欧州議会による日本のGDPR十分性認定草案に対するEDPB(欧州データ保護会議)意見書

2018/12/05にEDPB(欧州データ保護会議)がGDPRに関するEC(欧州議会)の日本の十分性認定についての意見書を公開した。41ページにわたる詳細な意見書で、すべて紹介するのは難しいので「EXECUTIVE SUMMARY」の部分だけ要約してみたい。

まず確認しておくべきはEDPBがどれだけECの十分性認定草案に意見をつけても、認定取消になることはないという点だ。改善すべき点が少なくないという意見書であり、十分性認定に反対するという意見書ではない。

では「EXECUTIVE SUMMARY」だけでも全242項目のうち30項目あるが、一つずつ見ていく。

1. 欧州議会が2018/09/05の十分性認定実施の正式な手続きを開始した。

2. 欧州議会が2018/09/25にEDPBに意見を求め、関連資料をEDPBに提出した。

3. 欧州議会がEDPBとの議論の結果、十分性認定草案を2回書き直し、2018/11/13最終版をEDPBに送付、この最終草案に対する意見書である。

4. EDPBが欧州議会の十分性認定の保護レベルにつき分析、検討を行った。
5. EDPBは十分性認定草案の商業的側面、行政的側面の両方を調査、日本の法的枠組みでの個人データ保護の有効性を評価した。

6. EDPBは2018/02の旧第29条作業部会(W29)の十分性認定に関する参照資料を主に参照した。

7. EDPBは日本の法的枠組みが欧州データ保護法制をコピーすることを期待していない。

8. しかし、個人データの正確性、収集データの最少化、保存期間の制限、データのセキュリティ、利用目的の制限、独立した監督機関である個人情報保護委員会など、主要な点でGDPRの原理原則との一致を求める。

9. 加えて、EDPBは日本が追加の補完的ルールによりギャップを埋めている努力を歓迎する。

10. EDPBは欧州議会がEDPBの懸念に応えて十分性認定の決定を強化している努力を歓迎する。

ここまでは事実の確認。いよいよここからがEDPBの意見になる。

全般的な課題

11. しかしながら、EDPBは日本の法体系において以下の重要な領域を強化し、注意深くモニタリングするよう提案する。
12. 第一の課題:既存の法的枠組みに対する「補完的ルール」という、十分性の新たな建付けで、具体的で有効な法執行の問題を生じないことを保証する必要がある。(要は、個人情報保護法そのものを改正するのでなく「補完的ルール」という対応で大丈夫か?ということ)
13. 第二の課題:EDPBは「補完的ルール」の法的強制力について欧州議会と日本は継続してモニタリングするよう繰り返し求めている。

商業利用に特化した課題

14. 十分性合意の商業的側面でEDPBは特定の懸念を持っており、説明を求めたい。

15. EDPBは「補完的ルール」が、APEC越境プライバシールールシステムによるEU個人データの第三国へのさらなる移転を除外していることを歓迎する。

16. 日本の法制度では、第三国への個人情報移転の法的基礎の一つは、日本の保護レベルを十分満たしていることとしているが、第三国の保護レベル評価の際に「補完的ルール」が含まれていないように見える。したがって日本に移転されたEU個人データが、さらに第三国へ移転される場合は、GDPRのデータ保護枠組みと同等とみなすことはできない。

17. 日本からさらに第三国へ移転される場合、EUの個人データ保護レベルが保証されるかどうかのモニタリングは欧州議会が代わって行うべきである。

18. さらに、同意と義務の透明性に懸念がある。日本の法制度でのデータ主体の同意は、同意取り下げの権利を含んでいない。また、データ主体に事前に情報提供がなされるか疑念がある。

19. 日本の補償システムはEUのデータ主体にとって容易にアクセスできるものではない。ヘルプラインは日本語しかない。個人情報法語委員会のウェブサイトの仲裁サービスの情報も英語版がない。FAQなど重要な情報も日本語しかない。EU域内のデータ主体には少なくとも英語のオンラインサービスがあるべき。

20. EDPBは十分性認定の草案のいくつかの点につきさらなる説明による確証を歓迎する。

21. 例えば、GDPRではデータ処理者の一つとみなされる「委託先(trustee)」が個人データ処理の目的や手段を決定、変更できるのか、あいまいである。

22. 民主主義社会においてデータ主体の権利(アクセス権、修正権、拒否権)の制限の必要性と、基本的人権の本質を尊重しているのかどうかに関する文書が不足している。

23. EUに移転された欧州個人データは、日本の法制度では3年間の記録義務を課しているが、「ライフサイクル」全体を通して有効な保護を受けられるのか、欧州議会が注意深くモニタリングするよう期待している。

行政機関によるEU個人データへのアクセスについての課題

24. 法執行や国家安全保障に関するEU個人データの取扱いについて、EDPBは追加説明を求める。

25. 法執行の分野では、EUのルールと同等のように見えるが、いくつかの法律や判例の翻訳が存在しないため、EU法と「本質的に等価」かどうか結論付けられない。

26. 国家安全保障の分野では、日本政府は自由にアクセス可能な情報源、または企業による自発的な情報開示を通じてのみ個人情報を入手するとしているが、EDPBは専門家やメディアがそれに対して懸念を示していることを知っている。行政機関による監督方法についてさらなる説明を歓迎する。

27. データ主体に対する補償方法について日本政府が追加したメカニズムを歓迎するが、新たなメカニズムが日本法における監督や補償の不足を完全に補っていない点を懸念している。新たなメカニズムがその不足を完全に補うよう、さらなる説明を歓迎する。

28. EDPBは今回の十分性認定がGDPR施行後初であり、今後の前例となる点を重視している。EU日本間の十分性認定による保護に何ら不足が無いよう、欧州議会は確保する必要がある。

29. 「補完的ルール」によってなされた改善は重要である。

30. しかしながら、欧州議会の十分性認定と日本の個人データ保護の枠組みについて、EDPBは少なくない懸念を持っており、さらなる説明が必要である。既存の国内法の枠組みに、限定的な規則を追加するという方式にも、法運用上の疑問がある。EDPBは欧州議会にこれら懸念に対するさらなる説明とエビデンスを要求する。また欧州議会が現行の十分性認定の草案にある4年に1回ではなく、2年に1回のレビューを実施するよう求める。

以上が「EXECUTIVE SUMMARY」の部分の要約である。

要するにEDPB(欧州データ保護会議)は以下のような点についてさらなる説明と対応を求めている。

・既存の法制度に対する「補完的ルール」という建付けで、本当に法的な実効性を担保できるのか?
・行政による法執行や国家安全保障に関して、本当に個人の基本的人権をベースにした個人データ保護は担保されるのか?
・少なくとも英語で、必要情報の入手や手続きができるようにすべき。

個人的には、2019/02に日欧EPAが発効する可能性が高いとされているので、同じタイミングで2年に1回のレビューという条件付きでEDPBも十分性認定草案の正式に採択するのではないかと思う。