筆者の手元に米国のローファーム・サイト(Inside Privacy)や英国のローファーム・サイト(Out-Law)から興味深いブログが複数届いた。(筆者注1)
6月25日、欧州司法裁判所(Court of Justice of the European Union:CJEU)のNiilo Jääskinen法務官(Advocate General:AG)が、スペイン裁判所から出されていたスペイン住民のGoogle(検索エンジン・プロバイダー)への検索削除権に関する一連の照会に対し先決裁定意見書(opinion)(筆者注2)を提出したというものである。
CJEUにおけるこの種の意見書は初めてであり、その法的意義もさることながら、特に、(1)「データ主体による削除請求権(right to be forgotten)」(筆者注3)問題は2012年1月25日に公表された欧州委員会の「電子化社会の進展に対応した個人情報処理とこれら情報の自由な移動に関する規則(最終案)( Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (“General Data Protection Regulation”(以下、「データ保護一般規則(案)」という)」との関係、また(2)その実現に向けて検討すべき技術面の課題や限界に関するENISA(European Network and Information Security Agency)の3つの勧奨事項報告書に関する問題を正確に取り上げるべき時期にあると思う。
なお、筆者は2012年3月26日ブログ「EUのENISAがEU情報保護指令に代替する規則草案等支持を前提に2つの勧奨研究成果公表とフォーラムを開催」において欧州委員会の一般保護規則草案の立法化問題とENISAの勧奨報告書の内容につき解説した。今回は、さらにENISAのその後の問題提起内容につき一部重複を覚悟で改めてフォローする意義を考えた。
この問題につき、欧米の関係メディアの今回の先行裁定にかかる解説記事(ブログを含む)を読む限り、これらの点を網羅しているものは皆無であった。その意味で改めて本ブログをまとめることとした。
また、法務官意見書の内容と極めて関連するFasebook等SNSプロバイダーのEU内の本拠地と適用保護法問題に関する2013年4月22日のドイツ: シュレスビッヒ・ホルシュタイン行政裁判所(OVG)判決の意義を併せて解説する。
さらに、CJEUの裁判制度の特殊性や法務官の先行裁定の意義等についても適宜補足説明する。
1.本先決裁定に係る照会事項のこれまでの裁判経緯
(1)裁定上の論点
①EUデータ保護指令(95/46/EC)の下における領域の範囲と国内適用問題
②検索エンジン・プロバイダーはデータ管理者(data controllers)であるか。
③欧州委員会が提案する「データ主体による削除請求権(right to be forgotten)」が、欧州連合基本権憲章(Charter of Fundamental Rights of the European Union )第8条(Article 8:Protection of personal data)やEUデータ保護指令(95/46/EC)等にいう「データ主体による削除請求権(right to be forgotten)」としてEUの一般保護原則として適用されうるか。
(2)本裁判手続きのこれまでの経緯
1998年前半に新聞記事の報道記事に取り上げられたスペイン人の個人のデータ削除要求問題が引き金となった。
2010年に彼(A氏)はグーグル・スペインに対し、グーグルユーザーが検索エンジンを用いて新聞記事に関し自分の名前を入力してもリンクできないようにするよう申し入れた。彼が接触した新聞社は、関連データの消去を拒否した。このため、A氏はスペインのデータ保護機関(Agencia Española de Protección de Datos: AEPD)に苦情を申し入れた。
AEPDは調査・検討した結果、Googleに対し検索エンジンのインデックスを撤回させるべく必要な手段をとること、また、今後同データへのアクセスを不可能にするよう命じる決定を行った。
Googleはこの問題につき司法裁判所の判決前手続き「先行判決(preliminary ruling)」を求めるべく、スペインの裁判所にこの決定に対する控訴を行った。
(3)AGの意見書内容(EU保護指令における適用地問題と該当国の国内保護法適用問題)(なお、この解説部分(3)と(4)は“Inside Privacy”の解説ブログから引用した。その理由はIT専門的な視点から意見書内容を解説していると考えたことによる)
AGは、Googleの検索エンジンがスペイン人のユーザーの眼が個人の評判を狙ったとしても、そのことはスペインの保護法の適用の引き金とならないと断言した。
特に、EU保護指令第4条第1項(注4)の解釈につき、指令適用の地域を完全に調和させるべく「紛争の重要性から見た中心地(centre of gravity of the dispute)」という新たな判断基準を追加する必要はないと論じた。
むしろ、関連する質問事項であるスペイン国内において、Googleが第4条第1項にいう「データ管理者の設置地における活動の文脈においてデータ処理を行っていたか」という問題であろうと指摘した。
この問題に関し、AGはGoogleの主張点すなわちGoogleの検索エンジンにかかる個人データの処理はスペインで行っておらず、同社の広告機能の商業代表部門としての活動のみであるという意見に好意的な立場を示した。
しかしながら、AGは指令適用地域につき次のような見解を示した。
ビジネスモデルの観点から見てインターネット・プロバイダーをどのように判断するか。通常、キーワード広告(keyword〔……〕 advertising)に基づき決せられる。このキ-ワード広告〔….〕につき責任を負う企業は、インターネット検索エンジンにリンクさせる。〔and〕検索では全国ベースの広告市場の存在を必要とする。
本事件において、Googleスペインはスペインの広告市場に参照する橋として活動しており、AGの見解はその十分な結びつきを提供した。その結果、AGは法廷は個人的な処理がコントローラーの文脈の中で次のように行われたことを明示すべきことを提案した。
「PRや販売広告スペース目的で、EU加盟国にその国の国民に向けた活動に適合する事務所や子会社を設置する目的で検索エンジンの提供を保証しているか。」
重要な点は、AGはEU以外の国で参加しうるであろう技術的なデータ処理運用に含まれる設置が必要であるとは考えていないことである。また、AGは会社グループの場合、別の法人格(単一のデータ管理者概念)ではなく1つの機構として扱われるべきであるという見方を支持し、また経済的に見た運営者は1つの機構として扱われるべきであり、個人データの処理に関する個人的な活動に基づき分断すべきでないと考えていることである。
(4) AGの意見書内容(ISESPはデータ管理者(コントローラー)であるか?)
この問題に関し、AGはGoogleが個人データの処理しているか否かという問題に関しては比較的ぞんざいに対処している。特に、姓名、映像(images)、住所、電話番号、記述文等のコピー、索引付け、キャッシュメモリーに格納(caching)、ソースウェブページの表示(display of source web pages)は「処理(processing)」を構成すると述べているのみである。これら個人データの特性は、インターネット検索サービス・プロバイダーにとって未知のままである、またはソース・ウェブページの中の個人データはある意味で無作為であるという事実はこの結論を変えないであろう。
さらに、検索条件としての所与の姓や名を通じて行う自然人の間接的認証(indirect identification)は、「検索結果〔….〕はインターネット・ユーザーに対し同一名の個人間の区別において限定的なリンクを明らかにする。
ISESPが個人データのプロバイダーであるかどうかに関し、AGはEU保護指令の解釈は「バランスが取れかつ合理的な結果を実現すること」ならびに「実質的にスマートフォン、タブレットやノートPCを持つ人々に対するインターネット環境を踏まえ」行うことを提案する。
AGの意見書はこれらの状況はカバーされていない。とはいうものの、AGは以下の2つに状況を分けて区別した。
(A)AGの見方では、ISESPは第三者のウェブページ上の個人データのコントロールを機能情報位置の提供道具を提供するに過ぎない。
むしろ、その役目は電気通信事業者やその他の放送事業者(これら事業者の場合、主たる管理者は情報プロバーダーである)と類似の機能である。インターネット検索エンジン・サービスは、統計的事実以上の他の意味で個人データの存在に気づいていないし、事実上情報管理者の責務を果たしてもいない。また、ISESPは原則としてキャッシュメモリーのコンテンツを制御しない。
(B)これと対照的に、ISESPはキーワードを関連するURLアドレスにリンクさせる検索エンジンにインデックス中に含まれる個人データのコントローラーではある。また、もし、彼らがウェブページのロボット検索排除プログラム(exclusion codes on a web page)(注5)を遵守しないまたはウェブサイトから受けた要求にも係らずキャッシュのウェブページを更新しないときは、キャッシュメモリーのコンテンツのコントローラーでもある。
これらのケースでは、ISESPは保護指令において次の事項を含むコントローラーに課されるすべての義務を守らなければならない。
・「データ処理に係る法的根拠の要求要件」:AGの見解によるとISESPは原則として指令第7条(f)号に従い合法的利益基準に依存することが出来る。(注6)
・「保護指令第6条にいうデータの品質保持原則」:AGは、検索用語に対応したデータが表示されるかまたはリンクされたウェブページが表示されれば十分であると考える。(注7)
(5) AGの意見書内容(現行保護指令上「忘れられるべき権利」は認められるか?)
AGはデータ主体による自身のデータにつき「削除権」や「ブロック権」、さらに「第三者提供の反対権」、「忘れられるべき権利」という一般的な疑問点につき論議したが、いずれも否定的に答えた。
AGは、特にデータ主体には、自身の情報につきデータ主体の主観的好みに基づいて第三者のウェブページにおいて合法的に公表された情報のインデックスを阻止すべくISESPに向け強制する権利はないとした。
欧州委員会がまとめた保護一般規則(案)と比較して、現行保護指令にはそのような権利は備わっていないとした。
欧州連合基本権憲章(Charter of Fundamental Rights of the European Union)第8条(注8)や欧州人権条約(European Convention for the Protection of Human Rights and Fundamental Freedoms:ECHR)に基づいたとしても同権利は保証されない。それとは反対に個人情報の保護と私生活の権利は絶対的なものではなく、表現の自由、情報の自由やビジネスの自由など他の基本的権利とバランスをとる必要がある。
AGの意見は、忘れられるべき一般的権利はとりわけ結果的に見て、非公開のパーティでの非難されるべき公開されたコンテンツに関する重要な権利を犠牲にするであろうというものである。
(Inside Privacyブログの結論部分)
AGの意見書はEUの保護指令の重要な解釈上の観念や原則につき検索エンジンにみの適用を十分に越える斬新的な方法を含む。
AG自身が意見書で「インターネットと関連してデータ保護の専門家にとり保護指令第4条の解釈はかなりの困難であったことは驚きに当らない。法廷がこれらの点につき判決でいくらかでも光を当てることを期待する」と認めていることが注目される。
2.「データ主体による削除請求権」に関する2012年12月EU委員会による「データ保護一般規則(案)」
(1)規則案の提案の背景、検討経緯
2012年1月25日、欧州委員会は「個人情報保護に関するEUデータ保護一般規則(最終案)( Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL:on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation))」を公表した。
同提案書は全文で119頁である。主な改正事項は、EU加盟国内の規制のあり方につき、(1)これまでの位置づけを「指令」から「規則」へ格上げ、(2) 従来の18年前に策定した「指令(Directive)」から「規則(Regulation) 」に格上げ (個別国に立法を待たずに運用、解釈等の一元化が可能となる)、(3) 個人データ保護の権利の強化(自己情報コントロール権の強化など)、(4) EU域内でのデータ保護ルールの一元化(EU域内企業にとってメリット)、(4) グローバル環境でのデータ保護ルールの詳細化(第三国へのデータ移転ルールの詳細化など)等である。
以上述べた、EU規則案策定に至る経緯やわが国の法制との比較等主な問題点は、2012年4月に(社)電子情報技術産業協会・情報政策委員会「EUデータ保護指令改定に関する調査・分析報告書」のサマリー部分がほぼ網羅しており、加盟国政府や議会資料と比較しても遜色ないと思えることから、あえて本ブログではその説明は省略する。(同報告書は全91頁で、「付録2:EUデータ保護規則案 条文和訳集(仮訳)」が添付されており、貴重な参考資料といえる。本ブログでも、適宜参照した)。また、JIPDEC(一般財団法人日本情報経済社会推進協会)が平成23年度に開催した「個人情報の安心安全な管理に向けた社会制度・基盤の研究会」用に全文を仮訳している。ただし、訳語自体の正確さで見ると疑問が生じる。例えば3.4.4.4. 第4節- データ保護職員 3.4.4.4. Section 4 – Data protection officerの例で見てみる。これは「データ保護担当役員」または「データ保護オフィサー」(前述の「情報政策委員会」の訳文参照)とすべきであろう。
(2)欧州議会「産業・調査・エネルギー委員会(Industry, Research and Energy Committee :ITRE)」の保護規則案の支持意見取りまとめリリースの要旨
2013年2月20日、欧州委員会はITRE(意見書の作成者はショーン・ケリー(Seán Kelly )議員(アイルランド選出))が規則案を支持する意見書をまとめた旨報じた。同時に欧州委員会は目下「市民の自由、司法および域内問題委員会(Civil Liberties ,Justice and Home Affairs Committee)」においてそれまで出された修正意見を統合後、同委員会の意見書案(筆者注9)を本年4月に公表すると発表した。
実際にどうなったかにつき、筆者なりに調べたので、以下のとおり補足する。
①2013年1月16日、「法案修正意見集約報告(DRAFT REPORT on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation))」(全218頁)が第一読会に提案された。
続いて、3月上旬に次のとおり全10回に分けて各委員からの修正案が取りまとめ役であるドイツ選出で「緑グループ/欧州自由連盟(Greens/European Free Alliance)」会派に属しているジャン・フィリップ・アルブレヒト(Jan Philipp ALBRECHT)(筆者注10)により提出されている。
② 2013年3月4日 「AMENDMENTS (1) 351 – 601」(全173頁)
③ 2013年3月4日 「AMENDMENTS (2)602 – 885」(全155頁)
④ 2013年3月4日 「 AMENDEMENTS (3)886 – 1188」(全163頁)
⑤ 2013年3月4日 「AMENDMENTS (4)1189 – 1492」(全154頁)
⑥ 2013年3月6日 「AMENDMENTS (5)1493 – 1828」(163頁)
⑦2013年3月6日 「AMENDMENTS (6) 1829 – 2090」(全134頁)
⑧2013年3月6日 「AMENDMENTS (7)2091 – 2350」(全129頁)
⑨2013年3月6日 「AAMENDMENTS (8) 2351 – 2617」(全147頁)
⑩2013年3月6日 「AMENDMENTS (9)2951 – 3133」(全175頁)
⑪2013年3月8日 、「AMENDMENTS (10)2951 – 3133」(全111頁)
(3)英国政府や議会の資料内容
EU規則案の検討内容の要約資料として英国議会下院公式ライブラリー注釈(Commons Library Standard Note )である「EU情報保護法規制に関する新たな枠組み(The Draft EU data protection framework)」の内容と注釈文原文(注釈からリンクのみ)を紹介する。
・EUの情報保護法の基本法は1995年データ保護指令(95/46/EC)であり、同指令に基づき英国は「1998年情報保護法(Data Protection Act 1998:ch29)」により適用した。1995年以来、技術進歩とグローバル化がデータ収集、アクセス、使用面において、従来の個人情報規制のあり方の道筋を大きく変えた。
・さらに、EU加盟国は1995年指令について異なる国内法立法を適用したことから、結果においてその具体的な法施行に当り法適用の分岐性が生じた。このため、欧州委員会はオンライン・プライバシー権の強化とEUのデジタル経済の増強を目的として1995年指令の包括的改正案を提案した。
この新規則案の下では、EUの事業者等は1つの情報保護法に対処し、また1つの情報保護機関(企業活動のメインの部署がある国の保護機関)に釈明責任を負うのみでよいことになる。
・本規則案は、規則案と従来の指令の法的効力に関し、95/46/ECは廃止、また2005/58/EC指令(筆者注11)との関係規定の解釈、修正案からなる。
・規則案のうち、例えば(1)7条にいう個人的なデータの処理について明示的な(explicitly)同意を要するとはいかなる定義をいうのか、(2)データ主体の公的なオンライン上のデータの削除を含む17条にいう「削除請求権(right to be forgotten)」)の明確な定義等いくつかの問題点が論議を呼ぶことが判明した。
・欧州委員会の新規則に伴う事業者等の情報管理の財務面からみた効率性向上についてのインパクト・アセスメント(規則案第33条 データ保護への影響評価:Article 33 Data protection impact assessment)推定によると、毎年23億ユーロ(約2,921億円)と見込んでいる。しかし、英国政府はこの査定結果とは意見を異にし、規則案実施時に課されるであろう経済的負担は、欧州委員会が見積もった純利益額よりもはるかに重いものであると信じる旨明示した。
・欧州委員会は、欧州連合理事会(Council)と欧州議会(Parliament)への規則案成立に向けた審議を進めている。前述した問題点等が解決されれば、規則案は2014年に採択され、その2年後の2016年に施行される予定である。
3. 「データ主体による削除請求権」に関するENISAの技術面からの問題指摘報告書
筆者は2012年3月26日のブログ「プライバシー-経済と実務慣行の間にゆれる基本的な人権問題-EU規制機関の取り組み」の前書きにおいて「欧州ネットワーク 情報セキュリティ機関(European Network and Information Security Agency:ENISA)」は、2つの新たな研究成果すなわち、(1)EU域内におけるプライバシーの経済効果および(2)個人情報の収集と保持にかかるオンライン実務に関するケース・スタディ報告書となる推奨的性格を持つレポートを発表したこと。(中略)ENISAの2つの研究報告はあくまで欧州委員会が2012年1月25日に提案した規則草案について、ある意味でフィージビリティ・スタディとなりうる内容を持つものであり、今回のブログはその意義とこれらをめぐるENISAの動向につき最新情報を提供するものである」と解説した。
その意味で、今回のENISA報告書も関係する2つのレポートの内容もIT技術の急速な進展の中で揺れ動く人権擁護の法規制の今後を見通すうえで極めて重要な課題と認識すべきと考え、ここで併せて要旨のみ紹介する。
(1)ENISA報告書「忘れられる権利―期待と実務(The right to be forgotten - between expectations and practice )」の要旨
忘れられるべき権利(データ主体の削除要求権)は、2012年1月に欧州委員会によって発表された総合個人情報保護規制案に含まれている。同規則は、施行を待つべく欧州議会や欧州連合理事会(司法部会)で審議・採択手続途上にある。(筆者注12)
(報告書全文の前書きおよびリリース文要旨の仮訳)なお、ここでは「忘れられるべき権利」という訳語をあえて使う。
・忘れられるべき(消去またはまさしく忘却させる)権利の異なる法律面については異なった文脈で討論されているが、本報告書はこの範囲を超えている。 この報告において、ENISAは、忘れられるべき権利の他の一面の言及することを目指す。 すなわちENISAは情報システムでその権利を実施できるか、またはそのことを支持するための技術手段に焦点を合わせた。本報告で明らかなとおり、この実現には技術的な限界があり、そしてさらに法的に明確な定義化が必要である。
本報告の主要な推奨事項は以下の通りである。
・各国の政策立案者とデータ保護機関は、忘れられるべき権利(誰が共有された個人的なデータにつきいかなる事情等の下で削除を求めることができるかなどの明確化)の実現を促進するために「その定義の明確化」のために共同して機能すべきである。
さらに、そのような定義の明確化に関し、関連して生じるコストをも考慮する必要がある。
・オープン・システムであるインターネットにおいて、この権利を実施する純粋に技術的な解決策は不可能である。すなわち異なる事業・研究分野相互間協同的なアプローチが必要であり、政策立案者はこの事実を知っておくべきである。
・この権利の実現に向け支援し、かつ実践的なアプローチを行うためには、Google等サーチ・エンジン・オペレータに求めるべきであり、EU領域の内外面に格納された「忘れられるべき」情報の参照に関しフィルターにかけることを求めるべきである。
・これらに関し、破棄されたり、オフラインの記憶装置にある格納された個人情報の削除については、特別な注意を払わなければならない。
(2)Study on data storage and collection
本報告は2012年3月23日に発表された。次の2つの報告書からなる(本リリースから報告全文にリンク可)。
(A)2012年2月28日公表「Study on monetising privacy:An economic model for pricing personal information」(全76頁)
何人かの個人は、彼らのプライバシーに係る個人情報をよりよく保護するオンライン・サービス・プロバイダーに高いコストを支払うことができるくらい評価するか? これはいかなる意味で「ITサービスの個人化(personalisation of services)」(筆者注13)とどのように関連するか?
本研究は「プライバシーの貨幣価値化(monetisation of privacy)」(筆者注14)問題を分析する。貨幣価値化は、購買取引と関連して消費者による個人データの公開または非公開の決定に依存する。このレポートの第一目的はITサービスの個人化、プライバシー面の懸念問題、およびオンライン・サービス・プロバイダー間の競争の相互作用についてより良い理解を可能にすることである。 消費者は、一方では製品の個人化の利益を得るが、他方で1つのサービスに閉じ込められるかもしれない。さらに、個人化はすなわちいったんサービス・プロバイダーにプライバシー面で侵害されるとデータの扱いで妥協せざるを得ないというプライバシー面の危険を冒す。
プライバシーは人権である。プライバシーの経済学的側面について考える場合、この基本的事実は変わらない。このレポートの作者は、個人的なデータに関して私たちの人間の意思決定の理解を改良する上で、プライバシーの経済分析が法的分析を補足すると考える。
(B) 2012年2月23日公表「Study on data collection and storage in the EU」(全60頁)
この研究の目的は、一方では設計原理におけるプライバシーの重要性と他方では、多くのオンライン・サービス・プロバイダーの実践における手ぬるい情報保護の現実の間に明確なコントラストを与え、かつ最小量の公開の原則にかかるEU加盟国の関連する法的枠組みと個人情報の保管にかかる最小の保持時間の分析を提示することである。
本研究は、情報保護立法の法的な複雑な問題の詳細について深く論じることを意図しない。むしろ限られた数の関連使用されるケースの焦点を合わせて、前述の原則がこれらのケースに適合する具体的な法的規定または規制規定においてどのように表現すべきか、またそれらが実際にはどのように遵守されるかを見ようとするものである。
(3) 2012年11月14日公表「Paper on the privacy implications of online behavioural tracking 」(全33頁)
本報告の要旨部分を仮訳する。
インターネット・ユーザーは、ますますアクセス内容を追跡され、かつプロファイルを描かれており、そして、彼らの個人的なデータは利用サービスと引き換えに通貨として手広く使用される。もし、我々がプライバシーへの権利を支援して尊重するなら、私たちが尊重することができるつもりであるなら、この新しい現実がすべての利害関係者によって理解されることが重要である。 本研究は、プライバシーとデータ保護分野におけるENISAのこれまでおよび現在に仕事を補完するものである。ENISAは、運用環境における挑戦すべきテーマを特定して、最も良い実務慣行を開発し、プライバシー概念と技術を促進するために様々な利害関係者の間の対話を支援している。
ENISAによって発表された最近の研究では、我々は、すなわち個人データ保護のための法的必要条件すなわち、個人情報保管の最小量の開示原則と最小の保持時間とオンライン環境における実務慣行の間にギャップがあることを見出した。 プライバシーを高める技術の理解力は低い。 ユーザーには、プライバシーに優しいサービスでいくつかのビジネス利益をもたらすことができたとしても、消費者の小さい、しかし、わずかな割合でプライバシーに優しいサービスに代価を払っても構わないと思うときさえ、実際に彼らにとって多くの選択肢はない。
欧州委員会が法的展望をもってこれらの挑戦を記述する目的で取りまとめた新保護規則案は、意図的にプライバシー保護を強化し、その不履行に対する制裁は含む。本研究は、消費者の行動追跡時の技術的展望を提供する。以下のような質問に答えて、それは包括的な見解を提示する。(1)ユーザーはなぜアクセス行動等を追跡されるのか? (2) どのような技術が使用されているのか? (3) 我々は今日、どんな範囲まで追跡されているのか? (4) その具体的傾向はどのようなものか? (5)リスクとは何か? (6)主体の保護のためいかなる制裁処分が存在するか? (7)保護監視機関は、ユーザー・プライバシーを改善するのをどのような支援策を実行できるか?
追跡メカニズムに関連するプライバシーの危険性を記述する学際的アプローチによる多くの仕事が必要とされる。 本研究の推薦内容は、EU各国の監視機関、政策利害関係者、研究者、および開発者に向けて記述するものである。具体的には以下の通りである。
①追跡防止イニシアチブ・システムの開発とモバイル・アプリケーションのための対処プログラムの開発; ほとんどの追跡防止イニシアチブはモバイル機器に焦点を合わせていないため、モバイル機器のユーザーはさらにプライバシー面のリスクに晒される。
②ユーザーにとって透明性とコントロール向上のための使い易いツールの開発; 気づきは重要であるが、ユーザーが、自身の個人データがどのように収集され、管理され、移動されるかを知りうるよう透明性ツールを機能アップする必要がある。
③ 法執行対策として、ふらちな事をするプレーヤーの行動を阻止し、個人データ保護に関する規則等への遵守を強制するために配備されるべきである; そのメカニズムは規則違反の捜査やそのモニタリングに関するもので、規制監督機関によって定義されるべきである。
④ 意図的にプライバシー保護は促進されるべきである。規制規則等は、重要な役割が、プライバシーを保存する解決策の適合を上げる重要な役割すなわち規則等を実行して、完全かつ準拠性を持ち確固たる有意義なプライバシー・ポリシーの存在を確実にすることである。
4.EU加盟国における“ right to be forgotten”問題の整理
あえてBBC やGuardian 等メディアの解説は省略する。自国の利害を勘案しつつ、本格的に論じていると思われる英国政府の意見書や法律専門家の意見を中心に問題点を整理してみる。
(1)英国法務省「法務特別委員会意見書」や議会で検討課題の概要
2013年1月の英国法務省リリース「大法官および法務大臣名の英国政府の意見書(法務特別委員会が取りまとめ)(Government response to Justice Select Committee’s opinion on the European Union Data Protection framework proposals」のうち、欧州委員会が策定したEU情報保護規則案およびEU指令(95/46/EC)等改正案に対する意見の結論部分を仮訳する。
〔規則案に対する意見(The Committee’s opinion – Regulation)〕
①本規則案は、第一に1995年指令(95/46/EC)の改正と過去および将来のIT技術更新への配慮、第二に「リスボン条約(Treaty of Lisbon)」や「EU基本権憲章(Charter of Fundamental Rights of the European Union)」(2010/C 83/02)が規定する個人情報やプライバシーを保護するために必要な個人の権利を与えるものである。(第102段落)
英国政府の「根拠を明示した意見具申(Government’s Call for Evidence)」に対する応答者の大部分は、特にEUの単一市場の強化に関し、今回の欧州委員会の情報保護立法案を歓迎した。英国政府は、現行EU保護指令が1995年に合意されて以降、個人情報の使用方法が変わったことならびに現行の枠組みの更新が必要であると認識している。
1995年保護指令の制定目的を踏まえて提案された今回のEU規則案は、個人情報の処理における個人を保護することを意図するものである。個人データの保護は「欧州人権条約(ECHR)」(筆者注15)第8条(EU基本権憲章第7条の再規定化したもの)はプライバシーと家族生活の尊重に関する権利の側面でプライバシー保護に特化したものである。
「欧州連合の機能に関する条約(Treaty on the Functioning of the European Union)」第16条第2項はリスボン条約により導入されたデータ保護に関する新たな根拠となるものである。また同条は、欧州議会と欧州連合理事会による個人情報保護の規則を個人的なデータの処理に定めるのに権限を与える。この前提に立ってみると、英国政府は、欧州委員会が立法措置を求めて何とかせねばならないと事例は存在せず、また、現時点で従来の「枠組み決定(framework decisions)」 (筆者注16)を置き換える必要性もないと考える。
英国政府は、適切な公衆保護、経済成長、および革新を考慮する一方で個人の市民的自由を保護するEUデータ保護法律を欲している。 これらは一方かもう片方を犠牲にして達成されるのではなく、2人乗り自転車方式で達成されるべきである。
しかしながら、規則案の内容は民間企業や公権力がこれらの権利が是認されるのを保証するためにいかなるかたちで応じるべきであるかに関して作成するものとしては「過剰規範主義的(over-prescriptive)」である。
政府は、英国の保護機関である情報コミッショナー(Information Commissioner’s Office)が実質的に余分な情報資源を求め、ひいては民間企業は公的機関から求められる多くの管理証拠(筆者注17)負担を主張する。(第103段落)
英国政府は、データ管理者(data controllers)がどう規則案を遵守するかといった条件に関し、提案された規則案が過剰規範主義的であるという情報コミッショナー(ICO)の意見に同調する。英国が擁護するリスク・ベースとする保護モデルの下では、それは法律の遵守を確実にするためにデータ管理者を適所に置き、かつその義務を規定化するであろう。
英国政府は欧州委員会規則案が「だれもその代価を払わない管理体制(a regime which no-one will pay for)」に立つものであるという情報委員の主張に同情的である。英国が実施したImpact Assessmentでは、1年あたり800万ポンド(約11億7,600万円)から2,800万ポンド(約41億1,600万円)のICOによって見積もられた補足的手段の必要性を勘案して、また、ICOへの登録手数料収入の損失というICOの収入損失推計を査定した。(筆者注18)
英国は、欧州委員会には次の選択が可能であると信じる。1つ目は、一般保護規則を通してEU加盟国横断的に一貫性と協力関係(筆者注19)を実行すべく調和させる目的を追求し続けることができる一方で、データ保護当局と欧州保護委員(European Data Protection Board)の思慮深さの遵守に関する詳細を任せている不可欠の要素に焦点を合わせることである。それに代替する別な2つ目は、規則案に含まれているすべての領域で達成したがっていることを実現するのに指令を使用する方法である。しかし、この場合、加盟国に具体的な実現を任せることになり、前述調和や一環性の要素に実現は課題として残される。 (第104段落)
提案された規則案はEU指令として書き直すべきであるという英国政府の立場は、加盟国にとって要求される有利性や柔軟性を考慮することに繋がろう。 欧州委員会のImpact Assessmentは、従来のEU指令の使用によりこの調和させることが達成されることを認めている。
例えば、規則案の中で見出しうる基本的権利の調和の例を挙げよう。すなわち、 データ主体の楽しむ権利、独立性を持った監督機関と欧州保護委員会に関するルールである。また、英国政府は一貫性メカニズムの原理を支持する。我々は、 私たちは、データ保護枠組みにおいて個人の市民的自由を保護するべきであると信じている。このことは、個人的なデータの処理が公正、安全であり、そのデータが必要とされる期間のみ保有されるべきであることを確実にする適所にある規則を定めることを意味する。
EUデータ保護立法は、革新と成長を損なうビジネス慣行を強制することなく個人のプライバシーを保護するものでなければならない。例えば、規則案はデータ管理者がどのようにインパクト・アセスメントを完全なものとしまた保護役員を雇用するかにつき規範的な義務を明記する。
彼らがどう提案されたRegulationに従うかに関して提案されたRegulationは規範的な義務をデータ管理者に置きます、データ保護インパクト・アセスメントを終了して、データ保護職員を雇うのなどように。 これはデータ管理者(小さいオンライン小売業者から多国籍の大きなインターネット会社までの)が規則の遵守を確実にするためにそれら自身の実務慣行を採用できない‘フリーサイズ'アプローチである。 欧州委員会の提案は、プロセスではなく、結果を規制することに焦点を合わせるべきである。
英国議会の「欧州問題監視委員会(European Scrutiny Committee)」の英国政府に対する質問事項すなわち現在上程されている規則案はデータ主体にとって交渉の余地がない基本的権利を付与し、また欧州全体で取引を行う民間企業特に中小企業にとってより遵守しやすい本質的なものである。しかし、委員会はEUが現在提示している手続様式は適切、実践的、容易性および効率性なものとは思えない、という疑問である。(第105段落)
英国政府は欧州問題監視委員会への回答として次のとおり指摘した。政府は個人の市民的自由を保護する意味のデータ保護法を見たがっている。 データ管理者がデータ保護につき、ビジネスが成長するのを防げる極めて高価で官僚的手段に従う必要はなく、データ処理できるのを確実にしている一方で、個人の保護を達成したいと思う。
〔EU指令改正案に対する政府意見(The Committee’s opinion – Directive)〕
データ主体の観点から見て、指令改正案は、保護規則案に比べより弱いレベルのデータ保護を提供する。 政府は、法執行当局による機密の個人的データの取扱いの著しい違いを認めるが、多くの点で、保護のこの低いレベルは正当に見えない。交渉の間で、英国政府は旧指令を修正しようとするべきであるので、データ保護原則はできるだけ2つのEU保護手段(一般保護規則と改正指令)の間で一貫すべきである。 これは、リスボン条約で支持された権利が、是認されるのをさらに確実にするであろう。 (第149段落)
前述したとおり、欧州委員の2つの保護手段の間の一貫性のための委員会の求めに応じ、英国政府は、それが可能である限り2つの手段の間には、パラレルな関係があるべきであると信じている。しかしながら、各手段が提案されたとおり異なった文脈で考えられることが重要である。 規則案は一般データ保護処理のために提案されたが、改正指令は警察の分野と刑事問題における司法協力において適用される。各手段でカバーされる領域での個人データの使用は非常に異なっており、そして、警察の分野のより大きい柔軟性と運用上の要件によるこの領域の司法協力の必要があり、必要であるところでは、これらが2つの手段に反映されるべきである。旧指令の詳細説明(recital )10(筆者注15)は、個人情報の保護のときに刑事問題における司法協力と警察の協力の分野、特定の規則がこの分野での個人情報の保護に必要であるかもしれないと認めたDeclaration21を参照引用している。
規則案とは対照的に、保護指令により保護されるレベルの条件に関してよりフレキシブルな手段提供や基本的人権の供与手段の間で、矛盾は全くない。 例えば、Framework Decisionは最低基準となる手段である。Framework Decisionの詳細説明48は、基本的権利を尊敬する点を確認して、欧州基本的人権憲章によって認識された諸原則を明記する。
英国政府の立場は、Directiveが欧州連合の機能に関する条約プロトコル21第6a条に従い、英国にとって適用を制限してしまうだろうというものである。その場合、我々は、法執行当局がDirectiveの中に含まれる過剰規範的な手段によって縛られないので、それがイギリスに有益になると信じる。また、これは、警官隊等のようにEU法が国内の個人データ処理に適用されないことを意味するであろう。 刑事裁判の場合の国内処理は、引き続き「1998年情報保護法」でカバーされ続けるであろう。 (第150段落)
提案された指令改正案によると、EUの手段の外でのデータ処理に適用しないという政府の立場がある。指令改正案が適用しない分野では、英国の国内法はそのような個人的なデータの処理を治め続けるであろう。
(2)筆者は、5月10日の英国の大手ローファームShepherd and Wedderburnの解説記事「The right to be forgotten – who can decide?」を読んだ。
短いレポートではあるが、この問題のEU加盟国(英国、ドイツ)における議論のポイント(GoogleだけでなくドイツのFacebookの法適用領域問題)は具体例をあげて整理されている。その要旨部を以下、仮訳する。
(略す)
(3) チューリッヒ大学・国際ビジネス法主任教授 Rolf H. Weber「The Right to Be Forgotten :More Than a Pandora’s Box?」(全11頁)2011年公表
JIPITEC, the ”Journal of Intellectual Property, Information Technology and Electronic Commerce Law” 2011年第2巻第2号120~131ページ
(略す)
(4) 2013年4月22日のドイツ: シュレスビッヒ・ホルシュタイン行政裁判所(Verwaltungsgerichtsbarkeit in Schleswig-Holstein:OVG)判決の意義と内容
2013年4月22日、OVGはフェイスブックがアイルランドに非米国やカナダの運用に関してはアイルランドに本拠を置くことから、フェイスブックのアカウントネーム・利用規約(ポリシー)では本名の使用を義務付ける。この点につき原告ユーザーはシュレスビッヒ・ホルシュタイン個人情報保護委員は同利用規約は保護法違反であるとする決定を下した。
フェイスブックは控訴し、OVGはフェイスブックのEU域内のオペレーションはアイルランドで行われており、そこで適用される保護法はアイルランド保護法のみが適用され、ドイツ保護法は適用されない旨裁決した。
この決定は他国のデータ保護機関に比べプライバシー保護に厳しいドイツの監視機関にとって打撃である。
なお、OVG決定に対し上告される予定であるが、この問題は欧州委員会が目的とする「一環性メカニズム(consistency mechanism)」問題と極めて緊密に関係する問題であることは間違いない。
また、シュレスビッヒ・ホルシュタイン個人情報保護委員(Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein)のプレスリリース「OVG Schleswig-Holstein: For Facebook Germany data protection law does not apply」はOVG判決文の原文等にリンクできる。
************************************************************
(筆者注1)例えば、米国ローファーム・ブログ“Inside Privacy”「Advocate General Submits Opinion in Google Spain Case」、英国ローファーム“Out Law”記事「Google not always a 'data controller' of data processed by search engines, says legal advisor」、 米国CNET記事「EU court lawyer backs Google in 'right to be forgotten' case」、EUobserver記事「EU court: No 'right to be forgotten' in data rules」などがあげられる。
(筆者注2) CJEU法務官の意見書について、リリース文の注記内容をここで仮訳し補足する。
(注)法務官の意見書: 法務官の意見は欧州司法裁判所(Court of Justice)に対し法的拘束力を持たない。法務官の裁定は、完全に独立性をもって責任を負う事件の法的解決において司法裁判所に建議を行うことがその任務である。
司法裁判所の裁判官は、本事件につき現在、彼らの審理を始めており、後日、法的判断を与えることになろう。
NOTE: The Advocate General’s Opinion is not binding on the Court of Justice. It is the role of the Advocates General to propose to the Court, in complete independence, a legal solution to the cases for which they are responsible. The Judges of the Court are now beginning their deliberations in this case. Judgment will be given at a later date.
司法裁判所の先行判決(preliminary ruling)の意義について同裁判所の解説箇所を引用、仮訳する。
注:CJEU先行判決の法的な参照性の意義は、加盟国の裁判所(courts およびtribunals)におけるEU法の解釈および有効性に関して司法裁判所(court of justice)に質問を任せるのにそれらの前に持ち込まれた論争に対し行うことが認められる。 司法裁判所はこの論点自体については決定を行わない。 司法裁判所の決定に応じてケースを判断する際、加盟国の裁判所に支配力を持つ(司法裁判所決定は、他の国家の裁判所における同様の問題につき法的拘束力を持つ)。
裁判所法廷は法廷の審理事件として持ち込まれたケースに関する意見を提示することである8人の法務官から法的アドバイスを受ける。 それらの内容は公開的でありかつ公平なものでなくてはならない。
各裁判官と法務官は任期6年で任命され、この任期は更新が可能である。 EU加盟国の政府は、彼らが裁判官や法務官につきだれを任命するかにつき同意権を持つ。
(筆者注3)“right to be forgotten”とは、個人の事業者や機関に対し自己の情報を削除するよう要求することの出来る権利をいう。「忘れられる権利」と訳されることが多いが、データ主体がもつコントロールの1つである「データ主体の削除要求権」という訳語が適切と考える。本ブログはあえてこの訳語で統一する。
(筆者注4)EU指令第4条第1項の原文を以下、引用する。
Article 4 :加盟国の国内法の適用ルール(National law applicable)
1. Each Member State shall apply the national provisions it adopts pursuant to this Directive to the processing of personal data where:
(a) the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; when the same controller is established on the territory of several Member States, he must take the necessary measures to ensure that each of these establishments complies with the obligations laid down by the national law applicable;
(b) the controller is not established on the Member State's territory, but in a place where its national law applies by virtue of international public law;
(c) the controller is not established on Community territory and, for purposes of processing personal data makes use of equipment, automated or otherwise, situated on the territory of the said Member State, unless such equipment is used only for purposes of transit through the territory of the Community.
(注5) 検索エンジンのロボットは、Webページに記述されているリンクを辿ってサイトを巡回し、情報収集、インデキシングをおこなう。Webサーバの管理者やWebサイトの運営者は、自分たちが管理・運営するWebページをWeb検索エンジンに登録されたくない場合などに、ロボットを排除することができる。(Cyber Librarian「ロボット排除」から一部引用)
(注6)保護指令第7条(f)号の訳文を引用しておく。(ECOMプライバシー問題検討WG訳から引用)
第7条
加盟国は、個人データが以下の条件を満たす場合にのみ、処理されることを確保するものとする。
(略)
(f)管理者、データ開示の対象となる第三者、又はその他の当事者の合法的な利益のために、処理が必要である場合。但し、第1条1項に従って保護が要求されるデータ対象者の利益、基本的人権及び自由が上記利益に優先する場合はこの限りではない。
(注7) ECOMプライバシー問題検討WG訳から引用する。
第6条
1.加盟国は、個人データが以下の条件を満たすことを確保するものとする。
(a)公正かつ適法に処理されること。
(b)特定、明確、及び合法的な目的のために収集され、このような目的に反した方法で、処理されることのないこと。歴史、統計、又は科学的目的のための、データの処理は、加盟国が適切な保護条項を規定している限り、目的に反しているとは見なされないものとする。
(c)適切、妥当であること。そのデータが収集された目的、及び/又は、それが処理される目的に関して、過度でないこと。
(d)正確であること。必要な場合には、最新の情報を維持すること。データが収集された目的、又はそれが処理される目的に関して不正確又は不完全なデータが消去又は修正されることを確保するために、全ての合理的な手段が取られなければならない。
(e)データが収集された目的、又はそれが処理される目的のために必要なだけの期間、データの対象者の特定が可能な形式で保存すること。加盟国は、歴史、統計、又は科学的利用を目的として、個人データを長期間保存するために、適切な保護条項を規定するものとする。
2.管理者は、第1項の遵守を確保するものとする。
(注8)欧州連合基本権憲章の第8条の原文を挙げる。
Article 8
Protection of personal data
1. Everyone has the right to the protection of personal data concerning him or her.
2. Such data must be processed fairly for specified purposes and on the basis of the consent of the
person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.
(筆者注9)ここで欧州議会の委員会における法案に対する修正意見、過程の表示・見方につき補足しておく。
〔規則等法案に対する修正内容の表示の見方〕
議会による修正では、規則案(drafts acts)に対する修正箇所は「太字のイタリック体(bold italics)」で強調される。「普通のイタリック体(italics)」による強調個所は、例えば文言上の明白な誤りや脱落があり修正を必要とするであろう規則案の部分に関する指示個所で、規則案の最終版で修正される個所である。この種類の提案された修正部分は欧州委員会等関係部との同意を前提とする。
法案の修正は行われなかったが、議会が修正したがっていた既存の法案における条項は「太字(bold)」で強調される。 議会が審議過程で指摘した削除事項はすべて[...]で示される。
なお、修正事由(justification)について、各修正個所に表記されている。
(筆者注10) アルブレヒト議員の最近の議会での活動はEUの公式サイトで確認できる。最近時のものでは7月3日の議会でのディベートは、欧州委員会の規則制定の役割の重要性も含め極めて興味深い内容であり、公式動画でも確認できるが、その「動画メッセージ」の内容を仮訳する。
なお、筆者が従来から主張しているとおり、議会事務局の最も重要な機能はディベート内容につき常に選挙民がチェックできるITシステムの構築である。20以上の国々の異なる原語翻訳システムをフルに機能させている議会事務局の努力に敬意を表す。
「緑グループ/欧州自由連盟を代表して意見を述べる。親愛なる欧州理事会議長(president)、欧州連合理事会、同胞議員、聴衆および本日ここに来ているおそらくそうであろう米国NSAや英国情報機関(British intelligence )の各位に訴えたい。
我々の政府や欧州大陸の国々は、米国の大規模な量の通信内容の諜報監視や基本的権利や保護原則の侵害はまったくけしからんと説明してきた。 むこうにいるそれらの人々に関しては、この欧州議会は法の支配を回復するという望みと基本的権利の敬意を運びこんだ。 今日のデジタル化・グローバル化している世界では、それらの人権価値の保護が強く情報技術にリンクされるため、プライバシーとデータ保護への権利が不可欠である。 世界中、特にヨーロッパ、米国およびラテンアメリカの主要な市民社会グループは、欧州議会が個人情報の保護を強化し、拘束力がある高い規格に同意するために他の国に圧力を加えるよう呼びかけてきた。 今、行動すべきときである。
私はマンフレード・ウェーバー議員(Manfred Weber)の意見に同意する。我々は、強固なEU一般データ保護規則とEU保護指令の交渉を加速する必要がある。そして、米国という私たちのパートナー国に対しこれらの保護規格に同意することを要求する必要がある。 我々は、米国による基本的権利の大規模な侵害を停止させるとともに特に我々自身の加盟国の情報当局による侵害をも直ちに停止させるのを確実化する必要がある。緑グループのメンバーとして別の会派グループがスキャンダラスな情報活動に関する調査要求に同意したことは歓迎するが、しかしながら別会派が米国が市民や機関等に対するスパイ活動を止めることの保証なしに太平洋を挟んだ貿易合意交渉を認める点については、不適切でありまた無責任であると思う。
まず、最初に基準となる厳格な規定が必要であり、次に我々EUは協力しあわなければならない。
(筆者注11) 「COMMISSION DIRECTIVE 2005/58/EC of 21 September 2005」は、反応性物質としてbifenazate(殺虫剤「ビフェナゼート(bifeazate)」はヒドラジン骨格を有する殺虫剤、ハダニやサビダニに対し速効的な効果を示す)とmilbemectin(殺虫剤 ミルベメクチン。6 員環マクロライド骨格を有する殺虫剤。本剤は、ダニ、昆虫及び線虫の神経-筋接合部位の塩素イオンチャンネルに作用し、殺虫活性を示す。韓国、ニュージーランド、ブラジル等で農薬登録されている。日本では、1990 年11 月に茶を対象に初めて登録されており、原体ベースで年間3.7 トン(平成15 農薬年度)生産されている)を含む理事会指令(Council Directive91/414/EEC)を修正したもの。
(筆者注12) 欧州議会、欧州連合理事会(Council of European Union)における立法手続きを概観する。
1.EU法の種類
EU法は第一次法と第二次法に分類される。第一次法はEUを基礎付ける条約、第二次法は、条約に法的根拠をもち、そこから派生する法である。EU法あるいは派生法と呼ばれる。第二次法(以下、EU法)は適用範囲と法的拘束力の強弱によって、(1)規則(Regulation)、(2)指令(Directive)、(3)決定(Decision)、(4)勧告・意見(Recommendation/Opinion)の4種類が存在する。
(1)規則(Regulation):すべての加盟国を拘束し、直接適用性(採択されると加盟国内の批准手続を経ずに、そのまま国内法体系の一部となる)を有する。
(2)指令(Directive):指令の中で命じられた結果についてのみ、加盟国を拘束し、それを達成するための手段と方法は加盟国に任される。指令の国内法制化は、既存の法律がない場合には、新たに国内法を制定、追加、修正することでなされる。一方、加盟国の法の範囲内で、指令内容を達成できる場合には、措置を執る必要はない。加盟国の既存の法体系に適合した法制定が可能になる反面、規則に比べて履行確保が複雑・困難になる。
(3) 決定(Decision):特定の加盟国、企業、個人に対象を限定し、限定された対象に対しては直接に効力を有する。一般的法規というよりは、個別的かつ具体的内容を有する。
(4) 勧告・意見(Recommendation/Opinion):EU理事会及び欧州議会が行う見解表明で、通常は欧州委員会が原案を提案するもので、(1)~(3)とは異なり法的拘束力を持たない。
2.EU法の立法過程における決定手続
・通常、立法手続は次のような過程をとる。欧州委員会が欧州議会と欧州連合理事会に提案を提出する。その後、欧州議会で第一読会が開かれる。欧州議会の意見を受け、欧州連合理事会は欧州議会の意見を承認するか、しないかを決定する。
・承認しない場合は、欧州連合理事会は「共通の立場」を採択し、それを欧州議会に伝える。欧州議会では第二読会が開かれ、そこで承認、否決、修正が行われる。
・修正の場合は再度欧州連合理事会に伝えられ、そこで承認ないしは否決が行われる
(総務省世界情報通信事情:国別に見る「EU」から一部抜粋。なお、同資料では“Council of the European Union”を「EU理事会」と訳しているがこれは明らかに誤訳であり、本ブログでは修正した。立法機関たる欧州連合理事会のHPの解説で正確なところを確認されたい。また保護規則案に関するEUの立法審議専門サイトを読んでほしい。そこでは欧州理事会(European Council)は何等法案につき審議していない)
(筆者注13)“personalisation of services” とプライバシー侵害問題につき、次のような説明が分かりやすかろう。
「情報推薦などの個人化サービスを受けるためにユーザは個人情報を開示する必要がある。多くの個人情報を開示することで,さらに個人化されたサービスを受けることができる可能性があるが,一方で情報漏洩や情報流用などによりプライバシーが侵害される危険性も秘めている。(宮本 崇弘、竹内 亨、奥田剛、春本 要、有吉勇介、下條 真司「GrIP:プライバシとサービス品質のトレードオフを考慮した個人情報制御機構」日本データベース学会 Letters Vol.4, No.1 9から一部抜粋。
(筆者注14) 欧米におけるプライバシー問題の強い関心や規制・保護が論じられる中で基本となる「プライバシーの貨幣価値化」論文は極めて少ないし、書かれたレポートに対する意見も少ない。その中でCISO blogが興味深いレポート「The Monetization of Privacy – Birth of a “Trust Economy」を取り上げている。その内容の中からユーザー情報につき貨幣価値化できる企業は何をなすべきかに関する8項目を仮訳する。個人情報を取扱う事業者であれば極めて当然といえる内容であるが、このレベルでさえ遵守できない事業者が規模の大小を問わず多いことも内外では事実である。なお、2011年からSOLOMOがマーケテング手法として注目されているがこの問題についてはなおプライバシー面からの課題が残されている点を筆者として補足する。
①透明性を確保するー正直に消費者に向け自社は実際どのような事業を行っているかを正確に説明する。
②誰も全部読まない長くて冗長な利用規約(T&Cs)で本質的・重要な点を覆い隠さない。
③ 以下 略す
④
⑤
⑥
⑦
⑧
(筆者注15)立命館大学の安江則子教授が「3.EU リスボン条約における基本権の保護
――ECHR との関係を中心に―」おいてリスボン条約、基本人権憲章、欧州人権条約等の位置づけについて説明されているので、一部抜粋引用する。なお、EU公式サイトへのリンクや正式条約名等は筆者の責任で行った。
「 EU は2000年末に,機関として遵守すべき基本権のリストを示した「基本権憲章(Charter of Fundamental Rights of the European Union:2010/C 83/02)」を採択した。この憲章は,2001年から始まった基本条約改正のためのコンベンション)での議論の結果,欧州憲法条約(2004年調印)に挿入され法的拘束力をもつことになっていた。ところが周知のとおり,憲法条約はフランスとオランダの国民投票で否決され,その後2007年の条約再交渉の結果,「EU条約およびEC 設立条約を改定するリスボン条約」Treaty of Lisbon Amending the Treaty on European Union and the Treaty Establishing the European Community,以下リスボン条約)が採択されている2)。リスボン条約において基本権憲章は,基本条約とは別個の文書として,法的拘束力をもつことが合意されている。さらに新たな条約において,EU が,機関として「欧州人権条約(ECHR, European Convention on the Protection of Human Rights:正式名は“Convention for the Protection of Human Rights and Fundamental Freedoms”)」加入する方針も明確にされた。2007年2月15日には,独立機関としてEU 基本的人権保護庁(FRA, European Union Agency for Fundamental Rights)が欧州連合理事会の決定に基づいて設立されている)。」
なお、FRAの設置経緯等につき、欧州連合理事会のリリースに基づき筆者が独自に仮訳補足する。
・欧州連合理事会は、EU基本権庁の設置に関する理事会規則(COUNCIL REGULATION establishing a European Union Agency for Fundamental Rights)を採択した。
2003年12月欧州評議会(European Council)は1997年の規則に基づき設置した人種差別主義(Racism)および外国人嫌悪主義(Xenophobia)のモニタリング・センターの統治権限を拡大し、その権限をFRAに移行することに同意した。同庁の本部の事務所は引き続きオーストリアのウイーンに残る。
同庁の設置目的は、関係する国や地域内の機関、団体、官公庁等に対し、これら機関が基本的権利を完全に尊重し、それらの権能の範囲内で対策を実施したり行動の方針を定式化するとき、コミュニティ法に即してそれらを支援したり支持するために基本的権利に関連する支援と専門的情報を提供することである。
同庁は、これらの案件に対処しながら、基本的権利の状況の開発のときに客観的かつ信頼できて比較可能な情報を集め、また、尊重すべき点に関する失敗の原因、その結果および効果に関してこれら情報を分析するとともに、これらの手段についての優れた実践例を検証することになろう。
(筆者注16) 「枠組み決定」とは、欧州連合条約第6編に固有の法令形態であって、加盟国または欧州委員会が発議し、理事会の全会一致の議決で定められ、達成されるべき結果については、加盟国を拘束するが、形式や方法の選択は各加盟国に委ねられる(欧州連合条約第34条⑵⒝)。
ここで「枠組み決定」の法的側面につき補足する。国際平成大学の入稲福(いりなふく)智教授のEU法のHPの解説ら一部抜粋・引用した。なお、条約原文へのリンクは筆者の責任で行った。
「(b) 枠組み決定(framework decisions)
これは、国内法規・行政規則を調整する場合に制定される。その効力について、EU条約第34条第2項第b号は、EC条約第249条第3項(EC指令の効力に関する規定)と同じような表現を用い定めている。つまり、枠組み決定の目的に照らし、加盟国は国内法・政策を整備しなければならないが(加盟国はその目的に拘束される)、その方法や手段は加盟国の裁量に任されている。なお、EU条約第34条第2項第b号は、決定の 直接的効力 を明瞭に否認しており、この点で、指令に関するEC条約第249条第3項とは異なる(参照)。」
なお、枠組み決定に関し次の解説も分かりやすい。
(筆者注17) とりわけ英国では“administrative burdens”軽減化に向け官民で取り込んでいる。
その意義等について「ビジネス・イノベーション・技術改革省(BIS)」のサイト解説“Reducing administrative burdens” を見ておく。
「行政事務負担」とは、民会事業会社等ビジネスが他の手段による代替不可の法令を遵守するために負う行為をいう。通常一定の定められた様式のファイリング、記録の保存や要求された様式への回答としてなされる。その手続等の簡素化は、民間ビジネスひいては英国経済全般に対する節約効果に繋がる。.
(筆者注18)英国の1998 年データ保護法では、「データ管理者(data controller)」である組織・法人に対するデータ保護8原則の遵守義務、政府から独立した情報保護監督機関である情報コミッショナーに対しデータ管理者としての登録義務等を課している。さらに2000年3月以降、登録時に一律35ポンド納付が義務付けられていたが、同制度は2009年情報保護規則改正により2009年10月1日から事業者の「規模(従業員数が250人以上)」と「粗利益(turnover)2,590万ポンド(約38億730万円)以上」により従来どおりの35ポンドの納付額(Tier1)の場合に加え、500ポンド(約73,500円)納付の場合(Tier2)が追加され、2本建てに改正された。(公的機関については250人以上はTier2となる)。英国では新基準でも90%以上が35ポンドである。
参考までに同改正規則の原文を引用する。;
Amendment of regulation 7 of the Regulations
3. For regulation 7 of the Regulations (fees to accompany notification under section 18 of the Act) substitute—
“Fees to accompany notification under section 18 of the Act 7. For the purposes of section 18(5) of the Act the prescribed fee is—
(a) for a data controller in tier 1, £35; or
(b) for a data controller in tier 2, £500.
(筆者注19)欧州委員会の一般保護規則案の中でとりわけ重要な制定目的として57条以下で定める「一環性メカニズム(consistency mechanism)」という言葉につき、欧州委員会の司法担当委員サイトで詳しく説明している。この問題につき、規則化の背景や同メカニズムの基本原則、各国の保護監督機関(DPAs)とその支援機能を持つ「欧州データ保護委員会(European Data Protection Board:EDPB)」や欧州委員会との関係である。
この問題は、どういうわけかわが国ではほとんど解説されていない点であり、原資料にもとづき解説を試みる。EUサイトの解説内容はかなり抽象的であるが他に適切な解説文がないためあえて引用した。
・現行保護指令(95/46/EC)の下で、同じ企業活動でありながらEUの複数国で事業展開する事業者は異なる権限を持つ監督機関の異なる権限の下で活動せざるを得ないため、不確実性が極めて増していた。この問題が大きく問題視された例としてはGoogleのStreet View問題であった。各国のDPAsに対し未調整でかつばらばらの対応を行った。
規則案はこれまでの対応の問題を解決すべく一元性と一貫性をもった事業者の監督制度を確立させた。すなわち、第一に1つのDPAのみが、“One Stop Shop”(一連のサービスが1つの場所で提供可能な効率的ビジネス)会社に対して法的に拘束力を持つ決定を行う責任を持つ。
第二に、DPAs間における相互支援・協調活動(55条以下)を義務づけるとともに、EU全体にわたるEDPBによる明確な適用を保証する規則を定め、また欧州委員会の役割という一貫性を持ったメカニズムを創設した。
この一環性メカニズムには次の3つの原則がある。
①DPAsはEU全体への影響をもたない個々の事件のみ決定を行う。
②EU全体に影響を持つ問題についてはEDPBが決定を行う。
③欧州委員会はこの一環性メカニズムが確実の有効になるようバックネットとして行動する。
さらに、もしDPAの決定に対し、EDPBが本規則に正しい適用かどうかが極めて疑わしいと判断する場合のみ、欧州委員会はDPAに対し、規則案により最大12か月の処分停止を請求しうる。この決定は次の2つの特別な事情がある場合のみ認められる。
①DPAとEDPB間において立場の分岐内容の和解を試みる。
②特に問題点が域内市場に対する適切な機能として適用しうる手段を採択するためであること。
(筆者注20) EU指令”の “Recital 10”の原文を引用する。”
10. In Declaration 21 on the protection of personal data in the fields of judicial co-operation in criminal matters and police co-operation, annexed to the final act of the intergovernmental conference which adopted the Treaty of Lisbon, the Conference acknowledged that specific rules on the protection of personal data and the free movement of such data in the fields of judicial co-operation in criminal matters and police co-operation based on Article 16 of the Treaty on the Functioning of the European Union may prove necessary because of the specific nature of these fields.
********************************************************
Copyright © 2006-2013 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.