十分性認定」タグアーカイブ

日本のGDPR十分性認定、個人情報保護委員会が誤解を招く発表

2018/12/26になって日本の個人情報保護委員会が欧州議会(EP)によりGDPRに関する日本の十分性認定が可決されなかった旨、発表があった。

欧州議会の十分性認定否決の決議がなされた2018/12/12からすでに2週間たっており、個人情報保護委員会の情報公開は遅すぎると言わざるを得ない。

日欧の個人データ移転に係る相互認証の時期について

しかしこの発表は欧州側の発表と完全に食い違っている。

まず、最終決定が1月中にずれ込んだ原因は、EDPB(欧州データ保護会議)の事務的な手続きのためではなく、EDPBが採択した日本の十分性認定に関する意見書を、欧州議会(EP)が採択しなかったことだ。

また、この個人情報保護委員会の発表の3点目には「なお、十分性認定については、12 月 11 日に行われた欧州議会(EP)本会議においても、議員から賛成の意見が示されています」とある。

しかし、欧州議会(EP)はEDPBの意見書を採決しなかったことが1月へずれこむ原因であり、本当に欧州議会(EP)の「議員から賛成の意見が示され」たのであれば延期されなかったはずである。

詳細についてはこのブログの直前の記事に欧州議会(EP)の決議を要約してあるので、そちらをご覧いただきたい。

事実関係についてあえて日本政府に有利に読めるように表現するのは典型的な「霞が関文書」だが、GDPRの影響をうける日本企業に対して誤ったメッセージを発することになる。

日本のGDPR十分性、欧州データ保護会議の意見を受けた欧州議会の厳しい決議

恥ずかしながら下記の方のツイートで気づいたのだが、欧州データ保護会議(EDPB)の意見に対して、2018/12/12にすでに欧州議会(European Parliament)で決議がなされていたようだ。その内容がかなり厳しかったので、確認しておく。

日本の十分性認定については、EDPBの意見書をうけて欧州議会(European Parliament)で2018/12/11に、日欧間のEPA、経済的パートナーシップ合意、戦略的パートナシップ合意の決議とともに議論された。

こちらが2018/12/11の議事

議事のうちEPAについては、こちらにあるように2018/12/12に採択されている

日本のGDPR十分性認定については、こちらの文書が採択されている

この文書の結論として、日本のデータ保護の法的枠組みが、欧州のデータ保護の法的枠組みと本質的に同等な十分な保護レベルにあることを示すために、2018/12/05に欧州データ保護会議(EDPB)が指摘した点も含めて、欧州委員会(EC)にさらなるエビデンスと説明を要求している。

要するに、日本のGDPR十分性認定の手続きは、EPAとは別のテーマとして、まだ欧州委員会、欧州議会の間でまだ続くということだ。

エビデンスと説明が不十分だと言っているだけなので、却下されることはないと思われるが、この採択文書の第24項では、こちらの「THE UNTOLD STORY OF JAPAN’S SECRET SPY AGENCY」(The Intercept 2018/05/19)という記事が触れている、NHKの報道、『日本の諜報 スクープ 最高機密ファイル』(NHKスペシャル 2018/05/19初回放送)に対する懸念が含まれていたりする。

日本のGDPR十分性認定の草案に、無差別な大規模監視のことが言及さえされておらず、この大規模監視が欧州司法裁判所の過去の判例の基準を満たさないことについて「seriously worried」非常に懸念していると書かれている。

その他、この採択文書は相当数の論点にふれており、どうやら日本の十分性認定が採択されるまでの道のりは長そうだ。

GDPRの日本の十分性認定、欧州データ保護会議(EDPB)が欧州委員会(EU)に追加改善要請

2018/12/05にEDPB(欧州データ保護会議)が欧州議会から諮問をうけていた日本の十分性認定決定の草案についての意見を採択した。

‘European Data Protection Board – Fifth Plenary session: EU-Japan draft adequacy decision, DPIA lists (DK, HR, LU, and SI), and guidelines on accreditation’ (European Data Protection Board 2018/12/05)

全体が婉曲な表現で一回読んだだけでは理解しづらいが、「相当数の懸念が残っている(a number of concerns remain)」ためすんなり承認とはならなかったようだ。

以下、日本語試訳する。

EDPBメンバーはEDPBが2018年9月に欧州委員会から受領していた、EU~日本の十分性決定草案についての意見を採択した。EDPBは欧州委員会から入手した文書をもとに評価をおこなった。

EDPBの重要な目的は、日本の枠組みにおける個人データ保護の十分性のレベルについて、欧州委員会が十分な保証があることを確認しているかを評価することだ。

EDPBは欧州委員会と日本の個人情報保護委員会が、日本と欧州の法的枠組みを収れんさせるべく行った努力を歓迎する。2つの枠組みの間のいくつかの差異を橋渡しするために、「補完的ルール」を定めることで改善された点については、非常に重要であり、受け入れることができる。

しかしながら、欧州委員会の十分性草案と日本の個人情報保護枠組みについて、その後注意深く分析し、相当数の懸念が残っていることに気づいた。EUから日本に移転された個人情報の保護のライフサイクル全体などである。

EDPBは欧州委員会に対して、EDPBの求める明確な説明に対応するとともに、提起された問題点についてより踏み込んだ証拠と説明を提出するよう、また、実効性をもって実施されるかを注意深く監視するように勧めた。

EDPBはEU~日本の十分性決定が最高度の重要性をもつと考えている。GDPR実施後の最初の十分性決定として、これが前例になるためだ。

最初の1文「The Board Members adopted an opinion on the EU-Japan draft adequacy decision」が紛らわしいが、十分性決定(十分性認定)の草稿を採択した、のではなく、草稿に関する意見を採択しただけだ。

EDPB(欧州データ保護会議)が欧州委員会に対して正式な意見を提出しただけのことで、十分性決定の草稿そのものを採択したわけではない。

EDPBは、「相当数の懸念(a number of concerns)」があるとし、それについて欧州委員会に「より踏み込んだ証拠(further evidence)」や説明を求めている。とくに指摘事項になっているのは、EUから日本に移転された個人データのライフサイクル全体(throught their whole life cycle)での保護である。

EDPBは十分性認定の草稿を却下したわけではないが、日本側に追加対応を求めていることになる。

GDPR十分性認定で欧州在住日本人と日本在住日本人の権利保護に差別がうまれる件

日本が既存の個人情報保護法に追加ガイドラインを定めることでGDPR十分性認定を得る予定になったが、その結果、日本の国内法が日本国民より欧州人を優遇するという結果になる。(欧州人と書いたが正確には国籍を問わずEEA域内に存在する個人)

追加ガイドラインは「EU域内から十分性認定により移転を受けた個人データ」についてのみ追加の取扱いを定めているので、日本国民の個人データにはその追加の取扱いは適用されない。

例えば欧州人の個人データについては、性生活、性的指向又は労働組合に関する情報が含まれる場合、要配慮個人情報の扱いになるが、日本国民の場合はそうならない。

欧州人の個人データについては、外国にある第三者へ提供するにあたって、その第三者が日本と同水準の個人の権利利益保護を有しているか、契約などの拘束力のある方法で保護措置を連携して実施するかが必要だが、日本国民の個人データについては不要。

欧州人の個人データを匿名化する場合は、匿名化のために用いた加工方法の情報自体を削除する必要があるが、日本国民の個人データの場合は加工情報の情報は適切に管理するだけでよい。

以上のように、日本の個人情報保護法は欧州人に対して、日本国民の個人情報より手厚い保護を与えることになる。

GDPRで言うEEA域内の個人には、EEA域内にいる日本人も含まれるので、同じ日本国民でも欧州滞在中と日本にいるときで個人データの取扱いが変わることになる。

日本国内法が日本国民の権利保護の取扱いに差をつける。これが日本国憲法に違反しないのか興味があります(汗)。