最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  Last Updated : January  29, 2019 　さる1月24日、プライバシー問題の専門サイト”Inside Privacy”は 「日本とEUは相互に個人データ保護の適切性に関し合意した」 と報じた。 　この問題は、わが国では2019年2月1日に発効が予定される 「日本とEU経済連携協定」 が発効する問題の裏に隠れている気がするが、逆に考えるとはたしてわが国の情報保護監視機関である「個人情報保護委員会」の法施行能力、制裁権限も含めEU加盟国と同等といえるか、かなり疑問があると思う。 　今回のブログは、前述の”Inside Privacy”blogを仮訳しつつ、1月23日の欧州委員会のファクト・シート等関係サイトにリンクを張り、この点を明らかにすることに重点を置く。 　なお、これに関し、先般フランスの監視機関であるCNILが米国googleに対し、「EU一般データ保護規則」(以下、GDPRという)に基づき最も厳しい罰金刑を課した点も 筆者ブログ(その1) 、および 同(その2完) で紹介したが、その他、(ⅰ)ドイツのバーデンヴュルテンベルク州の保護当局（「LfDI」）はGDPRの第32条( 取扱いの安全性) (筆者注1) の下でのデータセキュリティ義務の違反に対するソーシャル・メディア・プロバイダー(Knuddels .de)に対し20,000ユーロ(約248万円)の罰金、(ⅱ)2018年7月、ポルトガルのDPA（「CNPD」）は、患者データへの不正アクセスを防止できなかったことを理由に、Hospital do Barreiro病院に40万ユーロ(約4,960万円)の罰金、(ⅲ)2018年10月、オーストリアのDPA(「DSB」)は、会社が公共の場でのCCTVの使用について、適切な透明性措置と予告を行わなかったとして、4,800ユーロ(約596,000円)の罰金、(ⅳ)2018年11月、オランダ監督当局(Autoriteit Persoonsgegevens：AP)はUber B.V.(USV)及び Uber Technologies, Inc (UTI)に対し合計60万ユーロ(約7,440万円)の罰金, (ⅴ)2019年2月7日...

  ２． CNILの決定  (1) CNILの罰金の決定 　 2019年1月21日、フランスのデータ保護監督当局である「情報処理及び自由に関する国家委員会(Commission nationalede l'informatique et des libertés：CNIL)」は、EUの「一般データ保護規則（「GDPR」）の違反について、Googleに対して5,000万ユーロ(約62億円)の罰金を決定した（この決定は、正式には フランス語で公開 された）。 このCNILの決定は、9,974人 (筆者注7) を代表する2つの非営利団体からの苦情によって引き起こされ、この訴訟では、以下述べるとおり、プライバシーに関するいくつかの重要な問題を発生させた。   　第一に、グーグル・アイルランド・リミテッド(Google Ireland Limited )はコンピュータ処理が中心でグーグルのEUにおける主要な拠点ではないとすることで、この決定はGDPRのワンストップ・ショップの適用を却下する（これはアイルランド監督当局をCNILの代わりに管轄当局にするであろう） 。 CNILによると、AndroidとGoogleのアカウントに関連するデータの処理に関する意思決定権限は、米国のGoogle本社（Google LLC）にあるため、GoogleはEU内に主な拠点はない。CNILは、グーグルのプライバシーポリシーがグーグルアイルランドリミテッドをコントローラーとして言及しておらず、グーグル・アイルランド・リミテッドがEUにおけるグーグルの処理業務を監督するためのデータ保護責任者を任命していないという事実に他の理由も含めてこの結論を下した。  　さらに、CNILは、その結論はGoogleによって支持されていると主張し、2019年1月までにアイルランド本部の意思決定力を強化するための措置を講じると公に述べた。EUに主要な事業所がない場合、Google LLCはフランスを含むGoogleが事業所を有するEUのあらゆる監督当局による執行の対象となる可能性がある。この決定は、規制当局が「主た...

  　筆者は、2018年5月25日から適用が開始された欧州連合(EU)の統一プライバシー規制規則である「一般データ保護規則（General Data Protection Regulation： GDPR」）について、これまで適宜ブログで解説してきた。 　さる1月21日にわが国のメディアでも言及されているとおりフランスのデータ保護監督当局である「情報処理及び自由に関する国家委員会(Commission nationalede l'informatique et des libertés：CNIL)」は、EUの「一般データ保護規則（「GDPR」）の違反したとして、Googleに対し 5,000万ユーロ(約62億円)の制裁金を課す旨決定 した。これまでのフランスのCNILが課しうる制裁金の上限額が30万ユーロ(約3,720万円) (筆者注1) であったことと比較してGoogleの負担する経済的ダメ―ジは言うまでもない。 　さらに、CNILへの申立者である La Quadrature du Netサイト によると、「CNILの制裁対象企業は2018年5月28日、12,000人を代表して、Google、Apple、Facebook、AmazonおよびMicrosoftに対してCNILに対して告発したとある。その間、CNILはGoogleに対して苦情を申し立てることを決定したが、他の苦情はアイルランドとルクセンブルクの監督当局に提出され、同時にCNILに対しオーストリアの人権擁護NPO団体”NOYB” (筆者注2) から別の苦情が寄せられた」とある。 　 わが国のメディアでは詳しく論じられていないが、今回のCNIL制裁処理のポイントは、CNILが被告としてEU内のGoogleの拠点であるグーグル・アイルランド・リミテッドではなく、米国Google.LLC（およびGoogle持ち株会社）を被告とした点である。すなわちGDPRの定めるワンステップ・ショップ (筆者注3) の適用を否定した点にある。この解決方法は、米国のグーグル、アマゾン、フェイスブック、マイクロソフト、アップルというIT独占企業であるGAFMAの市場独占にくさびを打つというEUの戦略が見える。 　...