2012年3月20日火曜日
英国の個人情報保護監視機関における重大な保護法違反への刑罰強化の制度改革および運用実態の課題(その1)
本ブログでも過去紹介してきた英国のロー・ファーム(Pinsent Masons)が主催するブログ“ Out-Law.com”が興味深い問題を取り上げた。
英国の個人情報保護および公的機関の情報開示の独立監督機関として有名な「Information Commissioner Office:ICO)」が実際に刑罰(罰金刑)強化の決定にどのように取り組んでいるか、Pinsent Masonsが情報公開法に基づき請求した結果をこのほど明らかにした。
英国における情報保護法違反者への法執行および刑罰の実態についてわが国では詳細な調査は少ない。
実は、筆者は2010年1月に「英国政府が個人情報保護法違反取扱管理者に対し最高50万ポンドの罰金刑処分規則を決定・施行」と題するブログを掲載する予定で原稿を一部書き上げていたのであるが、ほかの案件問題でそのまま放置したままとなっていた。
今回、標記の問題を取り上げるにつきその前提として2010年以降の英国の情報保護違反に対する厳格な法執行(罰金刑の適用)が制度的にどのように変遷してきているかの理解がまず前提であることから、今回はその問題をまず取り上げ、その後にICOの罰則処分にかかる運用実態の調査結果を紹介することにする。
なお、わが国の経済産業省は3月16日付リリースで事業委託先である野村総合研究所が配信先アドレス(2,350名)がBCCとせず見える形で配信していたことが明らかとなり、同研究所に対し厳重な注意と再発防止策の策定を指示したと報じた。英国ICOであればどのような処分が行われるであろうか。ICOに直接聞いてみたい気がする。
1.英国ICOの罰金処分手続きに関する規則制定と罰金刑適用ガイダンスの公布
英国政府は、情報公開および情報保護委員(Information Commissioner Office:ICO)(筆者注1)による「1998年個人情報保護法(Data Protection Act 1998:DPA)」違反犯罪に対し最高50万ポンド(約6,350万円)の罰金刑処分手続に関する規則(2010年4月6日施行)(筆者注2)を決定、議会が承認した。
また、本規則を受けてICOはDPAの個人情報取扱管理者である「情報管理者(data controller)」への後述する「罰金刑適用ガイダンス」(筆者注3)
を公布した。
2010年の英国の法規制強化は、2006年の本ブログ(2011年2月28日付けで一部改訂)でも取り上げたとおり、データ主体の権利( 「1998年情報保護法(Data Protection Act 1998:DPA )」10条(筆者注4)に基づくいわゆるプライバシー権や私法上の救済権)に基づく直接的な保護や規制に加え、“data controller”の保護法の保護8原則(筆者注5)に違反する重大な取扱責任を直接問うもので、その責任追及の根拠としてデータ主体の実質的な金銭的損害または精神的苦痛等を拠りどころとするものである。
一方、英国の情報保護法の規定や運用が、わが国の個人情報保護法(個人情報の保護に関する法律(2003年5月30日法律第57号))に一部共通している、すなわち罰金刑通知発布の事前措置としての改善勧告等が定められている点、他方、英国ICOの場合、今回の罰則強化の前提として「改善・停止命令(enforcement)」が頻繁に出され厳しい運用が行われていることも、わが国の保護法運用のあり方と比較する上で重要な点と考えた。
英国ICOの「改善・停止命令」は、1か月に平均3回程度出されている。公表されている例はすべて“data controller”(筆者注6)からの「改善同意確約書(Undertaking)」を得ている。一方、わが国の改善命令等の実態はどうであろうか。わが国の主務官庁にはICOが管理しているような登録データベースがない。さらにいうと主務官庁は一応命令を発したときは、根拠条文にもとづきリリースは行うが、当該情報はたまたまメデイアが取り上げないかぎり、まず一般人の眼にとまることはない。筆者なりに各省庁別に調べてみたがこの約5年間で数件である(厚生労働省のように機微情報を扱う医療機関の監督機関でありながらゼロ件の場合もある)。
また、研究者として興味も持ったのは今回の英国のガイドラインに規定方法も含め分かりやすさへの配慮、さらに拘禁刑の論議はどうなったのか、最高罰金刑の50万ポンドによるデータ管理者の適正運用強化に向けた効果面の評価等、多くの検討すべき点が見えてきたからである。
今回、筆者の整理した論点はあくまでたたき台であるが、関係者の活発な論議を期待したい。
2.情報公開および情報保護委員(ICO)の設置の根拠法と権限
(1)ICOの権能を改めて取り上げた背景
筆者は、2006年5月28日付けの本ブログ「ICO報告書「What price privacy?(副題は『機微個人情報をめぐる違法取引の実態』)(2011年2月28日に改訂)」で、その厳格化のため処罰強化を含めた具体的取組みを議会や関係者に訴えている旨の情報を取り上げた。これらの動きは、その後のICOの権限強化等個人情報をめぐる英国内の議論のきっかけとなるといえよう。
ただし、今読み返してみるとかならずしもICOに関する法的な説明文としては不十分な感もあり、さらに言えば英国の個人情報保護法(DPA)の規定の考え方や運用を含め、わが国と比較研究する意義は十分あると考えた。(筆者注7)
もう1点は、ICOの役割を正確に理解することは筆者が従来から強い関心をもつ欧米の「行政情報公開制度」とも緊密に関係してくることから、改めて説明し直すこととしたこともある。
(2)ICOの役割、権限、責任、主務官庁等に関する根拠法や規則
最近時の調査としては2011年3月内閣府がまとめたレポートがあるが、その内容は決して十分とはいえない。また、2006年6月に(財)自治体国際化協会「英国の情報開示と保護―情報自由法とデータ保護法を中心としてー」は情報公開法に関する説明が中心ではあるが、ICOのHPの説明内容に比べ参考にはなりがたい。
ここで、改めてICOの説明内容にもとづき重要な点を整理する。
A.情報保護委員の権限・活動の根拠法
次の3つの法律および2つの規則である。
① 「1998年個人情報保護法」および「同法注釈集(改正内容等)」が中心となる。
② 「2003年プライバシーおよび電子通信に関する規則(Privacy and Electronic Communications (EC Directive) Regulations 2003)」
同規則は、英国が「Directive on privacy and electronic communications (2002/58/EC) (通信部門における個人データ処理及びプライバシー保護に関する欧州議会及び理事会指令)」を国内法化したものである。
③ 「情報公開法(Freedom of Information Act 2000)」および「環境情報規則(Environmental Information Regulations 2004)」
B.情報保護委員の責任と義務の内容
① 情報取扱い事業者や団体等の行動、実践内容につき具体的な行動規範に基づき政策や法執行を行う(Taking action)。
② DPAが規定するデータ管理者の公的登録事務(氏名、住所、取扱う個人データの種類が対象)を維持、管理する(Register of data controllers)。(ICOサイト参照)
③ 監査(Audits)、助言・勧告のための訪問(Advisory visits)および自己問診(Self assessments)等により事業者、団体等の取扱い内容の適正化を支援する。(ICOサイト参照)
④ 苦情受付処理(Handling complaints)
毎年、数千の苦情を受け付ける。
⑤ 公的部門全体にかかる「モデル公表手順」の採用と運営内容につき遵守状況のモニタリングと報告を行う(Monitoring compliance)。
⑥ EU機関、欧州委員会および他のEU加盟国と国際的な協力関係を含む国際的な役割を担う(International duties)。
(3)前記B.①(Take Action)のICOの任務を大別すると、(ⅰ)個人情報保護と電気通信の安全保護(data protection and privacy and electronic communications)、(ⅱ) 情報開示と環境情報保護(freedom of information and environmental information)となる。
ICOサイトでは活動内容として、この両者それぞれにつき説明している。ここでは(ⅰ)の機能を中心に説明するが、(ⅱ)については下記(4)およびICOサイトで確認されたい。なお、取扱い案件に関する詳細な解説も記載されているがここでは主な法執行の取扱件数のみ上げる。
①情報管理者等がDPA等の遵守内容を改善するためにとるべき一連の行動に関する「改善同意確約書(Undertaking)」を発行する。(11件)
②違法な事実が認められる情報取扱団体・機関等に対し、法令遵守のため特定の手段をとるべきことを求める「法執行通知(enforcement notices)」および「即時停止命令(“stop now” orders)」を発布する。(3件)
③団体・機関等に対する法令遵守に関する「同意に基づく検査(監査)(consensual assessments)の実施
④団体等が行っている個人情報の取扱手続(情報保護問題のみ)が良き実践内容といえるかどうかの調査を行うため強制検査に関する「検査通知(assessment notices)」を発布する。
⑤2010年4月6日以降におけるDPAの重大な違反行為または「プライバシーおよび電気通信規則(Privacy and Electronic Communications Regulations)」の重大な違反を理由として団体・機関等に対し最高50万ポンドの民事罰則金(civil monetary penalties)を課す罰金刑通知(monetary penalty notices)を発布する。(14件)
⑥DPAの下で犯された刑事犯罪人に対する刑事告訴(prosecute)を行う。(5件)
⑦社会的に問題となる個人情報保護違反について議会への報告
これらICOの法執行通知についての異議申立ては、一次裁定機関(First-Tier Tribunal)の一般規制部(General Regulatory Chamber:GRC)で受け付けられ、裁決通知(decision notices)および関係情報通知(information notices)は情報保護委員から発布される。
なお、ICOサイト(Take Action)3/18⑦ではさらに「データ保護規制行動方針(Data Protection Regulatory Action Policy)」、「査定通知に関する実践規範(Assessment Notices Code of Practice)」および「民事罰金刑適用に関するガイダンス(Monetary penalties guidance)」等にリンクして直接参照できる。(筆者注8)
以上の項目につき、わが国で詳しく説明しているものは皆無である。下記に項目立てして詳しく述べる。
(4)公的機関による情報自由法の適正運用の推進と同法の実施基準の提供
この問題について、今回は詳細な解説は略すが、前述した(財)自治体国際化協会「英国の情報開示と保護―情報自由法とデータ保護法を中心としてー」から一部抜粋する。
① 国民に対し情報自由法の情報提供
② 情報請求開示者からの不服申立の審査
③ 情報自由法に基づく、毎年国会に対する自らの機能実施状況についての報告
より具体的に情報委員の権限を整理すると次のとおりである。
① 情報開示請求に関する公的機関の判断について、請求者から不服申立があった場合、当該機関が情報自由法を遵守しているか否かについて裁決を行うこと( 裁決通告:decision notice)。この通告には公的機関がとるべき措置やその期間を明記しなければならない。
② 公的機関に対し特定の情報を提供するよう要求(情報通告:information notice)すること。
③ 情報自由法が遵守されていないと判断される公的機関に対し同法を遵守のための措置
を講ずることを要求(執行通告:enforcement notice)すること。
④ 公開計画の承認に関すること。
⑤ 公的機関に対する助言・報告書の提供、また公的機関の同意があれば当該機関が情報自由法の適正な運用を行っているかどうか評価すること。
(5)2011年5月26日施行された「改正2003年プライバシーおよび電子通信に関する規則(revised Privacy and Electronic Communications Regulations:PECR)」の主な内容
改正の中心は必ずしも大幅なものではないが、重要な要素を含んでおり、ICOサイトでは次のとおり解説している。
A.新クッキー・ガイダンスの制定(筆者注9)
改正規則6条はクッキーの使用に関する新規定を定める。同規定の具体的な運用ルール等を明確化すべくICOは「Guidance on the rules on use of cookies and similar technologies(全27頁)」(ICOサイトからリンク可)を定めるとともにサイト上で次の説明を行っている。(筆者注10)
○データ管理者(data controller)は過度に個人情報の処理を行うことを禁止するDPAの第3原則が求める要件を含む。個人情報の収集時、データ管理者は効率面からも見ても匿名の処理を考えるべきであり、たとえばウェブサイトの訪問者数をカウントするなど、ユーザーが直接目的とした内容以外の目的を持って情報を保有する場合がそれに当たる。
○通信内容の機密性とスパイウエアに関し、本改正規則の意図は内密のオンライン監視メカニズムに関する懸念をも反映したものである。ここで問題となるのは合不適なオンラインビジネスで収集される個人情報ではなく加入者やユーザーが知らないままに情報の入手、保存、行動内容を追跡するものであり、それらはしばしば犯罪目的で行われるものである。
○改正規則はサービス・プロバイダーが提供すべきクッキー情報に関し具体的に記述していない。しかし、クッキー通知文言は当該情報主体においてクッキー情報の保存やアクセスを認めた場合の潜在的結果について理解できる程度の十分かつ明確な情報内容でなければならない。これはDPAにいう第一原則である「透明性原則」に該当する。
○クッキーの拒否権行使の例外規定
改正規則は次にあげる特定のアクセスデバイスについてはクッキーにつき同意は不要と定める。
①電子通信ネットワーク上で通信手段の実行または支援目的の場合
②当該データの保存やアクセスが加入者やユーザーにより要求されたもので情報社会サービスの提供上厳格な意味で必須である場合
○加入者とユーザーが異なる場合のクッキー同意の相手方
改正規則6条はクッキーに関し加入者やユーザーから同意を得ることを定めるが、それらが異なる場合にいずれが優先するかについては明記していない。
おそらく、加入者(たとえば雇い主)が特定の業務遂行目的でデバイスを従業員に行わせる手続きの遂行を優先させるという雇い主の意向を優先させることは不合理とは言えないであろう。
B.公的サービス・プロバイダーに対する個人データ保護の侵害事故におけるICOへの報告の義務化(personal data breaches)
サービス・プロバイダーのこの義務を履行する上での報告義務の内容は次のとおり定められている。補足するとデータのセキュリティ事故の通知とは次の場合に通知義務が生じるということになる。
(i)データのセキュリティ事故が発生し、その結果、不作為または不正により個人情報が破壊されもしく消失した場合または個人情報に不正アクセスがあった場合には、そのセキュリティ事故を、およびそれに伴い提案または実施された是正措置の詳細を情報コミッショナーに通知し、(ii)当該セキュリティ事故が加入者または個人の個人情報またはプライバシーに悪影響を及ぼす可能性が高い場合には、当該加入者または個人に事故を通知し、より詳しい情報の入手先を連絡するとともに、発生し得る悪影響を軽減するための措置を提案すること。
(Herbert Smith法律事務所の解説から一部抜粋)
①個人情報の侵害事故に関する次のログ内容を報告する義務を負う。
・侵害の周辺で起きた事実
・侵害の影響範囲
・実際に取られた改善・救済措置
②ICOへの通知内容は次の内容が含まれねばならない。
・侵害の事実の重大性
・侵害の結果
・侵害に対する措置としてプロバイダーが取った具体的手段
この報告手続きをより簡素化するため、ICOはプロバイダーに毎月単位で報告を行うよう勧奨している。なお、侵害通知義務を怠ったプロバイダーに対しては1,000ポンド(約128,000円)の罰金が課される。
さらにICOは侵害が重大な事故に関わるか否かの判断に関し次の点に十分配慮することを勧める。
・そこに含まれる個人情報のタイプと機微性
・データ主体にとって苦悩や困惑等の影響度合い
・金銭的な損失、詐欺やなりすましにあうリスク
③加入者、ユーザーに対する次の通知が義務化された。
・侵害の事実の性格、重大性
・データ主体が更なる詳細情報を得るためのプロバイダーたる団体、機関等の連絡窓口
・侵害の事実とその影響をどのように軽減化できるか具体的方法
C.情報委員への改正規則に基づく法執行権限の付与(enforce these regulations)
○ICOに付与された新たな法執行権限は次の項目である。
①重大な規則違反に対する最高50万ポンドの民事罰則金
②公的サービス・プロバイダーに対する監査の実施
③同サービスの安全性強化に関する指導
④侵害事故時の通知義務や報告の遵守指導
○侵害時の通知義務を怠った場合の一律1,000ポンドの民事罰則金を課す。
○必要に応じプロバイダーの遵守状況を調査するため関係する第三者機関に情報提供させる。
(筆者注1)わが国では99%の専門家が” Information Commissioner”を「情報委員」 と訳している。本ブログでは、あえて法律内容の正確さを優先させて「情報公開および情報保護委員」という訳語を用いた。
(筆者注2) 英国政府の“Order”とは、いわゆる省令(行政規則)であり、Act(本件の場合は1998年個人情報保護法(Data Protection Act 1998 ))によって授権された担当大臣(本件の場合は国務大臣および法務大臣)の名で具体的な規則を定めた“Statutory Instruments”(国会で簡略的な承認手続きを経て策定されるもの)である。
(筆者注3)罰金刑通知のガイダンスの原文に即していうと” seriously contravened the data protection principles and the contravention was of a kind likely to cause substantial damage or substantial distress”となる。
(筆者注4) 英国DPAの10条は、データ主体の権利として“Right to prevent processing likely to cause damage or distress”を定める。また、DPAの11条(Right to prevent processing for purposes of direct marketing)はデータ管理者に対するデータ主体の権利すなわちいかなる手段を問わずダイレクト・マーケティングの中止や開始を阻止する権利を定める。
(筆者注5)英国DPAの“Schedule”に定める「個人情報保護8原則」は極めて重要な保護規則である。なお、「附則1に規定されているデータ保護原則(Data Protection Principles)の要約は、ICO によると、次のようになっている。日本の法律と異なり、附則に重要な事項が規定されていることに注意する必要がある(本稿では、Schedule を「附則」と訳しているが、日本の法律の附則とは異なることに注意されたい。イギリスの制定法の特徴である。」解説
(筆者注6)わが国の行政機関の個人情報保護は「行政機関の保有する個人情報の保護に関する法律(平成15年5月30日法律第58号)」により規制されているが、英国の場合は法律上「官民」の区別がない。従って、例えばロンドン市(City of London)の1998年個人情報保護法の解説サイトでは、同市自身が“data controller”であると説明している。
(筆者注7) 内閣府国民生活局「個人情報保護」サイトで紹介されている「諸外国等における個人情報保護制度の運用実態に関する検討委員会・報告書」ではイギリスのICOにつき次のような説明が行われている。
「ICO は、マンチェスター郊外に本部事務所を構えるほか、北アイルランド、ウェールズ、
スコットランドにも地域事務所を置いている。ICO は、1998 年データ保護法のみならず、2000 年情報自由法、2003 年プライバシー及び電子通信(EC 指令)規則(Privacy and Electronic Communications (EC Directive)Regulations 2003)、2004 年環境情報規則(Environmental Information Regulations 2004)に基づく任務を担っている。権限拡大に伴い、毎年スタッフを増員し、組織を拡大させているとのことである。」
確かにICOのHPを直訳するとこうなる。しかし、作業した担当者は各法律や規則の原文を読んでいるのであろうか。あえて正確さを期すためコメントしておく。
【例】①マンチェスターの前に「イングランド」が必要であろう。グレート・ブリテンはいうまでもなくイングランド、ウェールズ、北アイルランド、スコットランドからなる連合王国である。
②「2000年情報自由法」はどのような法律であろうか。ICOサイトでは“The Freedom of Information Act gives you the right to obtain information held by public authorities unless there are good reasons to keep it confidential.”すなわち日本でいう「行政機関の保有する情報の公開に関する法律(平成11年5月14日法律第42号)」に部分的に該当する法律である。同法の内容に即して補足すると、国立国会図書館「外国の立法」216号では「2000年情報自由法(Freedom of Information Act 2000)は、これまでの制定法によらない政府情報のアクセスに関する実施要領に代わるものであり、政府の省、議会、地方公共団体等の公的部門が保有する記録情報に対するアクセス権を創設するものである。この法律の主な特徴は、①法律の定める条件及び除外規定に基づく、情報に対する広く一般的なアクセス権を創設したこと、②除外規定が適用される場合であっても、公益のために裁量的開示が考慮される必要があるとしたこと、③情報の公開が義務付けられたこと、④独立の情報コミッショナー及び情報審判所による執行権限を定めたことである。」と説明されている(国会図書館やその他の外国法専門家が一般的に使う「情報自由法」と言う訳語は内容からみておかしいと思うが?)。本ブログではあえて「公共部門保有情報公開法」と意訳する。当然ながら同法は「言論の自由に関する法律」ではない。
③“EC directive”の訳語は「EC指令」ではない。わが国の個人情報保護法の検討の最も参考とされた「個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」 (95/46/EC)」を「EC指令」と言う専門家はいない。ちなみに欧州連合(EU)は2009年12月1日に改革条約である「リスボン条約」が発効した。その中で「ECの名称はすべてEUに置き換えられる」とあり、今後“EC( European Community ) directive”は“EU(European Union) directive”となる。
④2004年環境情報規則(Environmental In- formation Regulations 2004 (S.I. 2004/ 3391))
の基本的な説明が欠如している。すなわち、同規則は「ヨーロッパでは、国連欧州経済委員会(UNECE)の枠組の中で「環境問題についての情報の入手、意思決定における国民参加及び司法制度の利用に関する条約」(Convention on Access to Information, Public Participation in Decision-Making and Access to Justice in Environmental Matters)を制定した。この条約は、1998 年6 月25 日、オーフス(デンマーク)で開催された第4回汎欧州環境閣僚会議において採択されたものであり、それに因んで「オーフス条約」(Århus (Aarhus) Convention)」と呼ばれる。環境情報規則(2004年12月21日制定、2005年1月1日施行)は同条約および2003/4/EC指令ならびに“Freedom of Information Act 2000”に基づいている。」(日本大学岩田元一氏(2006年現在の所属)「環境情報に関するヨーロッパの制度とわが国の現状」より一部抜粋引用)。なお、近畿大学 林 晃大氏「イギリスにおける環境情報開示と2004年環境情報規則」も参考になる。
(筆者注8) わが国で法令の解釈を補完するICOガイダンスに該当するものは各省庁が定める「保護法ガイドライン」であろう。2009年10月9日付けで経済産業省は「個人情報の保護に関する法律についての経済産業分野を対象とする改正ガイドライン」を告示した。4年半の間で築いたノウハウはこれだけか。内容は極めて微調整である。
また、金融庁も2009年7月10日付けで「金融分野における個人情報保護に関するガイドライン」改正案を公表している。主務官庁の中で一番多く改善命令を出していることもあり、ガイドラインの見直しの範囲や説明の充実も他省庁より多い。ただし、英国のような抜本的な罰則強化策とはいえない。
(筆者注9)ICOは、自身のサイトの上部で下記のような注意書きと明示的なクッキー許諾を求めている。
「ICOは、私たちのウェブサイトを改良する目的であなたのコンピュータの情報保存にクッキー技術を使用したいと思います。私たちが使用するクッキーの1つは、サイトが作動するのに不可欠なものであり、既にセットされています。あなたはこのサイトからすべてのクッキーを削除して、クッキーをブロックすることができますが、サイトは機能しないでしょう。
私たちが使用するクッキーとどのようにそれらを削除するかについて詳しくはICOの「プライバシー通知(privacy notice)」をご覧ください。
I accept cookies from this site.
□私はこのサイトからクッキーを受け入れます。」
(筆者注10) クッキーへのユーザー同意:ウェブサイト上で「クッキー」を利用している企業は今後、クッキー利用についてユーザーの同意を得なければならず、今までのように、同意を望まない場合はユーザー自身に「オプトアウト(能動的に拒否すること)」してもらうことができなくなりました。新規制では同意の要件が曖昧なため、情報コミッショナーは、ガイダンスを発表し(こちらのリンクをご参照下さい)、企業に「対策を講じるために」1 年間の猶予期間を認めています。(Herbert Smith法律事務所の解説から一部抜粋)
************************************************************
Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
登録:
コメントの投稿 (Atom)
0 件のコメント:
コメントを投稿