EUにおけるプライバシー保護の動向と改正個人情報保護法に与えた影響

IT・情報セキュリティ
百田 博太郎弁護士 牛島総合法律事務所

目次

  1. はじめに
  2. EUにおけるプライバシー保護の動向
    1. EUにおけるプライバシー保護の法制度
    2. 保護の対象「個人データ」
    3. 個人データの処理に関する規制
    4. データ主体の権利
    5. 管理者の義務
    6. EU域外の第三国への移転
    7. 課徴金
    8. 域外適用

はじめに

 平成27年9月9日に、「個人情報の保護に関する法律」(平成27年法律第65号。以下「改正個人情報保護法」という)が公布された。公布から2年を超えない範囲内で政令が定める日までに順次施行されることになる。
 今回の改正には、海外におけるプライバシー保護の動向が大きな影響を与えている。
 しばしば、海外、とりわけEUにおけるプライバシー保護法制は厳格であるといわれる。海外におけるプライバシー保護の動向を理解することは、今回の改正個人情報保護法を理解する上でも、企業がグローバルに個人情報を移転するビジネスを展開する上でも重要なことである。
 そこで、本稿では、2回に分けて、海外(EU、米国)のプライバシー保護法制の動向を紹介するとともに、日本企業が海外と個人データをやりとりする場合に留意すべき点を解説する。

EUにおけるプライバシー保護の動向

EUにおけるプライバシー保護の法制度

 EUにおいては、平成7年(1995年)に採択された「EUデータ保護指令」が個人データ保護の現行法である。
 いわゆる「EU法」には、表1の4種類がある。

表1:EU法の4類型

(1)規則(Regulation) すべての加盟国を拘束し、直接適用性(採択されると加盟国内の批准手続を経ずに、そのまま国内法体系の一部となる)を有する。
(2)指令(命令)(Directive) 指令の中で命じられた結果についてのみ、加盟国を拘束し、それを達成するための手段と方法は加盟国に任される。指令の国内法制化は、既存の法律がない場合には、新たに国内法を制定、追加、修正することでなされる。
一方、加盟国の法の範囲内で、指令内容を達成できる場合には、措置を執る必要はない。加盟国の既存の法体系に適合した法制定が可能になる反面、規則に比べて履行確保が複雑・困難になる。
(3)決定(Decision) 特定の加盟国、企業、個人に対象を限定し、限定された対象に対しては直接に効力を有する。一般的法規というよりは、個別的かつ具体的内容を有する。
(4)勧告・意見(Recommendation /Opinion) EU理事会および欧州議会が行う見解表明で、通常は欧州委員会が原案を提案するもので、(1)~(3)とは異なり法的拘束力を持たない。

 このうち、(2)「指令(Directive)」は、EU域内の加盟国に直接適用されるものではなく、各加盟国において、別途、指令に従った国内法が制定されるものである。
 「EUデータ保護指令」は、この「指令」にあたる。
 そのため、現在、EU域内での個人データの取扱いは、EUデータ保護指令を前提とする各加盟国の国内法で定められている。そのため、各加盟国によって、国内法の規定が微妙に異なっていたり、後述するBCR(Binding Corporate Rules 拘束的企業準則)の認証を各加盟国で得なければならないなど、ビジネスを行う上での障害になっている。
 そこで、「一般データ保護規則」の制定が進められ、平成28年(2016年)4月14日に欧州議会本会議でいよいよ可決された(表2)。これは(1)「規則(Regulation)」にあたるため、発効すると、国内法の制定をせずとも加盟国を直接拘束し、EU域内における統一的な法規範となる。

表2:一般データ保護規則の現状

年月 EUにおけるプライバシー保護法制の動向
平成7年(1995年) EUデータ保護指令を採択
平成24年(2012年)1月 欧州委員会が一般データ保護規則提案を公表
平成25年(2013年)10月 欧州議会の担当委員会であるLIBEが修正案を採択
平成26年(2014年)3月 欧州議会本会議で修正案を可決
平成27年(2015年)6月 閣僚理事会で修正案を承認
平成28年(2016年)4月 欧州議会が本会議で可決
平成30年(2018年)の規則発効を決定
平成30年(2018年) 規則発行

 以下では、現行のEUデータ保護指令(以下「指令」という)における規制と、新しい一般データ保護規則(以下「規則」という)における規制の概要を解説し、日本の個人情報保護法の改正法への影響と、日本企業がEU域内と個人データをやりとりする場合などにおける留意点を考察する。

保護の対象「個人データ」

 EUにおいては、指令においても規則案においても、保護の対象となるのは「personal data(個人データ)」である。
 これは、日本の個人情報保護法が、個人情報データベース等を構成している「個人データ」のみならず、単体で存在している「個人情報」をも保護の対象としているのとは異なる。EUの方が、日本よりも保護の対象が狭いことになる。
 では、EU法における「personal data(個人データ)」とは、どのように定義されているであろうか。
 詳細は後述するが、指令においては、「'personal data' shall mean any information relating to an identified or identifiable natural person ('data subject')(「個人データ」とは、識別されたまたは識別され得る自然人(データ主体)に関する全ての情報をいう)」と定義されている。

 ここでポイントとなるのは、「identified or identifiable(識別されたまたは識別され得る)」という文言である。
 これは、日本の個人情報保護法において、「個人情報」が「特定の個人を識別することができるもの」と定義されていることと軌を一にする。
 つまり、個人情報・個人データの定義について、EU法と日本法は、基本的には同じ規定をしていると考えてよいのである1
 では、これが、規則ではどうなっているであろうか。詳細は以下のとおりである。

指令2条(a)号 規則4条(1)号
Ÿ ・識別されたまたは識別され得る自然人に関する全ての情報をいい、
・識別され得る自然人とは、特に個人識別番号、または身体的、生理的、精神的、経済的、文化的並びに社会的アイデンティティに特有な1つまたはそれ以上の要素を参照することによって、直接的または間接的に識別される者をいう。
Ÿ ・識別されたまたは識別され得る自然人に関する全ての情報をいい、
・識別され得る自然人とは、特に氏名、個人識別番号、位置データ、オンライン識別子、または身体的、生理的、遺伝的、精神的、経済的、文化的並びに社会的アイデンティティに特有な1つまたはそれ以上の要素を参照することによって、直接的または間接的に識別される者をいう。
(著者注:下線部分が指令との相違点である。)

 このように、「個人データ」の定義はほとんど変わっていないが、「氏名」、「位置データ」、「オンライン識別子」および「遺伝的」が識別の要素として追加されている
 すなわち、指令の「個人データ」には、解釈上、携帯電話番号メールアドレスクレジットカード番号等が該当し保護の対象になるとされていた。これに対し、ICT技術の発達に伴い、例えばGPSの位置データなどの情報も個人のプライバシーを侵害する重要な情報に当たると考えられるようになり、今回の規則では、このような情報も個人データに含まれることが明示されたのである。
 日本においても、改正個人情報保護法で個人情報の定義に「個人識別符号」を追加し、個人情報の定義を明確化しようとしているのも、同じ発想といえる。

個人データの処理に関する規制

 では、以上の「個人データ」に対して、どのような規制があるであろうか。

現行の「指令」における規制

 現行の指令では、個人データの処理2および第三者提供について本人の明確な同意」が必要とされている(指令7条(a)号)。この個人データの「処理」とは、収集、記録、蓄積、翻案、検索、参照、利用、頒布、削除または破棄などの作業をいい(指令2条(b)号)、日本の個人情報保護法の「取得」、「利用」、「提供」等に該当する全ての行為を含む
 EU法と日本の個人情報保護法の最大の違いがここにある。
 すなわち、 EU法では、個人データを取り扱うためには、「本人の明確な同意」が必要とされている。これは、日本の個人情報保護法においては、個人情報の利用等について同意は不要であるとされていることと対照的である

 また、EUの指令では、機微データ3の処理は原則として禁止され、例外的に本人の同意がある場合などに限り認められている(指令8条)。この点は、日本の改正個人情報保護法で手当が行われている(改正個人情報保護法17条2項、23条2項カッコ書)。
 また、これらの規制の例外として、個人が識別できないよう匿名化されたデータにはデータ保護の原則が適用されないこととされている(指令前文(26)項)。この点も、日本の改正個人情報保護法と同様の発想である(改正個人情報保護法2条9項、36条~39条)。

「規則」における規制

 規則は、上記の「指令」のルールをほぼそのまま踏襲している4
 ただし、後述するとおり、規則では、本人の同意を得ることなどデータ処理の基本原則に違反した場合に、課徴金として最大で2,000万ユーロまたは全世界の総売上の最大4%のいずれか高い方が課されると定められている(規則83条5項)から注意が必要である。

データ主体の権利

 個人データによって識別されるまたは識別され得る主体のことを「data subject(データ主体)」という。日本の個人情報保護法でいう「本人」である。
 日本の個人情報保護法においても保有個人データに対する本人からの開示・訂正・利用停止の要求などの権利が認められているが(改正個人情報保護法28条~30条)、EUにおけるデータ主体の権利は、主として表3の7点である。

表3 指令および規則における主なデータ主体の権利

データ主体の権利の内容 指令 規則
(1) データ主体への情報提供
→管理者は個人データを収集する際、管理者の身元・連絡先、処理の目的、保存期間等をデータ主体に情報提供しなければならない
10条、11条 13条、14条
(簡潔、透明、明瞭、簡単な方法(12条))
(2) アクセス権
→処理の目的や保存期間、個人データの情報源等に関する確認を要求する権利
12条 15条
(3) 訂正権
→不正確な個人データを訂正させる権利
12条(b)号 16条
(4) 削除権(「忘れられる権利」※) 12条(b)号 17条
(5) データポータビリティーの権利
→SNSサービスの切替などに際し、自己の個人データを一定のフォーマットで入手して移転する権利
規定なし 20条
(6) 異議申立権 14条 21条
(7) プロファイリングに基づく措置に服さない権利 15条 22条

※当初提案時には「忘れられる権利(right to be forgotten)」という名称が話題になったが、平成26年(2014年)3月の可決案ではその名称は「削除権(right to erasure)」となった。その後、「忘れられる権利及び削除権(right to be forgotten and erasure)」となった後、現在は「削除権(「忘れられる権利」)(right to erasure ("right to be forgotten"))」と規定されている。

現行の「指令」における権利

 まず、「指令」では、表3のデータ主体の権利のうち、(5)データポータビリティーの権利を除く他の権利が認められている5

「規則」における権利

 次に、規則では、(4)削除権(「忘れられる権利」)(規則17条)が、規則提案時から注目を集めている。個人データの消去を求める権利自体は指令12条(b)号にも規定されているが、あくまで不完全または不正確なデータの消去等を求めることができるにとどまっている。
 これに対し、規則における削除権(「忘れられる権利」)は、取得目的との関係でデータが必要とされなくなった場合や同意を撤回した場合等一定の要件を満たす場合に、自らに関する個人データを削除させる権利や、当該データのさらなる拡散を停止させる権利を認めたものである
 なお、規則案における削除権(「忘れられる権利」)が議論されている最中の平成26年(2014年)5月13日に、EU司法裁判所がグーグル社に対し、個人が自己の名前を検索した際に表示される同人の過去の情報へのリンクを削除するよう命じる判決を出した。グーグル社などのIT企業はこれを踏まえて対応を始めているところであるし、我が国においても地裁レベルで忘れられる権利を認める判断がなされてきているから(さいたま地裁平成27年12月22日等)、IT企業はこのような世界的な潮流に注意が必要である。
 その他、規則では、データポータビリティーの権利やプロファイリングに基づく措置に服さない権利が定められている。これらは、日本の個人情報保護法および改正法に類似の規定がないため、注意が必要であろう。

管理者の義務

 単独でまたは他と共同して、個人データの処理を行う自然人、法人、公的機関、当局または他の団体のことを「controller(管理者)」という。
 また、管理者のために個人データを処理する自然人、法人、公的機関、当局または他の団体のことを、「processor(処理者)」という。
 日本の個人情報保護法でいえば、個人データの取扱いの「委託」を受けた者が「processor(処理者)」であり、それ以外の「個人情報取扱事業者」が「controller(管理者)」であると考えるのが分かりやすい
 「controller(管理者)」の義務については、指令と規則とで大きく異なる。

現行の「指令」における義務

 指令においては、処理の安全性に関する規定(指令17条)や、管理者の名称や処理の目的等を監督機関へ通知する義務(指令18条、19条)が定められている。 また、EU電子通信プライバシー指令において、個人データ侵害時の監督機関への通知義務(後記の表4の(2))および(3)個人データ侵害時のデータ主体への通知義務(後記の表4の(3))が定められている。

「規則」における義務

 これに対し、規則においては、表4に記載したとおり、管理者の義務が大幅に強化されている。

表4 主な管理者の義務

管理者の義務の内容 指令 規則
(1) データ保護・バイ・デザイン、データ保護・バイ・デフォルト 規定なし 25条
(2) 個人データ侵害時の監督機関への通知義務 規定なし※ 33条
(3) 個人データ侵害時のデータ主体への通知義務 規定なし 34条
(4) データ保護影響評価 規定なし 35条
(5) データ・プロテクション・オフィサー(DPO)の設置 規定なし 37〜39条

※EU電子通信プライバシー指令の平成21年(2009年)改正において、個人データ侵害がある場合、プロバイダが所轄の国家機関や加入者又は個人に侵害を通知することを義務付けられている(EU電子通信プライバシー指令4条)。

 (1) データ保護についての「バイ・デザイン」、「バイ・デフォルト」(規則25条)とは、サービスの設計の段階からプライバシーを保護する設計にしておくことや、初期設定の時点でプライバシーを保護するようにしておくことを意味する。
 具体的には、処理手段の決定時点および処理時点の双方において、適切な技術的組織的な措置および手続を実施することや、初期設定によって特定の目的のために必要な個人データのみを取扱い、最低限必要な範囲を超えて収集・保有しないこと等が管理者に義務付けられている。

 (2) 個人データ侵害時の監督機関への通知義務(規則33条)および(3)個人データ侵害時のデータ主体への通知義務(規則34条)は、いずれも個人データ侵害時の管理者の対応について義務を定めたものである。
 管理者は、(2)監督機関への通知に関しては、遅滞なく、可能ならば個人データ侵害を認識した時から72時間以内に、その個人データ侵害を通知しなければならないとされている。他方、 (3)データ主体への通知に関しては、個人データ侵害が個人の権利自由に高度なリスクをもたらす見込みがある場合に、過度に遅滞することなく通知しなければならないとされている。

 (4) データ保護影響評価(規則35条)とは、米国やカナダ等で行われてきたPIA(Privacy Impact Assessment)に相当するものであり、日本でもマイナンバー法で行政機関の長等に対して「特定個人情報保護評価」として導入されている。
 PIAとはプライバシー保護策についての評価手法であり、評価を通じて改善点を見つけ、個人データの適正な取扱いを確保するための最適な方策に近付ける仕組みである。規則では、管理者が、個人の権利自由に高度なリスクのある処理に先立ち、予定する処理業務に関して個人データ保護に与える影響評価を実施しなければならない旨義務付けられている6

 (5)データ・プロテクション・オフィサー( DPO )の設置が義務付けられており(規則37〜39条)、早めの人材確保が必要となろう。

 これらの管理者の義務を果たさない場合、管理者は課徴金として最大1,000万ユーロまたは全世界での年間売上高のうち最大2%までのうち高い方を課されることになる(規則83条4項)。

EU域外の第三国への移転

現行の「指令」における規制

 EUにおいては、EU域外の第三国へ個人データを移転することは、当該第三国が「adequate level of protection(十分なレベルの保護措置)」を確保している場合以外には禁止されている。
 これは、日本の企業の企業活動にとって極めて大きな影響がある規制であるし、日本の個人情報保護法の改正法にも大きな影響を与えている。
 すなわち、EUデータ保護指令は、25条において、十分なレベルの保護措置を確保している場合以外には、EU域外の第三国へ個人データの移転を禁止している。そして、日本は、この十分なレベルの保護措置を確保した国であるとは認められていない(以下、この認定を「十分性認定」という)。
 したがって、例えば、日本企業がEUに進出した際に、EUの現地子会社の人事情報やマーケティングのデータなどの個人データを日本に送信することは原則としてできないのである。これは、EU諸国の企業が日本に進出した際に日本からEU諸国に個人データを移転できることと比較すると大きな不均衡があるといわざるを得ない。

EU諸国から日本に個人データを移転するには

 では、EU諸国から日本に、どのようにして個人データを移転したら良いであろうか。
 これには、3つの方法がある。
 まず、①本人の同意があれば移転できる。また、②欧州委員会が認めた標準契約条項(Standard Contract Clauses)を使用した契約を締結して当該契約に基づいて移転することは認められる。さらに③拘束的企業準則(Binding Corporate Rules)をグループ企業内で策定して加盟国の各プライバシー・コミッショナーの認証を得れば、グループ企業内では個人データを移転できる(表5)。

表5 EU域外の第三国への個人データの移転

原則 十分なレベルの保護措置(欧州委員会が十分性を認定する。)を確保していない第三国への個人データ移転を禁止する。
例外 ① 個別に本人の同意を取る。
② 欧州委員会の認めた標準契約条項(SCC)を用いて個別に契約する。
③ 拘束的企業準則(BCR)を策定して多国籍企業間でのデータ流通を可能とする。

 しかし、これらの方法は、消費者全員の同意を得るのが困難であること、標準契約条項(SCC)では相手企業・案件ごとに契約を締結しなければならず契約締結手続が煩雑になること、BCRでは各国のプライバシー・コミッショナーの承認が必要となるなど実務上手続が非常に難しく、不都合も多い。
 現に、平成28年(2016年)2月現在、日本でBCRを取得している企業はなく、上記の不都合がありながらも主として標準契約条項(SCC)が利用されている。

「規則」における規制

 規則(45~47条)は基本的に指令の枠組みを踏襲している7
 ただし、BCRについて、プライバシー・コミッショナーは一貫性の仕組み8に基づきBCRを承認することとされている(規則47条1項)。これにより、各国のプライバシー・コミッショナーの異なる権限に服するという不安定さが取り除かれることが期待されており、BCRによるデータ移転が現実的な選択肢となり得ると考えられる。

課徴金

「指令」における課徴金

 指令には課徴金の定めはない。
 もっとも、前述のとおり、現行の「指令」の下では各加盟国が国内法により個人データの侵害に対応している。例えば、ゲーム用のネットワークから大量の個人情報が流出した事件では、平成25年(2013年)1月、英国のプライバシー保護監督機関ICOが、日系の企業に対し、英国のデータ保護法に違反したことを理由に25万ポンド(約3,500万円)の支払いを命じている。

「規則」における課徴金

 規則では、本人の同意を得ることなどデータ処理の基本原則に違反した場合に、課徴金として最大で2,000万ユーロまたは全世界の総売上の最大4%のいずれか高い方が課されると定められている(規則83条5項)。
 また、管理者の義務を果たさない場合、管理者は課徴金として最大1,000万ユーロまたは全世界での年間売上高のうち最大2%までのうち高い方を課されることになる(規則83条4項)。
 高額な課徴金が定められているから、注意が必要である。

域外適用

「指令」における規制

 指令では、管理者がEU域内の設備を利用して個人データの処理を行う場合等において規制の対象となると定めている(指令4条)のみであり、域外適用の規定はない。
 したがって、日本企業が直接影響を受けるのは、EU加盟国に子会社があり日本の親会社に個人データを移転するケースや、EU域内に設置されたサーバを利用したITサービスを利用しているケースなどに限られることになる。

「規則」における規制

 規則では、EU域外企業であっても、管理者がEU域内にいるデータ主体に対する商品やサービスの提案をする場合や、その行動を監視する場合に域外適用の対象になるとされている(規則3条2項)。
 なお、規則前文(23)項によると、「管理者がEU域内にいるデータ主体に対する商品やサービスの提案をする場合」とは、当該管理者においてそのような商品やサービスの提案をする意図が明白である場合である。
 この「意図が明白である場合」とは、単にEU加盟国からウェブサイトや当該管理者のメールアドレスにアクセスできることや、当該管理者が所在する第三国で一般に使われている言語を使用しているのみであれば、これには当たらないとされている。
 しかし、EU加盟国で一般に使われている言語や通貨を用いて商品やサービスを注文することができるようになっていたり、EUにいる消費者について言及しているといった要素があると、意図が明白であるといい得るとされている。
 したがって、規則発効後は、EU域外にしか拠点がない日本企業であっても、EU域内にいる消費者に対してサービスを提案する場合(典型的には、インターネット・サービス事業者で、そのウェブサイト上でEU域内の言語や通貨を用いることができる場合)や、EU域内にいる者の消費行動などを分析する場合(プロファイリングする場合。典型的にはオンライン広告事業者など)には、規則の適用を受け得ることに留意すべきである。


  1. OECDプライバシー・ガイドラインとも同様の定義である。なお、EUの指令においては、解釈上、携帯電話番号、メールアドレス、クレジットカード番号等が該当し保護の対象になるとされているのに対し、日本の個人情報保護法の下でこれらの情報が個人情報に当たるかどうかはケースバイケースであり、両者の解釈次第では、EUの方が保護の対象が広いことになる。 ↩︎

  2. 契約の履行のため必要な場合にも個人データの処理が認められている(指令7条(b)号)。規則にも同様の規定がある(規則6条1項(b)号)。 ↩︎

  3. 人種、民族的出自、政治的思想等を明らかにするような個人データ、及び、遺伝データ、生体データ又は健康、性生活、性的指向についてのデータ。もっとも、下線部分は規則にのみ定められている。 ↩︎

  4. 本人の明示的な同意を必要とする点について規則6条1項(a)号、機微データについて規則9条、匿名化データについて規則前文(26)項。 ↩︎

  5. 厳密には、指令と規則とでは、指令においては(1)データ主体への情報提供(指令10条、11条)や(2)アクセス権(指令12条)において保存期間が対象に含まれていないなどの相違があるが、詳細は省略する。 ↩︎

  6. この規制は、規則36条の事前協議の規定とリンクするものであるが、詳細は割愛する。 ↩︎

  7. 一部変更もある。例えば、十分性認定については、規則では第三国における地域や特定の部門、国際機関もこれを受けられるようになっている(規則45条1項)。 ↩︎

  8. 監督機関が一貫した態様で、規則を実施し適用するために関連する情報を相互に提供し合い、相互援助すること等を定めた仕組みである。 ↩︎

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する