欧州司法裁判所はオーストリアの情報保護委員会が政府から十分な独立性を維持していないと判示

10月16日、欧州連合司法裁判所(Court of Justice of the European Union：CJEU)(筆者注1)はオーストリアの個人情報保護監視機関であるAustrian Data Protection Authority:Datenschutzkommission：DSK)(筆者注2)の独立性を疑問視した欧州委員会および欧州個人情報保護監察局(European Data Protection Supervisor：EDPS)(筆者注3)からの申立に対し、大法廷はDSKが連邦首相ヴェルナー・ファイマン(Werner Faymann)府内のキャリア組の管理等に中心的な権限を持ち、またそのスタッフが公務員であること、さらに首相がDSKの活動内容に精通している等の事実にもとづき、EU情報保護指令(Directive 95/46/EC)第28条(筆者注4)に違反するとする裁決(判決原本)を行った。

　また、この独立性原則は、同指令のみでなく「EU基本権憲章(Charter of Fundamental Rights of EU)」および「EUの機能に関する条約(Treaty on the Functioning of the EU：TFEU)」においても明らかにされている。

　今回ドイツはオーストリアのDSKの擁護に回ったが、CJEUがEU加盟国の情報保護委員の独立性について判示したのは今回が初めてではない。例えば、2010年3月9日に同裁判所は欧州委員会がドイツに対し行った告訴に対し、今回と同様の論理にもとづき、加盟国のEDAsは彼らの責務を履行への影響や政策決定プロセスにおいてあらゆる直接、間接の影響から自由でなければならないと判示している。

　なお、今回のブログは時間の関係でEDPSのリリース文の内容を中心にまとめたが、本ブログでも過去に取り上げた英国の法律事務所Pinsent Masons LLPの「Out Law .com」がより詳しく解説している。ぜひ、参照されたい。

１．EDPSの10月16日のリリース文(Commission v. Austria: Court of Justice says Austrian data protection authority is not independent)

次のとおり仮訳する。
○本日、EU欧州司法裁判所はオーストリアの情報保護委員会(Data Protection Authority(Datenschutzkommisson(DSK))が、1995年EU情報保護指令が概略規定する独立性要件を充足していないと判断した。特に、本法廷はオーストリアの法令の規定に定める政府からのDSKの機能的独立性が十分でなく、連邦政府の首相(Chancellery)との緊密な結びつきを避けることが、DSKが何よりも不公正の疑いであることを防ぐと述べた。EDPSの主席監察官ピーター・ハスティンクス(Peter Hustinx)は次のように述べた。「再度、大法廷は現在のオーストリアにおける情報保護委員会の完全な独立に関する法律上の義務にアンダーラインを引いた」本判決は、国内法令で有効にそれを保護するために基本的な権利と公平の必要性としてデータ保護の重要性を支持するものである。また、データ保護当局の役割を強化しなければならないデータ保護枠組みの見直しに関し、本判決は重要な意義を持つ。」

○大法廷は、連邦政府首相府の中でキャリア組を管理するメンバーのDSKにおける中心的役割を批判した。また、DSKのスタッフは連邦政府首相の下にある公務員である。さらに首相には、DSKのすべての活動について知識・情報が得られる権利がある。しかしながら、大法廷はそういうもののDSKの活動自体は批評しなかった。

○具体的な事例における首相の介入に関する裁判所の判断をEDPSは歓迎する。2番目の事例について、大法廷はデータ保護当局からの独立にそのような重要性を置いた。同法廷は「EUの機能に関する条約(Treaty on the Functioning of the EU：TFEU)」を示すことで、本当に独立したデータ保護当局がデータ保護分野で行われる仕事の本質部分である点を強調した。

〔今回の判決の背景となる関連情報〕

今回のEU指令違反手続き訴訟は、オーストリアに対して欧州委員会によってもたらされた。すなわち、オーストリアの情報保護委員会(DPA)が設置された方法が、EU保護指令に合致しないと信じうるものであるという理由に基づくものである。欧州委員会は、オーストリアのDPAの独立性はDPAと連邦政府の首相との支配的に緊密な結びつきから見て十分確実でないと主張し、本事件は2012年4月25日にCJECに持ち込まれた。そして、EDPSは訴訟参加者(intervening party)として同裁判の審問において欧州委員会を支持するために参加した。

法的な解釈に関連し、本事件は「欧州委員会　対　ドイツ事件(C-518/07)」 (判決文)に匹敵する)。EDPSは同裁判でも、欧州委員会を支持して訴訟参加者としてそこで機能した)。 2010年3月9日のCJEU判決では、同法廷はDPAsには直接または間接的であれいかなる外的影響もあるべきでないと考えた。 外的影響を受けるという単なるリスクは、DPAが完全な独立して行動できないという結論を下すために十分である。 オーストリアDSKに対する今回の裁判では、法廷に対し独立性の要件につき更なる明快さを提供するよう求めた。

２．EUにおける保護委員会等の独立性問題と関係機関の受け止め方

たとえば、2011年にEU基本的人権保護庁(FRA)が取りまとめ公表した「Fundamental rights:challenges and achievements in 2010」(筆者注4)の第3.3章「Data protection authorities:independence ,powers and resources」(59ページ以下)は、2010年5月にFRAが公表した過去の加盟国(ドイツ)における実態を踏まえ、欧州委員会の告訴に基づき、CJEUが判示した内容等を詳しく紹介、解説している。

本ブログではその詳細には立ち入らないが、わが国では独立性を持った「個人情報保護委員会」組織を設置すればすべての問題が解決されるというような安易な議論が議会や関係者から出されている。しかし、長い歴史を持つ欧州でさえこのような運用実態に基づく法令遵守のあり方が、司法、行政機関、議会さらにはWatchdog等を中心に行われていることを改めて注視すべき時期にあると思う。

(筆者注1)欧州司法裁判所(ECJ)は2009年12月1日、リスボン条約の発効により欧州連合司法裁判所(Court of Justice of the European Union：CJEU)に改称され、また「欧州司法裁判所(Court of Justice：ECJ)」、 「欧州一般裁判所(General Court)」、専門裁判所(specialised court)たる「欧州公務員裁判所(：Civil Service Tribunal)」の3つの裁判所から構成される（Treaty of European Union：TEU 19条１項）こととなった。


この経緯や各裁判所の裁判管轄などの詳細は、在ルクセンブルグ日本大使館が「欧州連合司法裁判所概要」でEUの公式サイトの内容をもとに解説している。

(筆者注2) 2012年9月24日のブログ「EUの個人情報保護監視機関(EDPS)が欧州委員会の諮問に応えプライバシー規則案の改善に向けた意見書を提出」がEU加盟国の個人情報保護のWatchdogである「欧州個人情報保護監察局(European Data Protection Supervisor：EDPS)(主席監察官ピーター・ハスティンクス：Peter Hustinx)」の活動内容を詳しく紹介している。

(筆者注3) EU情報保護指令(Directive 95/46/EC)第28条は、加盟国の保護監督機関の設置、権限、独立性等に関する規定を定める。以下で原文を挙げる。なお、完全な独立性に関する定めは第1項後段に明記されている。
Article 28 Supervisory authority

1. Each Member State shall provide that one or more public authorities are responsible for monitoring the application within its territory of the provisions adopted by the Member States pursuant to this Directive.

These authorities shall act with complete independence in exercising the functions entrusted to them.

2. Each Member State shall provide that the supervisory authorities are consulted when drawing up administrative measures or regulations relating to the protection of individuals' rights and freedoms with regard to the processing of personal data.

3. Each authority shall in particular be endowed with:

- investigative powers, such as powers of access to data forming the subject-matter of processing operations and powers to collect all the information necessary for the performance of its supervisory duties,

- effective powers of intervention, such as, for example, that of delivering opinions before processing operations are carried out, in accordance with Article 20, and ensuring appropriate publication of such opinions, of ordering the blocking, erasure or destruction of data, of imposing a temporary or definitive ban on processing, of warning or admonishing the controller, or that of referring the matter to national parliaments or other political institutions,

- the power to engage in legal proceedings where the national provisions adopted pursuant to this Directive have been violated or to bring these violations to the attention of the judicial authorities.

Decisions by the supervisory authority which give rise to complaints may be appealed against through the courts.

4. Each supervisory authority shall hear claims lodged by any person, or by an association representing that person, concerning the protection of his rights and freedoms in regard to the processing of personal data. The person concerned shall be informed of the outcome of the claim.

Each supervisory authority shall, in particular, hear claims for checks on the lawfulness of data processing lodged by any person when the national provisions adopted pursuant to Article 13 of this Directive apply. The person shall at any rate be informed that a check has taken place.

5. Each supervisory authority shall draw up a report on its activities at regular intervals. The report shall be made public.

6. Each supervisory authority is competent, whatever the national law applicable to the processing in question, to exercise, on the territory of its own Member State, the powers conferred on it in accordance with paragraph 3. Each authority may be requested to exercise its powers by an authority of another Member State.

The supervisory authorities shall cooperate with one another to the extent necessary for the performance of their duties, in particular by exchanging all useful information.

7. Member States shall provide that the members and staff of the supervisory authority, even after their employment has ended, are to be subject to a duty of professional secrecy with regard to confidential information to which they have access.


(筆者注4) FRA年報「Fundamental rights:challenges and achievements in 2010」は全194頁にわたるものである。筆者は従来からFRAの情報を直接入手しているが、EUがかかえる人権問題を広く取り上げている。参考までに同年報の目次を仮訳する。FRAが有する機能、役割について正確な理解が求められている。

１．難民施設、移民および人種融合(Asylum,immigration and integration)

2. 国境管理およびビザ政策(Border control and visa policy)

3. 情報社会および情報保護(Information society and data protection)

4. 子供の権利および子供の保護(The rights of the child and protection of children)

5. 平等性および差別のない社会(Equality and non-discrimination)

6. 人種差別および民族による差別(Racism and ethnic discrimination)

7. EUの民主機能におけるEU市民の参加(Participation of eu citizens in the union’s democratic functioning)

8. 効率的なアクセスおよび司法の独立性(Access to efficient and independent jusitce)

9. 被害者の保護(Protection of victims)

10. 国際的な責務(International obligations)

********************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution.