スキップしてメイン コンテンツに移動

デンマークのデータ保護局のGDPR違反に基づきタクシー会社に対し120万DKK(約2,011万円)のはじめての罰金の告発を受け、裁判所命令が下る (その1)

 

 さる3月27日付けのデンマークのローファームであるGorrissen Federspiel PLPは、標記ブログ(原文:英語)を掲載した。筆者は、このニュース自体につきすでにローファームFox Rothchild LLPのブログ「デンマークのデータ保護当局がデータ最小化違反を理由にCab Companyに警鐘を鳴らし続ける」で読んでおり、本ブログに掲載する予定でいたが、より事実関係、デンマークの保護関係法等から見て正確性を期したいと考え、”Gorrissen Federspiel PLP”のブログ「GDPRに違反している場合はTaxa 4x35に120万デンマーク・クローネの罰金が適用される」を仮訳し、補完的にFox Rothchild LLPのブログを引用したいと考えた。

 この解説記事を読むうえで読者が気になる点は、EU加盟国のDPAの行政罰を科しうる独自性であろう。すなわちEU加盟国のDGPR違反行為にもとづく筆者の解説解説の一連のブログ内容を読んで気が付くとおり、EU加盟国は原則、国内保護法をもって監督機関に独自の行政罰を科しうると定めていると思っていたのは筆者だけではあるまい。

 しかし、デンマークの法制度は異なる。本文第Ⅰ編の最後に述べるようにEU加盟国は国内のデータ保護の監督当局は、それぞれの行政権限で罰金を科すことができるが、デンマークの場合、データ保護局(Datatilsynet:Danish Data Protection Agency:以下”GDA”)(注1)は、ⅰ)まず警察に告訴にかかる報告書を発行しなければならない。その後、ⅱ)警察はDPAの請求内容を調査し、その請求が問題の会社等に対して訴訟を起こすのに十分な根拠になるかどうかを判断する。最終的にⅲ)デンマークの地方裁判所により、最高120万DKKの罰金が決定され、裁判所の命令により送付されたのである。

 したがって、本ブログは第Ⅰ編で”Gorrissen Federspiel PLP”のブログの仮訳し、次に第Ⅱ編でDatatilsynetのTaxa 4x35に対する個人データ処理の監督面からの詳細な検査結果報告(全文)を仮訳する。

 なお、今回取り上げたデンマークの法執行制度の特殊性に関し、第Ⅲ編としてデンマークの警察や裁判所を巻き込んだ行政処分の在り方など情報保護規制法制の独自性を解析する予定であったが、時間の関係で改めて取り上げる。

 最後に、いうまでもなく筆者はデンマーク語やデンマーク法は全くの素人であり、専門家による正確な解析を期待する。

 今回は、2回に分けて記載する。

 第Ⅰ編

1.デンマークのローファームブログ「GDPRに違反したタクシー会社(Taxa 4x35)に120万デンマーク・クローネの罰金が適用される」(原文:英語)の仮訳

(1) 事案の概要と経緯

 デンマークのデータ保護局(Datatilsynet:Danish Data Protection Agency:以下”GDA”という)は、このほどタクシー会社(Taxa 4x35)に対する検査官の検査結果をコペンハーゲン警察に報告し、GDPRの違反に対して120万デンマーククローネ(約2,011万円)の罰金をもって処すべき旨勧告した。これには、収集目的のために必要でなくなった情報を削除していないといった違反行為も含まれていた。

 2018年5月25日にEUのGDPRが施行された後、本件はデンマークにおいてデータ保護庁(GDA)が法執行機関たる警察および裁判所に告訴、命令が下された最初の会社への罰金判決例にあたる。

 デンマークのGDAによる検査は、タクシー会社がGDPRの第5条(1)(e)に従って保存および削除のポリシー手順を持っているかどうか、およびそのようなポリシー(注2)が社内で遵守されているかどうかに焦点を当てていた。 

 GDAは、タクシー会社のポリシーはGDPRに記載されているようにデータの保存と削除の要件の遵守を確実にしない表面的な手順を実行しただけであると認定した。 この結論は、主に、タクシー会社が2年間の保存期間の後にデータ主体の名前のみを削除することによって、および5年の期間の後にのみ電話番号を削除することによって個人データを匿名化したという主張の前提に基づいている。タクシー会社の乗車記録は2年以上前の8,873,333件のタクシー乗車に関する個人情報を保管していた

(2)匿名化(Anonymization)問題 

 タクシー会社が個人データを処理するシステムの1つに「DDSパスファインダー(DDS Pathfinder)」がある。

 このシステムは、顧客の注文やタクシー乗車記録を処理するために使用され、名前、電話番号、GPS地理位置情報または住所情報、乗車の開始時および目的地への到着時のタイムスタンプを含む、いくつかの個人データを処理するものである。 

 このシステムは、名前、電話番号、GPS地理位置情報または住所情報、乗車の開始時および目的地への到着時のタイムスタンプを含む、いくつかの個人データを処理する。 

 タクシー会社は、2年後にデータ主体の名前を削除するので、これは、DDSパスファインダーで処理されたデータを匿名化することを意味すると主張したGDPRは匿名化データは適用されない)。しかし、GDAの判断は、名前の削除が識別可能な個人にデータをリンクするかもしれないすべての識別子を取消不能に削除していないので、これは適切な匿名化を構成しない。例えば、地理位置情報、電話番号などの残りのデータは、すべての識別子を削除するわけではなく、組み合わせて特定のデータ主体を識別可能とする。つまり、「仮名化(Pseudonymisation)」であると指摘した。(注3)

 匿名化の厳密な要件に重点を置いていることは、システムから個人データの1項目のみを削除することによるタクシー会社の「匿名化」実務慣行では、匿名化されたシステムの宣言としては十分ではないとした。 

(3)データ保持期間の最小化 

 GDAの検査に関連して、タクシー会社は、DDSパスファインダーシステムの他の種類の個人データに適用される2年の保存期間を超えてさらに3年間にわたり電話番号を処理している旨当局に通知した。

 これは、タクシー会社がDDS Pathfinderシステムの参照番号として電話番号を使用しているという事実によって説明された。

 GDPRの第5条第1項(c)によれば、個人データは、適切で関連性があり、収集された目的を達成するために必要なものに限定される範囲内でのみ処理されなければならない。 

 そのため、タクシー会社はDDS Pathfinderシステムの参照番号からなる目的で、データをデータ主体を直接識別しないユニークな参照IDでその目的を達成できる場合は、電話番号が追加の3年間の処理においても必要であると主張した。

 電話番号ではなく、システムに参照番号を持つという目的を達成するために必要なものである。

(4) タクシー会社が主張する法的根拠の問題点 

 タクシー会社は、DDSパスファインダーシステムで参照番号として電話番号を使用するという事実に加えて、業務の遂行および事業開発目的のために電話番号を処理するという理由で、最大5年間まで電話番号の保存期間をさらに延長していた。

 GDOPRの第5条第1項(b)(目的の限定)によると、個人データは特定の明示的かつ合法的な目的のために収集されなければならない。

 タクシー会社の主張した法的根拠と電話番号の処理の目的の論点がそれた説明に基づき、GDAは個人情報の処理に関し管理者の責任として最も基本となる原則に反する点で、同社の理解不足に基づく不遵守に対する厳しい批判を表明した。

(5) 個人データの削除手続きおよびデータ保持手順 

 最後に、当局は、相当の内容の欠如およびそのような手続の遵守のためのプロセスに関して、タクシー会社の個人データ保持および削除手続(またはその欠如)に対する厳しい批判を表明した。

 すなわち、当局はその批判を強調し、会社は手動で更新された削除ログを超えた広範囲の方法で、システムとバックアップ回復ファイルで個人データが削除される方法と時期を証明できなければならない。したがって、システム内の削除ログには保持および削除手順を使用し、内部手順に記載されている要件に従ってログに基づいて削除するプロセスを使用する必要がある。当局は、これに関して、GDPR第5条第2項に規定されている要件に言及している。 つまり、データ管理者は、個人データが処理される目的に応じて必要とされる範囲を超えてデータ主体を識別することが不可能であることを証明できなければならない。したがって、タクシー会社はバックアップ回復ファイルを含む効果的な削除を確実にし、そしてこれを確実にするために適切な行動が実行されることを実証できなければならない。

(6) 次のステップ:罰金命令 

 EU加盟国のほとんどは、国内のデータ保護および監督当局はそれぞれの行政権限で罰金を科すことができる。

 しかし、デンマークではデータ保護局はまず警察に報告書を発行しなければならない。その後、警察はその請求を調査し、その請求が被告会社に対して訴訟を起こすのに十分な根拠になるかどうかを判断する。

 今回、デンマークの地方裁判所により、最高120万DKKの罰金が決定され、裁判所命令により命令が送付された。 

(7) デンマークにおける監督機関の最初の罰金の推奨から何を学ぶべきか? 

 120万デンマーククローネの推奨罰金額は、GDPRの第5条に明らかに違反しているとみなしており、8,873,333件の個人データが含まれているという事実に基づいて評価されている。

 なお、GDPR第5条の違反は、被告会社の全世界の年間総売上高の最大4%の罰金によって制裁しうる。(GDPR第83条第5項)

 しかし、GDA推奨された罰金額が4%に近くないため、当局は違反の内容が重大ではないと判断したことを示している。

**********************************************************************:

第Ⅱ編

 Datatilsynetの「Taxa 4x35に対する個人データ処理の監督面からの詳細な検査結果報告(全文)」の仮訳

 Datatilsyntは3月19日付けでリリースした。同時に公開されたDatatilsynetの検査報告書(原文:デンマーク語)仮訳する。なお、GDPRの条文番号等が確認できない箇所については筆者の責任で加筆、修正を行った。

 なお、第Ⅱ編の内容は必然的に第Ⅰ編と重複する点が多いが、その重複を整理するにはさらに時間がかかるのであえてそのまま訳した。

(1) 検査結果の概要 

  2018年秋に、データ保護検査官はタクシー会社(Taxa 4x35:以下”Taxa”という)を訪問し、1)タクシー会社が顧客情報を削除するための期限を設定しているかどうか、また2)その期限がGDPRに基づき守られているかどうかを調べた。 

 Taxaによると、顧客の配車注文および個人課税等に使用される情報は2年後に匿名化されていた。これは、顧客を識別できるようにする必要がなくなったためである。

 ただし、2年後に削除されるのは顧客の名前だけであり、顧客の電話番号は削除されていなかった。したがって、顧客の乗車記録情報(集客先および届け先住所を含む)は、電話番号を介して自然人に帰属的にリンクさせることもでき、その電話番号は5年後に削除されていた。

 電話番号が2年後に削除されない理由は、Taxaによると、電話番号がシステムのデータベースへの鍵であり、したがって会社のサービスや事業開発等に関連して必要であるということであった。

 しかし、Datatilsyneの検査官(Data Inspectorate)によれば、TaxaのシステムがGDPRを遵守するのを困難にしているという理由だけで、削除期限を必要以上にさらに3年間を設定することはできないはずである。  

(2) 検査官の意見 

 検査官が計画しているTaxa への検査は、特にGDPRの第5条第3項に基づく個人データの削除に焦点を当てた。 

 検査官の要請により、Taxaは、個人データが処理される各システムについてアンケートを完了し、検査の訪問前に監査のための追加資料とともに提出した。実際の検査訪問は2018年10月3日に行われた。

1) 検査訪問に関連して検査官が確信した点に基づいて、検査官は以下で要約する結論の根拠を明らかにした。 

① タクシー会社の個人データの匿名化手続きが不十分であるため、GDPRの第5条第1項(e)(記録保管の制限)の要件を満たしていない。

② タクシー会社は、データ保護規則の第5条第1項(c)の要件(データの最小化原則))を満たしていない。すなわち、タクシー会社による5年間の顧客の電話番号の保管は、それらが保管される目的に関連して必要ではなかった。(ポイント1) 

③ Taxa はGDPRの第5条第1項の要件を満たしていない。同会社が明確に定義していないため、タクシーに乗った後5年間顧客の電話番号がどのトリートメント/センターに保存されているかにつき責任をもって明示していない。(ポイント2)

④ タクシー会社は、GDPR第5条第2項の要件(アカウンタビリティ)を満たしていない。なぜなら、同会社はシステム内で行われた削除とそれを行うための会社の手続きを適切に文書化していなかったからである。 

2) ポイント1と2と比較のうえ、検査官は本日、コペンハーゲン警察にタクシー会社の警察報告を提出した。 

 さらに、前記パラグラフ3と4に関連して、データ検査官は全体として、TaxaがGDPRの要件を満たしていないという深刻な 批判を表明することにつき根拠を見つけた。 

****************************************************************************

(注1) Datatilsynetの任務・役割 :

The Danish Data Protection Agency is the independent authority that supervises compliance with the rules on protection of personal data. We provide guidance and advice as well as deal with complaints and make inspections.

***********************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...