タグ別アーカイブ: EC

日本のGDPR十分性認定、個人情報保護委員会が誤解を招く発表

2018/12/26になって日本の個人情報保護委員会が欧州議会(EP)によりGDPRに関する日本の十分性認定が可決されなかった旨、発表があった。

欧州議会の十分性認定否決の決議がなされた2018/12/12からすでに2週間たっており、個人情報保護委員会の情報公開は遅すぎると言わざるを得ない。

日欧の個人データ移転に係る相互認証の時期について

しかしこの発表は欧州側の発表と完全に食い違っている。

まず、最終決定が1月中にずれ込んだ原因は、EDPB(欧州データ保護会議)の事務的な手続きのためではなく、EDPBが採択した日本の十分性認定に関する意見書を、欧州議会(EP)が採択しなかったことだ。

また、この個人情報保護委員会の発表の3点目には「なお、十分性認定については、12 月 11 日に行われた欧州議会(EP)本会議においても、議員から賛成の意見が示されています」とある。

しかし、欧州議会(EP)はEDPBの意見書を採決しなかったことが1月へずれこむ原因であり、本当に欧州議会(EP)の「議員から賛成の意見が示され」たのであれば延期されなかったはずである。

詳細についてはこのブログの直前の記事に欧州議会(EP)の決議を要約してあるので、そちらをご覧いただきたい。

事実関係についてあえて日本政府に有利に読めるように表現するのは典型的な「霞が関文書」だが、GDPRの影響をうける日本企業に対して誤ったメッセージを発することになる。

GDPRの日本の十分性認定、欧州データ保護会議(EDPB)が欧州委員会(EU)に追加改善要請

2018/12/05にEDPB(欧州データ保護会議)が欧州議会から諮問をうけていた日本の十分性認定決定の草案についての意見を採択した。

‘European Data Protection Board – Fifth Plenary session: EU-Japan draft adequacy decision, DPIA lists (DK, HR, LU, and SI), and guidelines on accreditation’ (European Data Protection Board 2018/12/05)

全体が婉曲な表現で一回読んだだけでは理解しづらいが、「相当数の懸念が残っている(a number of concerns remain)」ためすんなり承認とはならなかったようだ。

以下、日本語試訳する。

EDPBメンバーはEDPBが2018年9月に欧州委員会から受領していた、EU~日本の十分性決定草案についての意見を採択した。EDPBは欧州委員会から入手した文書をもとに評価をおこなった。

EDPBの重要な目的は、日本の枠組みにおける個人データ保護の十分性のレベルについて、欧州委員会が十分な保証があることを確認しているかを評価することだ。

EDPBは欧州委員会と日本の個人情報保護委員会が、日本と欧州の法的枠組みを収れんさせるべく行った努力を歓迎する。2つの枠組みの間のいくつかの差異を橋渡しするために、「補完的ルール」を定めることで改善された点については、非常に重要であり、受け入れることができる。

しかしながら、欧州委員会の十分性草案と日本の個人情報保護枠組みについて、その後注意深く分析し、相当数の懸念が残っていることに気づいた。EUから日本に移転された個人情報の保護のライフサイクル全体などである。

EDPBは欧州委員会に対して、EDPBの求める明確な説明に対応するとともに、提起された問題点についてより踏み込んだ証拠と説明を提出するよう、また、実効性をもって実施されるかを注意深く監視するように勧めた。

EDPBはEU~日本の十分性決定が最高度の重要性をもつと考えている。GDPR実施後の最初の十分性決定として、これが前例になるためだ。

最初の1文「The Board Members adopted an opinion on the EU-Japan draft adequacy decision」が紛らわしいが、十分性決定(十分性認定)の草稿を採択した、のではなく、草稿に関する意見を採択しただけだ。

EDPB(欧州データ保護会議)が欧州委員会に対して正式な意見を提出しただけのことで、十分性決定の草稿そのものを採択したわけではない。

EDPBは、「相当数の懸念(a number of concerns)」があるとし、それについて欧州委員会に「より踏み込んだ証拠(further evidence)」や説明を求めている。とくに指摘事項になっているのは、EUから日本に移転された個人データのライフサイクル全体(throught their whole life cycle)での保護である。

EDPBは十分性認定の草稿を却下したわけではないが、日本側に追加対応を求めていることになる。

欧州委員会曰く、GDPRは我々には適用されない

欧州委員会(EC)が自らの個人データ漏えいについてGDPRは適用されないと発表したらしい。

‘Embarrassing’ leak shows EU falls short of own GDPR data law (The Telegraph 2018/05/30 22:49)

欧州委員会の個人データ漏えいはIndivigital社からThe Daily Telegraph紙に提供された証拠で明らかになったようだ。

THE EU’S WEBSITE IS SERVING THIRD-PARTY CONTENT AND SPREADSHEETS CONTAINING HUNDREDS OF NAMES AND EMAIL ADDRESSES (Indivigital 2018/05/27)

EUのウェブサイトがEUのさまざまなワークショップやイベントに参加した個人の氏名、メールアドレス、電話番号、携帯電話番号を含むスプレッドシートを公開状態にしていたとのこと。

グーグル検索の結果には、EUのウェブサイト上にあるExcelファイルが約2万4千件現われ、europa.euドメイン上のそれらExcelファイルは、グーグルの詳細検索機能を使えば誰でもアクセスできるようだ。

その一つは欧州食品安全機関が公開したものと、2013年11月開催の「Scientific Colloquium Series」の出席者101名のデータ。

そのデータには姓名、メールアドレス、郵便番号、住所、電話番号、携帯電話番号、FAX番号が含まれる。その他、公開状態で誰でもアクセスできるようになっていたExcelファイルには以下のようなものがあったらしい。

・「Cultural Infodays 2009」という画像と437行のデータ。名前、メールアドレス、組織名を含む。政府機関や大学職員、非営利団体や民間企業の職員のデータもああり、多くのメールアドレスは政府機関や非営利団体のものだが、GMailなどのフリーメールもあった。

・Marine Expert Gropのものと思われるExcelファイルもあり、参加者の氏名、メールアドレスと、出欠確認のデータもあった。多くのメールは政府機関のものだが、いくつかは非政府機関のもの。

・欧州委員会が公開したExcelファイルもあり、氏名、メールアドレスを含む63名の個人データがある。メールアドレスは大部分がGMail。シートの列名には「nature of involvment(関与の性質)」というものや、各個人の能力についての短い記述と思われるものもある。たとえば「ITとソーシャルメディアのスキル」「WB RAAの草稿に助力した」「プロジェクト管理の経験あり」など。

後者のExcelファイルは2016年11月3日、4日開催の”Balkan Connexion”というイベントに関するものと思われ、EUのウェブサイトによれば、このイベントは学生を含む90名が参加した。

多くのExcelファイルは684行の個人データがあるものも含めて、各個人の明示的な同意によって公開されていると思われ、同意の概要を示すeuropa.euのページにリンクされており、そこからもExcelファイルへリンクされている。

その他の例として、”FOREST project”専用のウェブサイトに列挙されたExcelファイルがあり、ここには氏名や携帯電話番号を含むユーザの詳細な個人情報があり、2010年から2018年の間に公開されたワークショップのウェブページからリンクされている。

これらは明らかにGDPR違反となる。

しかし欧州委員会のスポークスマンはEUの各種機関は「法的な理由」でGDPRとは分離されており、GDPRにならった新しい法律に従うことになると発表したようだ。その新しい法律は今年2018年秋に施行されるとのこと。