メキシコのデータ保護法の解説

第1回 メキシコのデータ保護法の総論およびデータの処理に関する規制

国際取引・海外進出
西山 洋祐弁護士 アンダーソン・毛利・友常 法律事務所 外国法共同事業

目次

  1. はじめに
  2. メキシコのデータ保護法
  3. 民間保有データ保護法の構造
  4. 適用範囲
    1. 保護の対象
    2. 規制に服する主体
  5. データの処理に関する規制
    1. 処理
    2. 同意の取得
    3. 同意取得が不要となる場合

はじめに

 2020年以降の新型コロナウイルスの感染拡大に伴い、メキシコにおいても事業や取引の電子化が加速し、顧客・取引先その他関係者の個人データの取得をせざるを得なくなったことも相まって、メキシコでもデータ保護法の重要性は増しており、実際に筆者も企業からデータ保護法に関する相談をこれまで数多く受けた。そこで、本連載ではメキシコのデータ保護法を解説する。
 また、労働法(メキシコの労働法に関しては当該連載を参照)の場合と同じく、日本法との相違点につき質問を受けることが多い。そこで、今回も日本法との相違点を指摘し整理した記事を用意することとした。
 第1回である本稿では、メキシコのデータ保護法の総論およびデータの処理に関する規制を解説する。第2回では、データ主体の権利、データの移転に関する規制、安全管理措置、管理者と処理者についての規定、違反があった場合の制裁等のトピックを日墨のデータ保護法の相違点を整理しつつ解説する。

(注:本連載の記事は筆者がこれまで別の媒体に寄稿した記事を基に、日本法との比較の記載を加えて作成したものである。)

メキシコのデータ保護法

 メキシコのいわゆる個人情報保護法は、Ley Federal de Protección de Datos Personales en Posesión de los Particulares(以下、「民間保有データ保護法」または「法」という)である。規制の内容は欧州のデータ保護規制であるGDPRに類似している面があり、実務上、地理的適用範囲が問題となる場面が多い(地理的適用範囲については後述の4-2を参照)。
 メキシコの主要なデータ保護法としては、民間保有データ保護法の他、Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados(以下、「公共保有データ保護法」という)がある。
 公共保有データ保護法は、パブリックセクターのデータ取扱いを規制する法律である。同法の目的は、連邦、州および地方自治体の各レベルにおける、行政・立法・司法の機関等(Sujetos Obligados 1)によって自らのデータを所有されるデータ主体の権利を保障し、そのデータを保護するための基礎、原則および手続を確立することにある 2
 一方、民間保有データ保護法は、プライベートセクターのデータ取扱いを規制する法律である。同法の目的は、民間の主体により保有される個人データを保護し、個人のプライバシーと情報の自己決定権を保障することにある 3。後述のとおり、保護対象および規制対象のいずれも広範であり、特定の産業に属する者を規制対象としまたは特定の性質のデータのみを保護対象とするいわゆるセクトラル方式の規制ではなく、日本の個人情報保護法やGDPRのようなデータ保護のための一般規制である。特に、規制の枠組みや保護対象となるデータの定義等の点でGDPRに類似している。
 日本法との顕著な相違としては、日本の個人情報保護法が近年も複数回大きく改正されているのに対し、民間保有データ保護法は2010年に制定されて以来改正されておらず、実務運用も概ね確立されてきている

民間保有データ保護法の構造

 民間保有データ保護法は全69条で構成され、11章に分かれている。
 1章は通則規定を定めている。2章以下では遵守されるべき具体的なルールやデータ主体(titular)の権利が規定されており、6章では規制当局について、7章ではデータ保護のための手続に関する規定が設けられている。9章以下では罰則および罰則適用の手続について定められており、当局による行政上の制裁のみならず、11章において刑事罰も定められている。具体的には各章は下記のとおりである。

第1章: 通則規定(目的、定義等)
第2章: 個人データ保護の基本指針
第3章: データ主体の権利
第4章: アクセス、修正、取消しおよび異議申立ての権利の行使
第5章: 個人データの移転
第6章: 規制当局
第7章: 権利保護手続
第8章: 認証手続
第9章: 罰則適用手続
第10章: 罰則(行政責任)
第11章: 違法な個人データの処理に関する犯罪(刑事責任)

 上述のとおり民間保有データ保護法の規定の数は少ないが、民間保有データ保護法を補完し執行するためのルールとして、Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares(以下、「民間保有データ保護規則」または「規則」といい、民間保有データ保護法とあわせて「民間保有データ保護法等」という)が存在する 4。また、データ保護の規制当局 5 であるInstituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales(通称「INAI」)はQ&Aおよび解説を公表しており 6、また、プライバシー通知(aviso de privacidad)に記載すべき項目別に根拠となる民間保有データ保護法等およびガイドラインを整理している 7
 なお、民間保有データ保護法等およびガイドラインのいずれも原典はスペイン語であるが、民間保有データ保護法等については、英訳にアクセス可能である(2022年8月現在)8 。もっとも、英訳は正確性に欠ける部分もあるように思われるため、あくまで参考にとどめ、原典を確認する必要がある 9

適用範囲

保護の対象

 民間保有データ保護法が保護の対象とするのは、「民間の主体(particulares)」(後述のとおり、法人を含む)により保有された「個人データ(datos personales)」である 10 。個人データは「特定されたまたは特定しうる自然人のあらゆる情報」と定義されている 11。「特定しうる自然人(persona física identificable)」とは、「何らかの情報によりその同一性を直接または間接に確認しうる自然人」と定義されている 12。一方で、自然人は、その同一性確認のために不相当に時間または労力を要する場合には、特定しうる自然人には当たらないとされている 13
 民間保有データ保護法により保護される個人データは、それ自体で自然人を特定または識別できるデータでなくてもよい。また、他のデータとの照合およびそれによる特定等に関して、照合の容易性は要求されていない。したがって、IPアドレスやcookieのような、通常は照合が容易とまではいえないデータも、民間保有データ保護法上は「個人データ」に該当する。この点は、日本の個人情報保護法上の「個人情報」として保護されるためには、少なくとも他の情報と容易に照合することができ、それにより個人を識別することができる情報でなければならない点と異なる 14
 日本の個人情報保護法上、「個人情報」として保護されるのは「生存する個人に関する情報」に限られ、死者の情報は「個人情報」に含まれない(ただし、死者に関する情報が、同時に遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報に該当するため「個人情報」として保護の対象となりうる)15。これに対し、メキシコの場合、死者の情報が民間保有データ保護法上の「個人データ」として保護されるかについては議論がある 16 。そのため、少なくとも実務上は、死者の情報も原則として「個人データ」に当たるものとして取り扱う運用が日本における場合と比べてより一層望ましいと思われる
 日本法において「要配慮個人情報」が加重された保護の対象とされている 17 のと同様に、メキシコ法においても一部の個人データは加重された保護の対象とされている。具体的には、「センシティブデータ(datos personales sensibles)」18 や「財産関連情報(datos financieros o patrimoniales)」19 が加重された保護の対象とされている(詳細は後述する)。センシティブデータは、「データ主体の生活の最も内密な領域に影響を及ぼし、またはその不適切な使用が差別につながり若しくは深刻なリスクを伴う可能性がある個人データ」と定義されており 20、「人種的または民族的起源、現在および将来の健康状態、遺伝情報、宗教的、哲学的および道徳的信念、組合への加入、政治的意見、性的嗜好等の側面を明らかにしうる」個人データがセンシティブデータに当たるとされている 21。財産関連情報については、民間保有データ保護法等においても定義はされていない。

日本法 メキシコ法
IPアドレス/ cookie 通常「個人情報」には該当しない
(「個人関連情報」として保護されうる点につき上述)
「個人データ」に該当する
死者の情報 通常「個人情報」に該当しない 「個人データ」に該当するかは明確でない
加重された保護の対象となる情報 「要配慮個人情報」 「センシティブデータ」と「財産関連情報」

規制に服する主体

 前述のとおり、民間保有データ保護法等は「民間の主体」により保有された「個人データ」の保護を目的とし、規制に服するのは個人データを処理する民間の主体である 22。規制に服する民間の主体には、個人と法人の両方が含まれる 23。もっとも、i )信用情報報告会社を規制する法(Ley para Regular las Sociedades de Información Crediticia)等の法律により規制される信用情報報告会社(Sociedades de Información Crediticia)および ii )私的利用のみを目的として個人データの収集と保管を行い、開示や商用の目的を持たない者は、民間保有データ保護法の適用対象外とされている 24
 個人データを処理する民間の主体であって、上記 i )または ii )のいずれにも該当しない者であっても、データの管理・処理等(またはその主体)が外国に関連する場合には地理的適用範囲についての検討が必要となる。民間保有データ保護規則上、以下の処理に対しては民間保有データ保護法が適用される 25

I. メキシコ所在の管理者の施設(establecimiento)で実施される処理 26。自然人の場合、「施設」は、主たる事業所、活動のために使用される場所または自宅を意味する 27。法人の場合、「施設」は事業の主たる管理地を意味する 28。メキシコ外に所在する法人の場合、メキシコでの事業の主たる管理地を意味し、かかる管理地が存在しない場合は当該法人によって指定された場所または実際に活動を行う安定した設備を意味する 29


II. メキシコで設立された管理者のために処理者が実施する処理(処理者の所在地は問わない)30


III. 管理者がメキシコに設立されていないものの、契約の締結の結果としてまたは国際法に基づきメキシコ法が適用される場合の処理 31


IV. 管理者がメキシコに設立されていないものの、メキシコに所在する手段(medios)32 を利用する場合の処理 33。ただし、手段の利用はデータの処理目的でもなされている必要があり、処理がまったく伴わない通過目的でのみ当該手段が利用される場合は除く 34

 「管理者(responsable)」は、個人データの処理を決定する民間の自然人または法人をいう 35
 「処理者(encargado)」は、管理者に代わって個人データを単独または共同で処理する自然人または法人をいう 36。管理者がメキシコに所在していないが、処理者が所在している場合、処理者は民間保有データ保護規則3章の安全対策に関する規定に服する 37
 上記IV.に該当する場合、管理者は、民間保有データ保護法等その他の個人データの処理関連規制上の義務を遵守するために必要な措置を講ずる必要がある 38。メキシコで設立されていない管理者であっても、代理人を選任することにより、メキシコで個人データの処理を行う者に課される義務を遵守できるようにするための適切な措置を実施したものとみなされうる 39
 この「管理者」および「処理者」という概念を用いて規制している点はGDPRに類似しており 40、日本法との相違点でもある。「管理者」と「処理者」の関係については第2回において解説する。

データの処理に関する規制

処理

 民間保有データ保護法で規定されている例外に該当しない限り、個人データのいかなる「処理(tratamiento)」であっても、そのためにデータ主体の同意が必要である 41。「処理」は「あらゆる手段による個人データの取得、使用、開示または保管」と定義されており、「使用」には、個人データへのアクセスや個人データの管理、利用、移転または廃棄等の全ての行為が含まれるとされている 42。重要な点として、取得が「処理」に含まれるため、個人データの取得の段階で原則として同意が必要となる。日本法においては「要配慮個人情報」ではない「個人情報」の取得の際には本人の同意までは必要ではないことと異なる 43

同意の取得

 同意は、目的等を記載したプライバシー通知をデータ主体に示したうえで取得される必要がある 44。個人データをデータ主体から直接取得する場合は、同意は処理に先立って取得される必要がある 45。同意は原則として明示の同意に限られず、黙示の同意も認められている 46。データ主体にプライバシー通知を示した際に、データ主体が異議を述べない場合には黙示の同意があったものとされる 47。ただし、前提としてプライバシー通知にはデータ主体が異議を述べる方法等が記載されていなければならない 48このように、黙示の同意についての明文の定めがある点も日本法と異なる 49
 前述の財産関連情報およびセンシティブデータの処理のためには、明示の同意を取得する必要があり、黙示の同意取得に依拠することはできない 50。一般に、同意が口頭、書面、電子的もしくは光学的手段その他の技術または明確な表示による場合には、明示の同意とされる 51。もっとも、センシティブデータの処理のために明示の同意を取得する場合には、形式要件が加重されている点に注意が必要である。具体的には、管理者は、データ主体からの書面による明示の同意を取得する必要があり、口頭での同意はそれが明示的であっても不十分である 52。さらに、上記の同意書面はデータ主体の署名、電子署名または適切な認証システムを含んでいる必要がある 53
 同意は自由意思に基づくものでなければならず、錯誤、脅迫または詐欺等の影響を受けていてはならない 54。プライバシー通知に記載する目的は1つである必要はなく、複数の記載も許されるが、いずれの目的も処理を正当化する程度に特定され明確でなければならない 55。プライバシー通知は同意に先立ちデータ主体に表示される必要があり、データ主体がプライバシー通知により自らの個人データが処理されることおよびその帰結を理解する必要がある 56
 個人データの処理は、プライバシー通知に記載された目的の達成に必要な限度でなされなければならない 57。管理者が、プライバシー通知記載の目的と互換性がないまたは類似していない別の目的でデータを処理する場合は、データ主体の同意を再度取得する必要がある 58
 同意を取得したことの証明責任は管理者が負う 59。加えて、データ主体はいつでも同意を撤回することができる 60。したがって、同意に依拠した個人データの処理は安定性を欠く面がある点は否定できない。

同意取得が不要となる場合

 以下の場合には、個人データの処理に関する同意は不要である 61

I.  法令が規定している場合

II. 個人データが公表されている情報源に表示されている場合

III. 個人データが、すでにデータ主体とそのデータの関連性を除去する手続の対象となっている場合

IV. データ主体と管理者との法的関係に基づく義務(たとえば、契約上の義務等)を履行することを目的する場合

V. 個人または財産に危害が及びうる緊急事態の場合

VI. 医療関連サービスのために不可欠であり、データ主体が一般健康法(Ley General de Salud)その他の関連法に定める条件に従い同意をすることができず、かつ、専門家としての秘密保持義務または同等の義務に服する者によって個人データが処理される場合

VII. 管轄当局の決定があった場合

 I.について、「法令」は原則としてメキシコの法令に限られ、外国の法令は含まれない。
 III.について同意が不要とされるのは、すでに匿名化・断片化されたデータは「個人データ」に当たらず保護の対象とならないためである。かかる匿名化のためには、データ主体との関連性を除去し、他のデータとの照合等によるデータ主体の特定・識別もほぼ不可能な状態にする必要がある。
 VII.について、「管轄当局」はINAIおよび該当地域を管轄する規制当局である。


  1. 公共保有データ保護法1条第5文 ↩︎

  2. 公共保有データ保護法1条第4文 ↩︎

  3. 法1条 ↩︎

  4. 規則1条 ↩︎

  5. https://www.gob.mx/sfp/documentos/instituto-nacional-de-transparencia-acceso-a-la-informacion-y-proteccion-de-datos-personales-inai#:~:text=El%20INAI%20es%20el%20Organismo,del%20gobierno%20a%20la%20sociedad ↩︎

  6. http://abcavisosprivacidad.ifai.org.mx/ 。なお、法3条11号および法6章よりINAIではなくInstituto Federal de Acceso a la Información y Protección de Datos(通称「IFAI」)が規制当局であるかのように読めるが、これはIFAIがINAIへと名称変更したという経緯によるものである。 ↩︎

  7. http://abcavisosprivacidad.ifai.org.mx/のページ下部(Apéndice Único. Marco normativo del aviso de privacidad)。なお、ガイドラインについては、http://www.dof.gob.mx/nota_detalle.php?codigo=5284966&fecha=17/01/2013にて閲覧可能である(スペイン語原典のみ)。 ↩︎

  8. 法はhttp://inicio.inai.org.mx/English/1%20Data%20Protection%20Law.pdf、規則はhttp://inicio.inai.org.mx/English/2%20Regulations%20to%20the%20FLPPDHPP.pdfにてそれぞれ英訳が公表されている。 ↩︎

  9. 法はhttp://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf、規則はhttp://www.diputados.gob.mx/LeyesBiblio/regley/Reg_LFPDPPP.pdfにてそれぞれ原文が公表されている。 ↩︎

  10. 法1条 ↩︎

  11. 法3条5号 ↩︎

  12. 規則2条8号第1文 ↩︎

  13. 規則2条8号第2文 ↩︎

  14. 個人情報の保護に関する法律2条1項および2項。もっとも、「個人関連情報」として保護の対象となりうる(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)2-8および個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A」Q8-1)。 ↩︎

  15. 個人情報の保護に関する法律2条1項および個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A」Q1-21 ↩︎

  16. 個人データはその定義上生存する自然人のデータに限定されていない。一方で、法53条1号はデータ主体の死亡をデータ保護手続開始請求の失効事由としている。 ↩︎

  17. 個人情報の保護に関する法律2条3項、20条2項、26条(および規則7条1号)ならびに27条2項 ↩︎

  18. 法3条6号、法9条、法13条第2文、法16条最終文、法64条4号第2文、法69条、規則15条3号、規則17条第3文、規則56条、規則62条最終文。なお、法64条4号第2文、規則15条3号および規則17条第3文においては「datos personales sensibles」ではなく、「datos sensibles」の語が用いられているが、この「datos sensibles」は法3条6号において定義された「センシティブデータ」と同義である。 ↩︎

  19. 法8条第4文、規則15条2号、規則17条第3文 ↩︎

  20. 法3条6号第1文 ↩︎

  21. 法3条6号第2文 ↩︎

  22. 法1条、法2条 ↩︎

  23. 法2条 ↩︎

  24. 法2条 ↩︎

  25. 規則4条 ↩︎

  26. 規則4条1号 ↩︎

  27. 規則4条第3文 ↩︎

  28. 規則4条第4文 ↩︎

  29. 規則4条第4文 ↩︎

  30. 規則4条2号 ↩︎

  31. 規則4条3号 ↩︎

  32. 手段とは、メキシコに所在する個人データを収集しまたは処理するために用いられうるあらゆる手段を意味する。たとえば、サーバーやコンピューターの他、場合によってはメキシコ所在の自然人も、この手段に該当しうる。 ↩︎

  33. 規則4条4号 ↩︎

  34. 規則4条4号 ↩︎

  35. 法3条14号 ↩︎

  36. 法3条9号 ↩︎

  37. 規則4条第2文 ↩︎

  38. 規則4条4号第2文 ↩︎

  39. 規則4条4号第3文。明文上はメキシコに所在する者を代理人とすることは要求されていないが、メキシコのデータ関連規制上の義務の遵守という趣旨に照らせば、メキシコに所在する者を代理人とすることが望ましい。 ↩︎

  40. GDPR Article4 (7) および (8) ならびにArticle24ないし43 ↩︎

  41. 法8条第1文 ↩︎

  42. 法3条18号 ↩︎

  43. 個人情報の保護に関する法律20条2項。なお、本人の同意なき目的外利用および不正な取得の禁止についてはそれぞれ18条1項および20条1項参照。 ↩︎

  44. 規則11条第2文。望ましいプライバシー通知の提示方法は、個人データの取得態様に応じて異なる。ウェブサイト上で個人データの取得がなされる場合にはウェブサイト上でのプライバシー通知でも足りうるが、個人データが対面(例えば受付等)で取得される場合には、印刷されたプライバシー通知がその場(受付等)で提示されるべきであろう。 ↩︎

  45. 規則11条第3文。なお、データ主体から間接的に取得する場合については法18条第1文、規則14条第2文および規則29条が規定しているが、本稿では説明を割愛する。 ↩︎

  46. 規則13条 ↩︎

  47. 法8条第3文 ↩︎

  48. 規則14条第1文 ↩︎

  49. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A」Q1-61のとおり、日本法において黙示の同意が認められるかは事例ごとに判断される。 ↩︎

  50. 財産関連情報につき、法8条第4文および規則15条2号。センシティブデータにつき法9条第1文および規則15条3号。 ↩︎

  51. 法8条第2文 ↩︎

  52. 法9条第1文 ↩︎

  53. 法9条第1文 ↩︎

  54. 規則12条1号 ↩︎

  55. 規則12条2号 ↩︎

  56. 規則12条3号 ↩︎

  57. 法12条第1文 ↩︎

  58. 法12条第2文 ↩︎

  59. 規則20条 ↩︎

  60. 法8条第5文および規則21条第1文 ↩︎

  61. 法10条 ↩︎

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する