5 この法案は、2017年6月21日の英国女王の演説(Qeen’s Speech)で発表された。それは、2017年保守党宣言(2017 Conservative Manifesto)で作成された1998年法を更新する約束を実行に移すものである。法案は、ますますデジタル化された経済と社会のニーズを満たすために、英国の情報保護法を近代化している。2017年8月24日、政府は「今後の英国の個人データの交換と保護(The exchange and protection of personal data – a future partnership paper)」を発表した。これは将来の取引関係において英国にとってデータの自由な流れがなぜ不可欠であるかを説明する将来の政策方針書である。
6 現在、英国はEU加盟国のままであり、EU加盟国の権利と義務はすべて引き続き有効である。英国がEUを離脱するとき、”GDPR”は議会の前に現在の欧州連合(離脱)法案の下で英国の国内法に組み込まれことになろう。
7 個人情報は、ますますインターネットや国際的な環境のもとで保存、処理、交換されている。したがって、情報保護基準が国際レベルで一貫していることが必要である。欧州評議会(Council of Europe)は、1981年5月14日に英国が署名した「個人情報の自動処理に関する条約(Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data )(「条約第108号」)」を締結した。同条約には、欧州評議会の加盟国以外の国々へも開かれており、2017年11月1日、チュニジアは同条約の第51番目の参加国になる。欧州評議会は、「個人情報の処理に関する個人の保護に関する近代化条約(modernised Convention for the Protection of Individuals with Regard to the Processing of Personal Data)(「近代化条約第108号」)」を準備中である。
8 したがって、英国の情報保護法は、国際的なデータ保護の取り決めと連動する必要がある。1998年法は、「EUデータ保護指令(指令95/46 / EC)」を適用した。2018年5月25日に”GDPR”が完全適用される場合、同指令は置き換えられることになる。
9 法案は全7編で構成されている。第1編には予備事項が含まれている。第2編には、法執行と情報サービスによる処理を除いて、”GDPR”基準をEUの能力外の分野(「適用されたGDPR」制度)にまで拡大する規定が含まれている。法案および”GDPR”は、明確かつ一貫したデータ保護体制を構築するために、英国における大部分の情報処理に実質的に同じ基準を適用している。また、”GDPR”の例外を規定するいくつかの例外規定(derogations)を明らかにする。第3編には法執行での情報処理の規定が含まれ、第4編には同様に英国の情報機関(intelligence services)による情報処理のための機能を定める。残りの部分は、第6編は英国情報保護コミッショナー(以下、「コミッショナー」という)制度の継続、第5編は法執行、その他の編は犯罪取り締り、罰則、および補足規定を定める。
(2) EU一般データ保護規制 (GDPR)と法案の比較
10 この法案に見られるような政府の立法意図を完全に理解するためには、”GDPR”の制定の背景をより広く理解する必要がある。
(A) 情報保護の新たな定義と範囲 (Definitions and scope) 11 ”GDPR”は、情報保護法の範囲を定める定義のいくつかを変更する。1998年法と同様に、”GDPR”は「個人情報(personal data)」に適用される。”GDPR”の定義はより詳細であり、コンピュータのIPアドレスなどのオンライン識別子などの情報も個人情報になる可能性があることが明らかにしている。より広範な定義は、個人情報を構成するための幅広い個人識別情報を明示的に提供し、技術の変化や組織が人々に関する情報を収集する方法を反映している。また、仮名・匿名化された( pseudonymised)個人情報(例えば、キーコード化データ)は、仮名を特定の個人に帰属させることがどれほど困難であるかに応じて、”GDPR”の範囲内に収まる可能性がある。
1998年法は、人種、政治的意見、労働組合の会員の地位、健康、性生活および犯罪記録に関する個人情報を含む「機密データ」に関する追加のセーフガードを提供している。”GDPR”は、機密性の高い個人データを「個人情報の特別なカテゴリー」と言い及ぶ。これにより、遺伝学的データと個体を一意に識別するために処理されるバイオメトリックデータを具体的に含めるための追加的な保護手段が拡張される。刑事犯罪に関する個人情報などは含まれていないが、公的機関の管理外のこの情報の処理は、保護措置を規定する国内法によって許可されなければならない。
(B) データ保護の原則 (Data Protection Principles)
13 1998年法は8つのデータ保護原則を定めており、これは主に以下の比較表に示したように”GDPR”にも引き継がれている。また”GDPR”は1998年法にない「説明責任原則」を新たに定めた。いずれにしても、わが国でも両者の比較は今後の法規制を検討するうえで参考となろう。
なお、GDPRの諸原則欄の文言はGDPRの原文のままではない。英国議会立法事務局が比較する観点から改めてまとめたものである。
(C) 処理の合法性(Lawfulness of processing)
- GDPRの下で個人情報を処理するための合法的な基礎を得るための主な手段は、データが関係する個人の「同意」を得ることである。”GDPR”の下での「同意」は、個人の希望を自由に与え、具体的で、情報に基づいて明確に示したものでなければならない。明確に肯定的な行動が必要である。この「同意」は、無言(silence)、「あらかじめ選択されたボックス」または「非活性化から推論すること」は該当しない。この「同意」はまた他の利用規約とは別に行わねばならず、さらに「同意」を取り消すための簡単な方法も提供することが要件となる。
15 「同意」を与えうる人は、なぜ”GDPR”が親または保護者が情報社会サービスを使用して、若い子供たちに代わって個人データ処理に同意を与える必要があることの理由を尋ねられているかを理解できる一定のレベルを持つ必要がある。この「情報社会サービス」には、一般に商用サイトが含まれるが、この用語は、通常、遠隔地で、電子的手段により、かつサービスの受手の個々の要求で報酬のために提供されるサービスとして定義される (EU 指令 2015/1535 第1条(1)(b)参照)。
16 個人情報の処理を可能にする唯一の方法は、「同意」だけではない。また、契約上またはその他の法的義務がある時は、明示的な「同意」なしにデータを処理することができる。 個人情報は、公共の利益のために実行された任務の実行または管理者に与えられた公的権限の行使のために、必要な場合には同意なしに処理することができる。
17 1998年法と同様に、もはや公的機関に依存することはできないが、個人情報は「正当な利益」があるところでは処理しうる可能性がある。「正当な利益」としては、直接的なマーケティング目的のための処理や不正行為の防止の場合がある。ネットワークと情報のセキュリティを確保し、公的機関への公安に対する犯罪行為や脅威の報告を目的としたクライアントや従業員のデータ処理を含む、内部管理目的のための一連の事業体内での個人データの送信などである。
18 情報主体の明示的同意が得られない場合、個人情報および犯罪データの特別なカテゴリーに対してデータが合法的に処理される場合には、さらに限定的な制限がある。
(D) 個人の諸権利
19 1998年法における個人のデータに対する権利は”GDPR”に引き継がれたが、場合によってはこれらがさらに強化され、以下の表に記載されているように追加された。GDPR第3章が当該規定を置く。なお、下記表の”GDPR”の各条文は筆者が補足した。
**************************************************************************************
Copyright © 2006-2017 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
コメント
コメントを投稿