フランス行政最高裁判所は、CNILによる罰金の額をわずかに減らした。これは氷山の一角であるか？

 

　Last Updated:May 16, 2021

　2019.5.12 付けReed Smith LLPのブログ「フランス行政最高裁判所は、CNILによる罰金の額をわずかに減らした。これは氷山の一角であるか？」が手元に届いた。

　この事件は、 EUの一般データ保護規則(GDPR)が完全実施期限である2018年5月25日の数日前である5月7日に、フランスの個人情報保護機関である「情報処理及び自由に関する国家委員会(Commissionnationaledel'informatiqueetdeslibertés：CNIL)」審決(Délibération n°SAN-2018-002 )は、Webサイト上の個人データの保護を怠ったことを理由に、オプティカル・センター(Optical-center.fr ) (注1)に25万ユーロ(約3,070万円)の罰金を科し、顧客のデータの個人情報および機密情報を含む請求書および購入注文へのアクセスを許可した。

　これに対し、オプティカル・センターは行政最高裁判所である国務院(Conseil d’État)  (注2) に控訴し、国務院は2019年4月17日付けの判決(decision No.422575 10éme -9éme Chambre)で制裁内容を確認したが、罰金の額を20万ユーロ(約2,456万円)に再査定した。

　その点で、国務院による罰金額のわずかな引き下げは、行政最高裁判所による実用的かつ寛容なアプローチを示している。この減額措置は、いかなる理由に基づくものと考えるべきか、今回のブログはCNILの調査の内容、GDPR違反の内容、これからの企業活動への影響などにつき簡単に考察するものである。

１．2018.5.7 CNIL審決に至る経緯

　2019.5.12 Reed Smith LLPのブログ「フランス行政最高裁判所は、CNILによる罰金の額をわずかに減らした。これは氷山の一角であるか？」を仮訳する。なお、必要に応じ筆者が関係するリンクを張った。

　CNILが審決した理由は次のとおりである。

　オプティカル・センターは自身のウェブサイトが確かにセキュリティ上の欠陥を持っていたことを認めている一方で、CNILによる現地調査が同センターの敷地内で行われた。 この場合、同社サイト”www.optical-center.fr”には、請求書を表示する前に顧客が自分の個人用スペース（「顧客エリア」）にしっかり接続されていることを確認する機能は含まれていなかった。このため、同社の他のクライアントが当該ドキュメントにアクセスするのは比較的簡単であった。

　CNILの制限された権限に基づき、同社がフランスの個人データ保護法(Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)の第34条(注3)に違反して、個人データのセキュリティの義務を破ったことを考慮して、25万ユーロ(約3,070万円)の罰金を言い渡した。

　その後、オプティカル・センターの控訴に対応し、フランス行政最高裁判所である「国務院(Conseil d’État）」が制裁内容を確認したが、2019年4月17日付けの判決で罰金の額を20万ユーロ(約2,456万円)に再査定した。 

　特に米国とは反対に、データ侵害に対する制裁措置はフランスの規制当局であるCNILの手に委ねられている。この制裁措置がEUの一般データ保護規則GDPR)の発効前に行われたことを考えると、CNILの制裁力に限界があり、その当時の適用可能な基準と比較すると、厳しいと見なすことができる。

　もう1つの要因が役割を果たした。すなわち、オプティカル・センターは、2015年11月5日に同様のデータ侵害に対してすでに5万ユーロ(約614万円)の罰金を科されており、2017年6月19日に国務院により確認されていた。 

２．国務院の判決に基づき考察すべき課題

　その点で、国務院による罰金額のわずかな引き下げは、行政最高裁判所による実用的かつ寛容なアプローチを示している。この減額措置は、国務院がデータ管理者の行動を考慮に入れて会社の協力的な態度と反応性のレベルを強調して説明できる一方で、CNILは再修正のみを考慮に入れることを決定した。 

　国務院による罰金の額の削減は重要ではないようであるが、フランスのデータ保護当局による決定に続いて控訴する可能性は、企業にとって真の裁判上の戦略的選択肢と考えられる。今回の国務院のさらなる決定は、国務院がCNILによって課される罰金の額を再検討し、削減するために一定の傾向に従うかどうかを示すかもしれない。 

　しかし、潮流が変化しているので、事業者のデータ・コントローラは警戒しておくべきである。ここ数カ月間、フランスのGDPR以前のデータ保護法の下で行われたCNILの決定に、そしてその後に、徹底的な厳しさの増加が観察された。

　 確かに、CNILがOptical Centerに対して行った決定の数ヶ月後、GDPRが発効する前に、CNILは、情報セキュリティ侵害の疑いで GithubコラボレーションプラットフォームであるUber France SASrに40万ユーロ(約4,912万円)の罰金を科した。

　さらに 2019年1月21日には、GDPRの下でCNILがグーグルに対して行った5,000万ユーロ(6億1,400万円)の罰金制裁の決定は、CNILが大手デジタル会社を広範囲にわたって統制するという決意を示している。

***************************************************::

(注1) ”Optical-center.fr”はフランスやカナダ等で営業を行うメガネ、コンタクト販売会社である。

(注2) 国務院(Conseil d’État）は、政府が法律案や政令案 などを準備する際に、政府から 諮問を受けて答申します。また、法に関わる問題について、政府から求められた場合は、意見を述べます。

さらに、政府からの要求に応じ、又は自ら率先して、行政問題や公共政策に関する問題について研究を行います。

国務院は、行政最高裁判所の機能も有しています。国務院は、国、地方公共団体､行政施設などの行為に対する最終審裁判所です。

これら二つの役割（勧告と裁判）によって、国務院は、フランスの行政が、法に従って適正に行われることを保障します。

さらに、国務院は、第一審行政裁判所と行政控訴院を統括して管理する権限も持っています。(国務院の日本語サイトから引用)

(注3) フランスの(Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)第34条前段を仮訳する。

コントローラは、データの性質と処理によってもたらされるリスクを考慮して、データのセキュリティを保護するために特にそれらが歪められたり、破損されたりあるいは第三者による不正アクセスによることを防止するために、すべての必要な予防措置を講じる必要がある。(Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.)

************************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．