』 (以下、”GDPR”という)」および 「法執行･司法部門の情報保護指令(Directive(EU)2016/680」 (以下「法執行指令(Law Enforcement Directive：(以下、”LED”という)」を採択した旨ならびにその内容について関係するローファームの解説サイト等を引用し、詳しく論じた。  (筆者注1)  　一方、2017年9月14日、英国政府は 「新しいデータ保護法案(Data Protection Bill) （以下、「法案」(Bill)という）」を議会に提出した。この法案は、英国の既存の 「データ保護法（Data Protection Act 1998）(以下、「1998年法」という)」 に代わるものであり、英国の欧州連合（EU）離脱(Brexit)に併せ、英国の国内法律にEUの”GDPR”を適用させることになる。”GDPR”により、EU加盟国は、法案が実施しようとしている”GDPR”の様々な条項を加盟国の法律により制定することができる。  　この法案は、英国法に”GDPR”を具体的に取り込むことに加えて、同時に欧州議会で採択された「犯罪の予防(prevention)、捜査(investigation)、取り調べ(detection)および訴追(prosecution)の目的での政府当局による個人情報の処理に関するEUの「法執行指令(Law Enforcement Directive)」  (筆者注2) を取り込んだ規定を含む。  　また、英国の情報保護機関である情報保護コミッショナー事務局(以下、「ICO」という)は、 9月 13日に「”GDPR”に基づいて情報管理者と処理者の間の契約に関するGDPR契約および責任に関するガイダンス草案(全28頁)」を公表 した（以下、「ガイダンス」という）。ICOは10月10日まで同ガイダンスの意見公募を行...