メキシコのデータ保護法の解説

第2回 メキシコのデータ保護法上のデータの移転に関する規制および安全管理措置等

国際取引・海外進出
西山 洋祐弁護士 アンダーソン・毛利・友常 法律事務所 外国法共同事業

目次

  1. はじめに
  2. 管理者と処理者の関係
  3. 移転に関する規制
    1. 総論
    2. 第三者からの同意取得
    3. 第三者への伝達義務
    4. 「個人データ」の移転
  4. 外国への移転
  5. 安全管理措置
    1. 総論
    2. 安全管理措置の内容
    3. 漏洩時の対応
  6. データ主体の権利
    1. ARCO権の概要
    2. ARCO権に関する管理者の義務
    3. データ主体のその他の権利
  7. 違反に対する制裁
    1. 総論
    2. 行政処分
    3. 刑事罰
    4. 民事責任

はじめに

 本連載の第1回では、メキシコのデータ保護法の総論およびデータの処理に関する規制を解説し、その中で、日墨のデータ保護法の主要な相違点として、(1)民間保有データ保護法上の「個人データ」の範囲は日本の個人情報保護法上の「個人情報」よりも広範であること(第1回の4−1参照)と(2)民間保有データ保護法はGDPRのように「管理者」および「処理者」という概念を用いて規制している(第1回の4−2参照)点を指摘した。
 第2回である本稿では、まず民間保有データ保護法上の「管理者」と「処理者」の関係について解説し、上記(1)と(2)の相違点がデータの移転に関する規制の適用とその帰結においてどのような相違をもたらすかを説明する。また、安全管理措置、データ主体の権利、違反があった場合の制裁等のトピックも解説する。

管理者と処理者の関係

 「管理者」とは、個人データの処理を決定する民間の自然人または法人をいい 1、「処理者」とは、管理者に代わって個人データを単独または共同で処理する自然人または法人をいう 2。処理者は管理者の組織の一部ではなく、管理者に提供するサービスの範囲を定める法的関係に基づいて、単独または共同で、管理者に代わって個人データを処理する公的または民間の個人または企業体が処理者であるとされる 3
 管理者と処理者の関係は、その存在、範囲および内容を証明する契約(または管理者が指定するその他の法的文書)により定めなければならない 4。個人データの処理に関する管理者と処理者の間の合意は、プライバシー通知の内容と矛盾してはならない 5
 処理者は、管理者に代わって行う個人データの処理に関して、以下の義務を負う 6

  1. 管理者の指示のみに従って個人データを処理する義務
  2. 管理者の指示する目的以外の目的で個人データを処理しない義務
  3. 民間保有データ保護法等その他の適用法令によって要求されるセキュリティ対策を実施する義務
  4. 処理の対象となる個人データの秘密を遵守する義務
  5. 個人データの保存が法律上要求されていない場合には、管理者との法的関係が終了した場合または管理者からの指示があった場合に、処理された個人データを削除する義務
  6. 管理者が個人データの移転につき決定した場合、下請けのために伝達する必要がある場合または所管官庁によって要求された場合を除いて、個人データを移転しない義務

 一方、管理者は、個人データが処理者(メキシコ内に所在するか否かを問わない。)に伝達され処理されていても、個人データを保護する義務を負い、その処理に責任を負う 7。この義務を遵守するために、管理者は、基準、企業方針、自主規制等を定めることができ 8、実務的にはそれらを定めて運用すべきである。管理者は、処理者に民間保有データ保護法等を遵守させる義務を負い、処理者がかかる規定を遵守しなかった場合には管理者も責任を負う可能性がある 9
 上記のとおり、民間保有データ保護法が個人データの処理の決定権限に着目した分類をして規制しているのに対し、日本の個人情報保護法はこのような分類に基づく規制をしておらず、事業者が取り扱う情報の性質に着目して規律対象となる事業者を分類して規制している 10。また、日本の個人情報保護法は個人データの取扱いの「委託」の概念の存在を前提に、委託に伴う個人データの提供を個人データの第三者提供の例外と位置付け 11、また委託元による委託先の監督義務を定めている 12 ものの、個人データの取扱いの委託の要件は明文で詳細に定められておらず、また委託先による個人データの取扱いについても民間保有データ保護法が定めるような明文規定は存在しない 13

日本法 メキシコ法
「管理者」と「処理者」 このような分類に基づく規制はしておらず、個人データの取扱いの委託について規律する 「管理者」と「処理者」について定義し、明文で義務・遵守事項を定める
契約締結等の義務 委託元による委託先の監督義務の一環として委託契約の締結が必要 14 「管理者」と「処理者」の関係を定める契約等が必要
関係終了後のデータの削除義務 明文規定による削除義務は存在しないが、委託先は原則として委託関係の終了後は委託に伴い提供された個人データを削除すべきであると思われる 15 処理者は、管理者との法的関係が終了した場合または管理者からの指示があった場合には、原則として処理された個人データを削除しなければならない

移転に関する規制

総論

 下記のとおり、管理者が個人データを第三者に移転する場合には原則としてデータ主体による同意を得る必要がある 16 とともに、移転先である第三者に対してプライバシー通知等を提供する必要がある 17。もっとも、個人データを処理者に移転する場合、データ主体からの同意は不要であり、プライバシー通知で処理者への移転に関する情報をデータ主体に提供する必要もない 18
 日本の個人情報保護法も、個人データの第三者提供に際しては原則として同意が必要としつつ 19、例外的に同意が不要な場合を定めたり 20、「第三者」の範囲を限定 21 したりすることにより同意が不要となる場面を規定している。そして、上記のとおり、委託元による委託先への委託に伴う個人データの提供は「第三者」への提供ではないとされ、同意が不要となる 22。したがって、上記2で述べた規制枠組みの相違は個人データの移転の文脈では大きな相違をもたらすものではない(ただし、下記のとおり民間保有データ保護法が親子会社間での移転の場合の例外 23 を認める一方で、共同利用の場合の例外 24 を認めていない等、日本の個人情報保護法との相違点がある点には注意が必要である。)。
 一方、もう一つの日墨のデータ保護法の主要な相違点である、「民間保有データ保護法上の『個人データ』の範囲が日本の個人情報保護法上の『個人情報』よりも広範であること」は、個人データ等 25 の移転に関する規制の適用において、下記の3−4で解説するとおり相違を生じさせる。
 以下では、民間保有データ保護法上の個人データの第三者移転に関する規制を解説するとともに、日本の個人情報保護法上の個人データ等の第三者提供に関する規制との相違を指摘する。

第三者からの同意取得

 管理者が個人データを国内または外国に所在する第三者(処理者を除く。以下同じ。)に移転することを意図している場合、データ主体との関係では、原則として第三者への個人データの移転に先立ちプライバシー通知をした上でデータ主体による同意を得る必要がある 26。具体的には、プライバシー通知において個人データの移転に同意する旨の条項を記載し、データ主体から同意(黙示の同意でも足りる 27 。)を取得する必要がある 28
 もっとも、民間保有データ保護法はかかる同意取得義務の例外を規定している。具体的には、下記のいずれかに該当する場合は、移転先である第三者が国内に所在するか外国に所在するかを問わず、データ主体の同意の取得が不要となる 29

  1. 移転が法令(メキシコの法令に限り、外国の法令は含まれない。)またはメキシコが加盟している条約に準拠している場合
  2. 医療診断、医療提供または医療サービス管理等のために移転が必要な場合
  3. 管理者の親会社、子会社またはグループ会社等に対する移転が行われる場合
  4. データ主体の利益のために管理者と第三者との間で締結された、または締結される契約により移転が必要な場合
  5. 公益保護等のために移転が必要または法的に要請される場合
  6. 司法手続における権利の承認、行使または保護のために移転が必要な場合
  7. 管理者とデータ主体の間の法的関係を維持または実現するために移転が必要な場合

 ④は、データの移転のみを目的として締結される契約でもよい。
 また、⑦については、具体的には、管理者とデータ主体との間の契約に基づく管理者の義務の履行のためにデータを移転する必要がある場合や、データ主体と雇用関係にあること等の理由でそのデータを移転する必要がある場合が該当する。
 上記のとおり、日本の個人情報保護法には規定されていない例外事由が存在する一方で、共同利用の場合の例外のような日本の個人情報保護法上の例外事由が民間保有データ保護法には存在しない点には注意が必要である。なお、データの移転が適法になされていることの証明責任は、管理者および移転先である第三者が負担する 30

第三者への伝達義務

 管理者は個人データの移転先である第三者との関係で以下の対応が必要である。
 管理者は、第三者に対して、プライバシー通知およびデータ主体が同意している処理目的を提供する必要がある 31。データ主体が個人データの処理につき条件付きで同意している場合には、管理者は移転に際して第三者に当該条件を伝達しなければならず、かかる伝達をしたことは文書等により明らかにされる必要がある 32
 なお、個人データの移転がなされた場合、移転先である第三者は当該データについて移転元である管理者が負う義務と同一の義務を負う 33。また、下記のとおり、第三者は移転に際して管理者からプライバシー通知の提供を受けるところ、第三者はかかるプライバシー通知に従って個人データを取り扱う必要がある 34

「個人データ」の移転

 上記で述べた民間保有データ保護法の規制は処理者以外の者に対して「個人データ」の移転がなされる場面で検討が必要になる。そして、第1回の4−1で解説したとおり、民間保有データ保護法の「個人データ」は、日本の個人情報保護法上の「個人情報」と異なり、個人識別性も容易照合性も要求していないため、IPアドレスやcookieのような、通常は照合が容易とまではいえないデータも、民間保有データ保護法上の「個人データ」に該当する。したがって、これらのデータの移転に際しても上記の規制の検討が必要になる。
 これに対し、日本の個人情報保護法上の「個人データ」は「個人情報データベース等を構成する個人情報」と定義されており 35、あるデータに容易照合性が認められず「個人情報」に該当しない場合には当該データは「個人データ」にも該当せず、日本の個人情報保護法上の「個人データ」の第三者提供規制の対象とはならない。しかし、話はここで終わらない。令和2年の個人情報保護法改正により、「個人関連情報」の第三者提供規制が新設され 36、提供元では個人データに該当しない情報の第三者提供であっても、提供先において個人データとなることが想定される場合には、原則として本人同意が得られていること等の確認が必要となった 37
 以上より、民間保有データ保護法はcookie等の情報が第三者に移転される場合には従前どおり「個人データ」の移転として上記の規制に服するのに対し、日本の個人情報保護法上は、当該情報が例外的に提供元で個人データに該当するか、提供先で個人データに該当するかを検討して整理する必要がある。すなわち、特殊な事情により提供元においてcookie等の情報が個人情報保護法上の個人データにあたる場合には、かかる情報の第三者提供は原則として「個人データ」の第三者提供の規制に服する。これに対し、cookie等の情報が提供元においては個人データにあたらない場合でも、提供先において個人データにあたる場合には、かかる情報の第三者提供は原則として「個人関連情報」の第三者提供の規制に服する。以下、整理すると下記のとおりとなる。

日本法 メキシコ法
通常は特定の個人を特定・識別できない情報の第三者への提供・移転 提供される情報が提供元において個人データにあたる場合には、提供先において個人データにあたるか否かを問わず「個人データ」の第三者移転規制の対象となる 「個人データ」の第三者移転規制の対象となる
提供される情報が提供元において個人データにあたらない場合には、提供先において個人データにあたる場合にのみ、「個人関連情報」の第三者移転規制の対象となる
提供される情報が提供元においても提供先においても個人データにあたらない場合には、第三者移転規制の対象とならない

外国への移転

 外国に所在する第三者への移転は、上記3−2と3−3に記載の規制に加えて、一層の規制に服する。具体的には、外国に所在する第三者への移転の前提として、移転先である第三者が移転元である管理者と同一の義務を負担している必要がある 38。かかる目的達成のための手段として、民間保有データ保護規則は、管理者と外国に所在する第三者との間で、管理者が負う義務と同じ内容の当該第三者の義務等を規定した契約を締結することを一例として挙げている 39。上記の目的達成のための手段はかかる契約の締結に限られないものの、実務上は当該契約の締結に依拠することが多い。また、管理者は、外国に所在する第三者への移転が民間保有データ保護法等を遵守したものであるかどうかについて、当局に意見を求めることができる場合がある 40
 日本企業(親会社)からメキシコ法人(子会社)に対してデータの移転がなされる場合、通常は日本の個人情報保護法上の第三者提供規制の対象となる 41。これに対し、メキシコ法人(子会社)から日本企業(親会社)に対してデータの移転がなされる場合、日本企業(親会社)は外国に所在する第三者に当たるが、上記のとおり民間保有データ保護法は移転先である第三者が国内に所在するか外国に所在するかを問わず親子会社間のデータ移転の場合の例外を認めているため、かかるデータの移転に際してはデータ主体からの同意の取得は不要である 42。もっとも、その場合でも外国に所在する第三者へのデータ移転であるため、上記のような契約締結等の手段を講じることがベストプラクティスとして望ましい 43。ただし、同一グループ間でのデータ移転については特則があり 44、当該手段に代えて、民間保有データ保護等その他の適用法令が要請するデータ保護等についてのグループ内規定を作成し、これを遵守することでも足りる。

安全管理措置

総論

 日本の個人情報保護法が23条以下で安全管理措置を定めているのと同様に、民間保有データ保護規則の57条以下がいわゆる個人データの安全管理措置について定めており、管理者は民間保有データ保護法および民間保有データ保護規則に従って、個人情報保護のための安全対策を確立し維持しなければならない 45。安全管理措置は原則として管理者の義務であるが、処理者も安全管理措置を講ずる義務を負う場合があることに注意が必要である 46

安全管理措置の内容

 管理者は、安全管理措置を必ずしも自ら講じる必要はなく、外部に委託することもできる 47。いかなる安全管理措置を講じるかの決定に際しては、管理する個人データの性質や情報漏洩がデータ主体に及ぼしうる影響等、民間保有データ保護規則に列挙された事由を考慮する必要がある 48。さらに、民間保有データ保護規則は、個人データの目録の作成や個人データを処理する者の義務の決定等、安全管理措置としてなされるべき具体的な事由も定めている 49

漏洩時の対応

 管理者は、データ主体の権利に重大な影響を与える漏洩等を確認した場合には、違反の程度を徹底的に精査するとともに、影響を受けるデータ主体に対し速やかに通知しなければならない 50。この通知には、少なくとも、漏洩等の事案の内容、漏洩した個人データ、データ主体が自らの利益を保護するために講じうる対策に関する勧告、直ちに実施された是正措置および当該事案に関する一層の情報を得るための手段を示さなければならない 51

データ主体の権利

ARCO権の概要

 日本の個人情報保護法が開示、訂正、追加、削除、利用停止等の請求権を認めている 52 のと同様に、民間保有データ保護法は、データ主体の権利として以下のようなARCO権(Derechos ARCO)53 を定めている。なお、データ主体は自然人に限られ、法人を含まない 54

  1. アクセス権:データ主体は、自らに関する管理者が保有する個人データにアクセスする権利を有する 55

  2. 修正請求権:データ主体は、不正確または不完全な自らの個人データの修正を求める権利を有する 56
  3. 削除請求権:データ主体は、当該主体に関する個人データの削除を管理者に求める権利を有する 57
  4. 異議申立て権:データ主体は、正当な理由に基づき、自らの個人データの処理に関して異議を申し立てる権利を有する 58

ARCO権に関する管理者の義務

 管理者は、データ主体による権利行使としての請求を処理する個人データ担当者または部門を指定する必要がある 59
 また、管理者は、原則として、アクセス、修正、削除または異議申立ての請求を受領した日から起算して20日以内に、当該請求に関して決定した内容をデータ主体に通知する必要がある 60。民間保有データ保護法は、請求者がデータ主体でない場合や第三者の権利が害される場合等、管理者が請求を拒否しうる場合について規定しており 61、部分的に拒否することも可能である 62
 管理者は、全部または一部であるかを問わず、拒否の決定をした場合には、データ主体に対して、拒否の決定とその理由を通知する必要がある 63。なお、通知の方法は請求がなされた方法と同一でなければならない 64
 アクセス権の行使に対しては、データ主体がその個人データを利用可能な状態にし、またはコピーもしくは電子文書の送付その他管理者がプライバシー通知において定めた措置を講ずる必要がある 65
 修正請求権および削除請求権に関して、個人データが修正または削除の請求以前に第三者に移転され、当該第三者によって処理され続けている場合には、管理者は、修正または削除の請求があったことを当該第三者に通知する必要がある 66。この場合、当該第三者も修正または削除の請求に対応する必要がある。
 また、個人データの削除請求がなされた場合、データ管理者は、一定期間、当該個人データの処理から生じる責任に関連する目的のためだけにデータを保持することが許される 67。管理者は、データを削除した場合には、データ主体に通知する必要がある 68。なお、民間保有データ保護法は、上記の全請求共通の拒否事由とは別に、処理の継続が法律上要請されている場合やデータ主体の利益の保護のために必要である場合等、管理者がデータ主体の削除請求に従う必要がない場合について規定している 69

データ主体のその他の権利

 以上に加え、第1回の5−2のとおり、データ主体はいつでも処理に関する同意を撤回する権利を有している 70。また、自らの個人データの使用または開示を制限する権利も有している 71

違反に対する制裁

総論

 民間保有データ保護法の違反があった場合には、制裁として行政処分または刑事罰のいずれかまたは双方の対象になる可能性がある。制裁については、日本の個人情報保護法が原則として違反行為があった場合にはまず勧告または命令を発し 72、命令に対する違反があった場合に公表 73 ならびに懲役および罰金の対象とする 74 建付けとなっているのに対し、下記のとおり民間保有データ保護法では、違反行為がなされた場合には概ね直接に制裁金を課しうる建付けとなっている点に注意が必要である

行政処分

(1)民間保有データ保護法の違反とみなされる管理者の行為等

 管理者による以下の行為等は、民間保有データ保護法の違反とみなされる 75

  1. 正当な理由なしに、データ主体によるARCO権行使に対応しないこと
  2. データ主体によるARCO権行使があった場合の処理および対応における過失または不正
  3. 管理者のデータベースの全部または一部に個人データが存在するにもかかわらず、かかる個人データが存在しない旨を不正に宣言すること
  4. 民間保有データ保護法が定める原則に違反する個人データの処理
  5. 民間保有データ保護法16条で言及されている項目の全部または一部をプライバシー通知に記載しないこと
  6. 管理者に帰責事由がある場合において不正確な個人データを維持すること、またはデータ主体が不正確な個人データの存在により影響を受ける場合において適切に修正または削除を行わないこと
  7. 下記の民間保有データ保護法64条1号に基づく警告の不遵守
  8. 民間保有データ保護法21条が定める守秘義務の違反
  9. 民間保有データ保護法12条に違反する、元のデータ処理の目的の大幅な変更
  10. データ開示の条件を含むプライバシー通知を提供せずに行う第三者への個人データの移転
  11. データベース、サイト、プログラムまたは機器のセキュリティを危険にさらすこと(管理者の責めに帰する場合に限る。)
  12. 民間保有データ保護法が許容する場合以外における個人データの移転
  13. データ主体の明示的な同意が必要な場合における、かかる明示的な同意なしに行う個人データの取得または移転
  14. 当局の調査活動の妨害
  15. 欺瞞的かつ詐欺的な方法での個人データの取得
  16. INAIまたはデータ主体が個人データの違法な使用の終了を要求したにもかかわらず、個人データの違法な使用を継続すること
  17. 一定のARCO権の行使に影響を与え、またはそれを妨げる方法での個人データの処理
  18. 民間保有データ保護法9条2項の規定に違反するデータベースの作成
  19. 民間保有データ保護法が定める管理者の義務の違反

(2)違反に対して課せられる行政処分の種類等

 管轄当局であるINAIが課すことができる行政処分は以下のとおりである 76

  1. データ主体によって要求された行為を実施するよう管理者に指示する旨の警告…上記 (1) の①の違反の場合 77
  2. 100 UMA 78~16万 UMA 79(2022年時点では約7万円~約1億777万円に相当する 80。)の課徴金…上記 (1) の②から⑦までの違反の場合 81
  3. 200 UMA~32万 UMA(2022年時点では約13万円~約2億1553万円に相当する。)の課徴金…上記 (1) の⑧から⑱までの違反の場合 82

 機密性の高い個人データの処理に関する違反の場合、または再度の違反の場合には、制裁が2倍となる可能性がある 83。また、INAIは、どのような制裁を課すかを決定する際に、以下の点を考慮する 84

  • データの性質
  • 民間保有データ保護法の規定に基づくデータ主体の要求を管理者が拒否することが、明らかに不適切であるか否か
  • 違反を構成する作為または不作為が意図的であるか否か 85
  • 管理者の財政状態
  • 再度の違反であるか否か

(3)執行事例

 2014年、ある金融機関(管理者)は、顧客とその配偶者の健康状態に関するセンシティブデータを含む個人データを、適切な同意を得ることなく、またプライバシー通知を提供することもなく取得した。INAIは、かかる違反に対し、3200万メキシコペソ(約2億2400万円)の課徴金を課した。

刑事罰

 以下の場合、刑事罰(懲役刑)が科せられる可能性がある。

  • 個人データを処理する権限のある者が、利益を得る目的で、自らの管理下にあるデータベースに影響を与えるようなセキュリティの違反を生じさせた場合(通常、3か月以上3年以下の懲役)86
  • 違法な利益を得る目的で、データ主体等の誤解を利用して、個人データを不正に処理した場合(通常、6か月以上5年以下の懲役)87

 上記のいずれの場合も、個人データの侵害または不正処理がセンシティブデータに関するものである場合、懲役期間が2倍となる 88

民事責任

 民間保有データ保護法は、個人データの取扱いに関する適用法令の違反およびそれに起因する損害を理由とする民事上の責任追及の詳細について規定していない。もっとも、この点は、損害を被った者による管理者の民事上の責任追及を妨げるものではない 89


  1. 法3条14号 ↩︎

  2. 法3条9号 ↩︎

  3. 規則49条 ↩︎

  4. 規則51条 ↩︎

  5. 規則50条第2文 ↩︎

  6. 規則50条第1文 ↩︎

  7. 規則47条第1文 ↩︎

  8. 規則47条第2文 ↩︎

  9. 法14条および規則48条 ↩︎

  10. 日本の個人情報保護法の建付けの分析に関して、岡田淳、北山昇、小川智史「NBL1206号 【連載】個人情報保護をめぐる実務対応の最前線 第2回 個人データの取扱いの「委託」とは何か」(商事法務、2021年) ↩︎

  11. 個人情報の保護に関する法律27条5項1号 ↩︎

  12. 個人情報の保護に関する法律25条 ↩︎

  13. 前掲注10。なお、同文献において指摘されているとおり、日本の個人情報保護法上の個人データの取扱いの委託については解釈上のルールが存在し、この解釈上のルールが重要である。 ↩︎

  14. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」3−4−4。なお、個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A」Q5−8のとおり、安全管理措置の内容に関する委託元・委託先間の合意内容を客観的に明確化できる手段であれば、書式の類型を問わない。 ↩︎

  15. 委託関係の終了後は通常は「委託元の利用目的の達成に必要な範囲内」での個人データの利用が想定されないため、個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A」Q7−38およびQ7−39からすれば、原則として委託関係の終了後は委託に伴い提供された個人データを削除すべきであると思われる。 ↩︎

  16. 法36条第2文および規則68条 ↩︎

  17. 法36条第1文 ↩︎

  18. 法3条19号、法36条第1文、規則53条第1文および規則67条。管理者と処理者との間の個人データの授受は「移転(transferencia)」には当たらないと整理されている。 ↩︎

  19. 個人情報の保護に関する法律27条1項 ↩︎

  20. 個人情報の保護に関する法律27条1項各号 ↩︎

  21. 個人情報の保護に関する法律27条5項 ↩︎

  22. 個人情報の保護に関する法律27条5項1号 ↩︎

  23. 法37条3号 ↩︎

  24. 個人情報の保護に関する法律27条5項3号 ↩︎

  25. 下記のとおり、「個人関連情報」の第三者提供規制も関係するため、「個人データ等」とした。 ↩︎

  26. 法36条および規則68条 ↩︎

  27. 法8条第3文、規則13条および規則14条第1文 ↩︎

  28. 法16条5号、36条第2文および規則68条 ↩︎

  29. 法37条 ↩︎

  30. 規則69条 ↩︎

  31. 法36条第1文 ↩︎

  32. 規則73条および規則75条 ↩︎

  33. 法36条第2文および規則72条 ↩︎

  34. 規則72条 ↩︎

  35. 個人情報の保護に関する法律16条3項 ↩︎

  36. 個人情報保護委員会「令和2年改正個人情報保護法について」 ↩︎

  37. 個人情報の保護に関する法律31条 ↩︎

  38. 規則74条。なお、上記のとおり、法36条第2文および規則72条に基づき、個人データの移転がなされた場合、移転先である第三者は当該データについて移転元である管理者が負う義務と同一の義務を負う。もっとも、これは個人データの移転(国内での移転か外国に所在する第三者への移転であるかを問わない)がなされた後に生じる帰結である。これに対し、規則74条は、外国に所在する第三者への移転の場合には、移転に先立つ前提条件として、移転先である第三者が移転元である管理者と同一の義務を負担していることを要求するものである。 ↩︎

  39. 規則75条 ↩︎

  40. 規則76条 ↩︎

  41. 個人情報の保護に関する法律27条1項および28条1項 ↩︎

  42. 法37条3号 ↩︎

  43. 規則75条 ↩︎

  44. 規則70条 ↩︎

  45. 規則57条 ↩︎

  46. 規則57条 ↩︎

  47. 規則59条 ↩︎

  48. 規則60条 ↩︎

  49. 規則61条 ↩︎

  50. 規則64条 ↩︎

  51. 規則65条 ↩︎

  52. 個人情報の保護に関する法律33条ないし35条 ↩︎

  53. 個人データに関するアクセス、修正、削除および異議申立て(Acceso, Rectificación, Cancelación y Oposición)の権利をいう(規則2条2号)。 ↩︎

  54. 法3条17号 ↩︎

  55. 法23条 ↩︎

  56. 法24条 ↩︎

  57. 法25条第1文 ↩︎

  58. 法27条 ↩︎

  59. 法30条第1文 ↩︎

  60. 法32条第1文 ↩︎

  61. 法34条第1文。なお、削除請求固有の拒否事由(法第26条)については、後述する。 ↩︎

  62. 法34条第2文 ↩︎

  63. 法34条第3文 ↩︎

  64. データ主体は、プライバシー通知に記載の方法で請求する必要がある(規則90条第1文)。管理者は、データ主体が電子通信等の適切な方法により請求できるようにしなければならない(規則90条第2文)。 ↩︎

  65. 法33条第1文 ↩︎

  66. 法25条第6文 ↩︎

  67. 法25条第2文および第3文 ↩︎

  68. 法25条第5文 ↩︎

  69. 法26条 ↩︎

  70. 法8条第5文および規則21条 ↩︎

  71. 法16条3号 ↩︎

  72. 個人情報の保護に関する法律145条 ↩︎

  73. 個人情報の保護に関する法律145条4条 ↩︎

  74. 個人情報の保護に関する法律173条。もっとも、171条、172条、174条175条176条および177条に規定の一定の悪質な違反行為に対しては直接に懲役および罰金が課されることとなっている。 ↩︎

  75. 法63条 ↩︎

  76. 法64条 ↩︎

  77. 法64条1号 ↩︎

  78. Unidad de Medida y Actualización(通称「UMA」)という、法令上支払われるべき金額を算出するための経済単位である。2022年現在、UMAはhttps://www.inegi.org.mx/temas/uma/にて確認可能である(1UMA=96.22メキシコペソ)。 ↩︎

  79. 法64条の条文上、課徴金の算定の基礎となる単位はUMAではなくメキシコシティの最低賃金(salario mínimo vigente en el Distrito Federal)と規定されているが、実務上はUMAが用いられているようである。 ↩︎

  80. 本稿においては、日本円換算額は、1メキシコペソ=7円で計算している。 ↩︎

  81. 法64条2号 ↩︎

  82. 法64条3号 ↩︎

  83. 法64条4号 ↩︎

  84. 法65条 ↩︎

  85. INAIは、個人データのセキュリティ侵害の事例においては、制裁の軽減の判断に際して、規則第3章に定める安全管理措置としての推奨事項が遵守されているかどうかを考慮することができる(規則58条)。 ↩︎

  86. 法67条 ↩︎

  87. 法68条 ↩︎

  88. 法69条 ↩︎

  89. 法58条および法66条 ↩︎

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する