タグ別アーカイブ: 個人情報保護法

GDPRの日本に対する「相互的十分性認定」は実際は「不十分」かつ「片務的」のように見える:個人情報保護委員会のパブコメへの回答から

欧州個人データ保護規則(GDPR)について、日本が欧州から欧州個人データの域外移転について十分性認定を受け、今年2018年中には正式に発効する。

その十分性認定を受けることができたのは、日本の個人情報保護委員会が、既存の個人情報保護法への補完的ルールとして「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下「補完的ルール」)を制定、パブリックコメント募集を経て正式に発効させたことだ。

しかも今回の十分性認定は「相互的 mutual」なもので、欧州個人データを欧州から日本へ「without being subject to any further safeguards or authorisations(何らこれ以上の安全措置や認証を条件とすることなく)」(‘Questions & Answers on the Japan adequacy decision’ 2018/07/17 欧州委員会)域外移転できると同時に、日本から日本の個人データを欧州へ域外移転できることになった。

・・・はずである。

「相互的」とは普通に理解すればそういうことで、欧州委員会も「this is the first time the EU and a third country agreed on a reciprocal recognition of the adequate level of data protection(EUと第三国が個人データ保護の十分性レベルの相互認証に合意した最初の事例である)」と、わざわざこの実績を誇っている(‘Questions & Answers on the Japan adequacy decision’(欧州委員会 2018/07/17))。

ところが、日本の個人情報保護委員会が上記、補完的ルールのパブコメで集まった意見に対するオフィシャルな回答をつけた『「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」に関する意見募集結果』(2018/08/24)を読むと、がく然とする。

日本政府側は「相互的」ということについて対応する気がないらしいからだ。

この「意見募集結果」にある個人情報保護委員会の回答に何度も出てくる次の決まり文句が、それを雄弁に物語っている。

本案は、EU 域内から十分性認定に基づき日本国内に移転した個人に関する情報の取扱いについて適用されるものであり、それ以外の情報に適用されるものではありません。

今回の十分性認定は「相互的」であるが、にもかかわらず個人情報保護委員会が、欧州へ移転された日本の個人のデータの取扱いについて補完的ルールをいっさい示していないし、欧州に補完的ルールの制定を求めてもいない。つまり、個人情報保護委員会は現行の個人情報保護法で良いと考えていることになる。

しかしGDPRと個人情報保護法を比べると、明らかにGDPRの方が厳しい。

ということは、個人情報保護委員会は欧州個人データより自国民の個人情報の方がゆるく扱われても構わないと宣言しているようなものだ。

このことは「意見募集結果」に何度も登場する次の決まり文句が明確に示している。

当委員会は、EU の GDPR の各種規定に関する解釈権限を有していないため、GDPR の解釈についての回答は差し控えさせていただきます。また、当委員会では、引き続き、GDPR の制度概要及び本案の内容について、情報発信と周知広報に努めてまいります。

日本政府(個人情報保護委員会)は今回の十分性認定が「相互的」であるにもかかわらず、GDPRの解釈を欧州に丸投げしている。

このことは、欧州個人データが日本へ移転された場合は、GDPRに沿った補完的ルールで対応するが、日本の個人データが欧州へ移転された場合は、GDPRに沿ってどう取り扱われるかは感知しない、と言っているのと同じことだ。

そうでないというなら、日本政府はGDPRの解釈について回答できる必要がある。それができず欧州側に丸投げでは「平等」で「相互的」な十分性認定とは言えない。

このことに理不尽さを感じる日本の企業や組織がなぜ現れないのだろうか?

個人ブログ運営者がGDPR(欧州一般データ保護規則)に大騒ぎしている愚かさ加減

日本語の個人ブログ運用者が、Google Analyticsで閲覧者をトラッキングしているというので、手間をかけてGDPR(EU一般データ保護規則)対応しているが、物事の発生確率について常識的に考えよう。

GDPR違反に制裁金(administrative fines)を課すかどうかはEU各国にある監督機関(supervisory authority)が執行権を持つ。

世界中に無数にある個人ウェブサイトから、あなたのブログを狙い撃ちして、わざわざあなたに英語で少なくない分量の質問書を送信し、状況を詳細に調査し、制裁金を課すべきかどうか、課す場合には金額をいくらにするかを決めるために、あなたと何往復もやり取りすると、あなたは本気で信じているのだろうか。

監督機関は、そんなにヒマではない。

ご自身のブログがEUの監督機関に狙い撃ちされるのを心配して手間をかけるくらいなら、あなたの日常生活にはもっと心配する価値があり、もっと手間を掛ける必要のあることが山ほどあるはずだ。

EUの監督機関が調査するとすれば、最優先なのはEEA域内で一般的に使われている言語および通貨で、EEA域内の自然人に商品やサービスを提供するウェブサイトのうち、多額の制裁金を徴収できそうな大企業だ。

そこから規模やプライバシー侵害リスクの大きそうなウェブサイトで優先順位付けして調査して行くとして、それだけでも何年かかるか分からない。

日本は今年2018年中には欧州委員会から正式に個人データ域外移転に関する十分性認定を受けられる見込みだ。米国の保護貿易傾斜に対抗して欧州が日本とのEPAを急いだおかげの「棚ぼた」で、日本の十分性認定が前倒しになったためだ。

十分性認定を受ければ「何ら追加の安全措置の必要なく」欧州個人データを日本へ移転できる。

結果、あなたが心配すべきことは、あなたのブログが日本の国内法である個人情報保護法を遵守しているかどうかだ。

ところであなたは自分のブログのコメント欄やアンケートフォーム、Google Analyticsで収集している日本人の個人情報が、日本の個人情報保護法に違反していないかを真剣に考えたことがあるだろうか。

単なる一個人が自分のブログについて「GDPRだ!大変だ!」というこの空騒ぎは、いつになったら終わるんだろう。

追記)

ちなみにGDPRのRecital 23では、欧州の個人に商品またはサービスを有償無償にかかわらず提供している場合は、欧州域外の個人や企業にもGDPRはたしかに適用される。

しかし適用されるかどうかの判断基準も書かれており、欧州域内で一般的に使われている言語、または、通貨が使われており、明らかに欧州域内の個人向けだと分かる場合のみに適用される。

したがってRecital 23を読む限りでは日本語の個人ブログはGDPR適用外となる。

ただし、Recital 24に域外適用のもう一つの場合が書かれており、欧州域内個人の欧州域内での行動をモニタリング(monitoring)する場合は域外適用される。

しかしながら、何がモニター(monitor)にあたるかの判断基準も書かれている。欧州域内個人のインターネット上の行動を追跡し、欧州域内個人のプロファイリングをする場合、特に、その個人に関する特定の意思決定や、その個人の嗜好、行動、意見を分析・予測する場合にモニタリングとみなされる。

Google AnalyticsやAdsenseのCookieを心配している個人ブロガーの皆さんは、このRecital 24の域外適用のことを言っている。

書かれているとおり、単にCookieを収集するだけで放置している場合はモニタリングに当たらず、GDPR適用外となる。どうしても心配ならGoogle AlanyticsやAdsenseに限らず、アクセス分析やネット広告サービスはすべて削除する必要がある。

またグローバルIPで欧州からのアクセスを遮断すればよいという記事もたまに見かけるが、GDPRの条文のどこにも、グローバルIPで欧州からのアクセスを遮断しさえすればGDPRの域外適用を免除されるとは書かれていない。

その個人が欧州域内かどうかはインターネット上の技術で決まるわけではなく、物理的に、実際に、欧州域内に存在するかどうかで決まる、としかGDPRには書かれていない。

たとえば、欧州域内の個人がVPNを使って欧州域外の国のグローバルIPからアクセスしてきた場合も、欧州域内の個人がアクセスしてきたことになる。

グローバルIPだけで欧州かどうかを判断する方法ではGDPR適用を逃れることはできない。

また、個人でブログを運営する場合、技術力のある方々は自力でWordpressにプラグインを入れるなどの対応で、Cookie取得についてユーザの事前同意を取ることはできるだろう。

しかしITの知識がほぼない方々が、手軽に始められるブログサービスに乗っかって、そのサービスが自動でアクセス数集計をしてくれるとか、コメント欄があるとか、アンケート機能があるというケースの方が多いはずだ。たとえばアメブロのユーザなど。

個人ブログの運営者で必死になってCookie対策やグローバルIP制限(上述のようにこれは対策にならない)をしている方々は、欧州の監督機関が、例えばすべてのアメブロユーザを摘発しに来るというような事態を本気で信じているのだろうか。

GDPR十分性認定で欧州在住日本人と日本在住日本人の権利保護に差別がうまれる件

日本が既存の個人情報保護法に追加ガイドラインを定めることでGDPR十分性認定を得る予定になったが、その結果、日本の国内法が日本国民より欧州人を優遇するという結果になる。(欧州人と書いたが正確には国籍を問わずEEA域内に存在する個人)

追加ガイドラインは「EU域内から十分性認定により移転を受けた個人データ」についてのみ追加の取扱いを定めているので、日本国民の個人データにはその追加の取扱いは適用されない。

例えば欧州人の個人データについては、性生活、性的指向又は労働組合に関する情報が含まれる場合、要配慮個人情報の扱いになるが、日本国民の場合はそうならない。

欧州人の個人データについては、外国にある第三者へ提供するにあたって、その第三者が日本と同水準の個人の権利利益保護を有しているか、契約などの拘束力のある方法で保護措置を連携して実施するかが必要だが、日本国民の個人データについては不要。

欧州人の個人データを匿名化する場合は、匿名化のために用いた加工方法の情報自体を削除する必要があるが、日本国民の個人データの場合は加工情報の情報は適切に管理するだけでよい。

以上のように、日本の個人情報保護法は欧州人に対して、日本国民の個人情報より手厚い保護を与えることになる。

GDPRで言うEEA域内の個人には、EEA域内にいる日本人も含まれるので、同じ日本国民でも欧州滞在中と日本にいるときで個人データの取扱いが変わることになる。

日本国内法が日本国民の権利保護の取扱いに差をつける。これが日本国憲法に違反しないのか興味があります(汗)。

EU一般データ保護規則(GDPR)十分性認定の誤解が多すぎる件(更新)

2018/07/17にEU一般データ保護規則(GDPR)について日本を十分性認定したが、まだGDPRの第29条委員会ガイドラインの読込みをやっているブログがあったりする。

こちらの欧州委員会の今回の十分性に関するプレスリリースと、Q&A形式のファクトシートをちゃんと読んでいるんだろうか。

こちらの弁護士法人・三宅法律事務所の記事が見つけた限りでは唯一妥当な解釈をしていると個人的に考えている。

ポイントだけ引用する。

「日本が十分性認定を得れば、EU以外の十分性認定を取得していない第三国に個人データを『再移転』する場合は、GDPRの問題ではなく、日本法(個人情報保護法24条に基づく外国にある第三者への個人データの移転)の問題となります」

分かりやすく言えば、欧州個人データについて、日本は欧州の一部になったということだ。このことは欧州委員会サイトの十分性認定の決定についての解説にもある

“The effect of such a decision is that personal data can flow from the EU (and Norway, Liechtenstein and Iceland) to that third country without any further safeguard being necessary. In others words, transfers to the country in question will be assimilated to intra-EU transmissions of data.”

「そのような(十分性認定)決定の効果はEU(およびノルウェー、リヒテンシュタイン、アイスランド)からの個人データは、当該第三国にいかなる追加安全措置の必要なしに流通してよいということです。言い換えれば、当該国への移転はEU域内のデータ移動とみなされます」

日本が欧州個人データに関してEUの一部とみなされるかわりに、欧州個人データを日本からを第三国へ再移転する場合、日本はデータ輸出者になる。十分性認定のない第三国にデータ輸出する場合、日本の国内法にもとづいてGDPRのBCR、SCCに相当する手続きを整備する必要がある。

こちらのベーカー&マッケンジー法律事務所の2018/05/02のコラムが分かりやすい

“Although the EU standard clause contracts may not be required under this new adequacy regime (with its additional requirements), some form of contractual obligations will still need to be imposed upon the recipients of the personal data in Japan relying upon the regime. Companies will consequently need to create bespoke agreements or contractual provisions that can address the specific requirements in the Guidelines. In practice, companies will no longer need to worry about the EU standard clause contracts and so will have flexibility as to how the provisions in the Guidelines are incorporated. However, it will still leave companies with a burden to ensure that their agreements meet the specific requirements of the Guidelines, or be at risk that their data transfers from the EU to Japan be considered non-compliant with the adequacy requirements, and be in breach of the GDPR. ”

日本の個人情報保護法が新たにガイドラインを追加することで(with additional requirements)、その新たな十分性制度(new adequacy regime)の下ではEUのSCCは要求されなくなるかもしれないが、日本の欧州個人データ受領者は依然として何らかの形式の契約的な義務を課せられる。その結果、個人情報保護法の追加ガイドラインに対応するための同意や契約を新たに作成する(create)必要があるだろう、とのことだ。

EUのSCCは不要になり、「EUのSCCについてはもう心配する必要はなくなり、ガイドラインの規定にどう対応するかについて柔軟性が出てくる」ことになる。

重要なのは欧州委員会が十分性認定によって「いかなる追加安全措置の必要なしに流通してよい」としているのに対して、ベーカー&マッケンジーは十分性認定によっても、SCC相当の契約手続きがないとGDPR違反とされるおそれがあるとしている点だ。

筆者は欧州委員会の解説を採用する。十分性認定によって日本は欧州個人データについては欧州域内とみなされ、追加の安全措置は一切不要になるという考え方だ。

その結果、日本は欧州個人データの「域外」移転先ではなくなり、十分性認定を受けていない第三国に対しては欧州同様「輸出者」として、その第三国とSCC相当の契約を結ぶ必要が出てくる。

かつ、そのSCC相当の契約は日本の個人情報保護法と追加ガイドラインに基づく契約であり、EUのSCCではない。十分性認定によって日本は第三国への欧州個人データ移転については、GDPRの直接適用を受けなくなるからだ。

ところが日本政府が追加ガイドラインを施行するのは今秋(2018年秋)ごろなので、まだSCCに当たる契約ツールは公開されていない。日本政府が欧州委員会のように契約ツールを提要してくれるかどうかも分からない。

現時点で日本企業は欧州個人データを第三国へ移転する(=輸出する)とき、国内のSCCに相当するツールがないので実務上困ってしまう。

欧州委員会が2018/07/17に公開したファクトシートに書かれているように、十分性認定とは法制度が完全に一致していなくても「本質的な等価性」があれば、いかなる追加安全措置や許可なしに欧州個人データの移転を受けてよい。

もっと言えば、EUからすると「十分性認定したんだからこれからはお前のところの国内法でちゃんとやってくれ」ということだ。これも同ファクトシートに書かれている。

“Japan also agreed to establish a system of handling and resolution of complaints, under the supervision of the Japanese data protection authority (the Personal Information Protection Commission), to ensure that potential complaints from Europeans as regards access to their data by Japanese law enforcement and national security authorities will be effectively investigated and resolved.”

十分性認定後に日本が実施すべきこととして、個人情報保護委員会が日本のデータ保護機関となり、その監督の下で苦情処理のシステムを確立し、欧州個人からの苦情申し立てを日本の法律の執行と日本国内の情報セキュリティ機関が調査、解決する必要があるとしている。

欧州個人からの苦情申し立ても、日本国内法、日本国内の監督機関(=個人情報保護委員会)でやってくれ、という意味だ。

そもそもGDPRが第三国に治外法権を作り出そうというものではないのだから当たり前だ。他国の国内法に直接手をつっこむことができないのは当たり前なのだが、この当たり前を分からずに、まるでGDPRが日本国内の自然人・法人に「直接」適用されると勘違いしている人が多すぎる。

なので十分性認定を得た後でも、日本は十分性認定を得たがゆえにGDPRがより強く直接適用されると勘違いしている人が多い。

たとえばこちらの記事の最後にある「東京都内の弁護士」は、十分性認定によってGDPR対応が不要になるというのは誤解である、という誤解をしている。

十分性認定によってGDPR対応は不要となり、その代わりに国内法である個人情報保護法に追加されるガイドライン対応が必要になる、というのが正しい。ガイドラインでGDPR対応に「十分な」内容が追加されるからだ。

十分性認定を受けた後も日本の国内法が「不十分」であり、依然として国外法のGDPR対応が必要という見解は、上記の欧州委員会の説明やファクトシートと矛盾する。

十分性認定によって、欧州個人データについて日本は欧州域内とみなされ(assimilated to intra-EU transmissions of data)、一切の追加安全措置が不要になる(without any further safeguard being necessary)。

専門家でさえ誤解をしているのだから、日本のメディアが、あたかも欧州域内法であるGDPRが日本に「直接」適用され続けるかのように、つまり、欧州個人データについてだけは日本に治外法権ができるかのように、誤解を生む報道をするのは仕方ない。

【追記1】

日本企業の欧州現地法人がGDPRの「直接適用」を受けるのは、上記と同じ理屈だ。欧州域内の自然人・法人は欧州域内法の適用、十分性認定を受けた日本国内の自然人・法人は日本国内法(個人情報保護法プラス追加ガイドライン)の適用という考え方で整理できる。

しかし三宅法律事務所の上記コラムでは、欧州に拠点のない日本企業が欧州個人データを直接輸入して管理、処理する場合と、欧州域外の日本企業が欧州内の企業から欧州個人データの処理を受託する場合、GDPR上の管理者、処理者としての義務を負うとある。

しかしこの「域外適用」がどのようになされるのか書かれていない。「域外適用」の適用方法がBCR、SCCなら十分性認定の言う「いかなる追加の安全措置や許可なしに」と矛盾する。

十分性認定とは日本の国内法がGDPRと本質的な等価性を持つという認定なので、「域外適用」はGDPR上の管理者、処理者の義務を負うという意味ではなく、日本国内法上の管理者、処理者の義務を負うという意味である。

しかも今回の十分制認定は過去初めての「相互的 reciprocal」な十分性認定だ。

たとえ十分性認定があっても日本の自然人・法人が特定の場合だけ「域外適用」としてGDPR上の義務を負うのであれば、その同じ場合において、欧州の自然人・法人も日本個人データについて「域外適用」として日本国内法(個人情報保護法)上の義務を負うことになるが、この法解釈には無理がある。

今回の相互的十分性認定によって・・・

(1-A)欧州に拠点のない日本企業が欧州個人データを直接輸入(移転受け)して管理、処理する場合
(1-B)日本に拠点のない欧州企業が日本個人データを直接輸入(移転受け)して管理、処理する場合
(2-A)欧州域外の企業が欧州域内の企業から欧州個人データの処理を受託する場合
(2-B)日本国外の企業が日本国内の企業から日本個人データの処理を受託する場合

・・・これらすべてが無条件に認められなければ、相互的十分性認定とは一体何なのだろうか?

【追記2】
欧州委員会のこちらのGDPRの十分性の解説ページをご覧頂きたい。

十分性は国内法制度、または、国際的なコミットメントにより認められるとある。日本の場合は上記ファクトシートから分かるように国内法制度の追加整備(=個人情報保護法の追加ガイドラインのこと)による。

また十分性認定によって「いわば、該当の国への移転はEU域内のデータ移動であるかのようになる(be assimilated)」。つまり今後日本は欧州個人データの移転についてEU域内のデータ移動であるかのよになるだけでなく、欧州は日本個人データの移転について日本国内のデータ移動であるかのようになる。

かといって日本がGDPRに定められた義務を果たす必要がなくなるわけではないが、その義務は十分性認定の根拠にあるように、日本国内法で整備されているため、GDPRを直接参照するのではなく、日本国内法(個人情報保護法と追加ガイドライン)の適用を受けてその義務を果たすことになる。

日本国内の自然人・法人がGDPRの適用を受けるわけではなく日本国内の法制度の適用を受けるのである。

【追記3】

ベーカー&マッケンジーのこちらの『データ保護~日本と欧州間の十分性認定に関する重要な前進』というコラムの最後に、十分性認定後のSCCに代わるものについて記述がある。

「この十分性認定の(追加要求をともなう)新たな制度下で欧州SCCは求められないにもかかわらず、その制度に依拠して日本の個人データの受領者には依然として何らかの形式の契約的義務が課される。(日本の)企業はその結果、ガイドライン(訳注:個人情報保護法の追加ガイドライン)の具体的な要求に対応できるそれ専用の合意または契約上の規定を新たに作成する(create)必要があるだろう。実践的には、企業はもうEUのSCCについて心配する必要はなくなり、ガイドラインの定めをどのように具体化するかについて柔軟性を持つようになる」

要するにGDPRのSCC制度からは解放されるが、依然としてSCC相当の合意や契約ツールを新たに作らなければいけないと書いてある。十分性認定後、日本企業にGDPRが直接適用されることはなく、あくまで日本国内法が適用されるということだ。