個人情報保護のＥＵのディレクティブに関するアンドレ・プルム教授の講演

「ＥＵ指令からみた第三国への個人データの移転」アンドレ・プルム教授講演

4月16日早稲田大学の国際会議場で国際ビジネス研究センターと日本情報センターの主催で「欧州連合において必要とされる個人データの保護」という講演が行われました。メインスピーカーはルクセンブルグ経済法研究所所長・ナンシー大学教授のアンドレ・プルム氏、ゲストスピーカーは堀部政男中央大学教授。

ＥＵの個人情報保護に関する指令(ディレクティブ)は、昨年10月に効力を発し、そこには適切なレベルの保護がない第三国への個人情報の移転を禁止する25条があり、その結果、個人情報の移転を必然的とする電子商取引が困難になる可能性が問題視されています。
このような状況のもと、EU内に詳しいアンドレ・プルム教授の講演は、わが国では比較的入手しにくい欧州の考え方を知るうえで貴重な講演会でした。但し、宣伝が良くなかったのか参加者が少なかったのが、興味深い内容でその密度が濃かっただけに惜しまれます。

第三国への移転を制限する25条との関係では井奈波弁護士が指摘しているように適切なレペルの保護措置とは何かがはっきりしていませんでした。また、26条は25条の例外を定めていますが、具体的にどのような場合を指すかが判然としていませんでした。
この講演では、この点についてかなり踏み込んだ話を聞くことができました。柴田　暁　山形大学助教授が作成した講演録がありますので、それをもとにレポートします。内容的には厳格に個人情報を保護するものであって、産業界によくある意見のように何らかの規約を形式的に作ればなんとかなるというレベルのものではありません。

25条の「適切なレベルの保護」ですが、プルム氏は原則論としては
「追及されている目的は、明らかに、全世界の人類のために統一的な保護を定めることにあるのではありません。ヨーロッパはその境界線の外に規則のありかたのモデルを輸出しようと望んでいるわけではありません」(講演録[13]節)としています。また「ディレクティヴが言及しているのは、共同体法において規定された保護にまったく同一の保護ではなく、それどころか、単に等価の保護でさえないことに、まず注目すべきであります。上記で考察したように、共同体立法者の意思は、第三国に対して保護についての共同体のモデルを課すことではまったくありません。」(講演録[34節])としています。つまり、この規定の目的はEUの加盟国の国民のプライバシーを守ることであって、世界の個人情報保護の規範を統一しようというのではないというのです。しかし、実際には適切な保護のレベルの評価は日本や米国で考えているものより厳格なもので、EUの個人情報保護と同じものを第三国に課しているかのように見えます。

適切なレベルにあるかどうかの評価は「問題となっている第３国において効力をもっている一般的または部門別の法規範、および、第三国で尊重されている職業上の規範」を対象としています。しかし、それは形式的にそのようなルールがあるだけでは足りません。
「これら規則の質は、その内容に鑑みて評価されると同様にその実効性に鑑みてすなわち、その遵守を保障するために講じられる措置に鑑みて評価されなければなりません。実際、データ保護を規律している規範は、それが実際において適用される場合にしか自然人の保護にならないからです。」(講演録[46]節)とあります。
形だけのルールを作るだけでは足りず、現実にいろいろな制度がうまく機能して、個人情報が実際に保護されていなければならないと言うことでしょう。

そしてどのような保護があれば足りるかの内容の評価については個人参加、合目的性、比例および質の諸原則に適することを要求しています。
個人参加の原則では
「保護の規則は、第一に、本人に、自分にかかわるデータ処理の存在自体を知りうろことを保障しなければならず、本人に、処理されたデータすべての通知を受ける権利を認めるものでなければなりません。そのうえで、規則は、それらデータが不正確であることが明らかな場合には、データの訂正を獲得することを本人に可能ならしめなければなりません。一定の場合には、規則は、本人に自己にかかわるデータの処理に異議をなし、または、処理を本人の同意に服せしめることを可能にしなければなりません。」(講演録[52節])と徹底した本人のアクセス権の保障を必要としています。
合目的性の原則では、
データは「処理が企業の事業目的または一般の利益に鑑み有益かつ必要でなければならないという、正当性の要件を加えます(ディレクティヴ6条1項2号)。」(講演録[55節])と一定の目的のための使用に限定されるだけでなく、その目的が正当なものであることが要求されます。そしてそれは「この制御は、問題の処理の目的と有用性の定義を処理責任者の裁量のみにもはや委ねないことを目指すものです。」と明言しています。
比例原則では、
「この原則は、期間、量および質においてデータを、正当目的の追求に必要な範囲に制限することを含意します。」「処理がその根拠を本人の契約または同意、公益、本人の重大な利益または私的生活を尊重される権利によってもその制約が正当化されない」(講演録[57節])としています。
質の原則では
「この原則の帰結は、目指されている目的により要求される範囲において、個人データを正確にし最新のものにするという目標の追求です。かかる見地から、ディレクティヴは、データの収集およびその事後的な処理の目的に照らして、不正確なまたは不完全なデータが、削除されまたは訂正されるために、合理的な措置が執られるべきことを明らかにしています。」(講演録[58節])

次に先述の実効性の評価では
本人及び処理責任者の個人情報保護の鋭い自覚が個人情報を保護するうえでは重要であることを説きながらも、制裁制度、確認制度、監督委員会や情報保護の責任者などの制度が重要だとしています。また、本人の権利行使の費用にも配慮し、調査に法外な費用がかからないように制度的機構の存在を要求しています。さらに不遵守に対する救済手段として損害賠償のほか制裁措置を可能にする独立の仲裁機関をも要求しています。

米国や日本では、業界団体の自主規制として個人情報の保護を進めようとしていますが、その場合、自主規制の内容はもちろんですが、その規制を作るだけでは足りず、実際にその自主規制が普及し、個人情報の保護のために機能していることが必要になるでしょう。また、これらの自主規制だけでは制裁制度や監督機関などの実効性を担保する仕組みが足りないことになります。

このような適切に保護がない場合には原則としてその国への個人情報の移転は制限されるのですが、ディレクティブ26条は、その場合の例外を定めています。これについて、講演の中で以下のように1998年7月24日発効のディレクティヴ29条の規定する人の保護に関するワーキンググループ文書を引用して説明しています。

例外の１
「データの対象者が提案された移転に対して、明確な同意を与えること」とありますが、これについては次のように厳格に解釈しています。
「例外の第一は、本人が疑いもなく問題の移転に同意を与えている場合をカバーしている(略)。右同意は、任意で、個別的で、かつ、説明を受けたうえで行われたものでなければならない。説明を受けたうえで行われるとの要件は、本人が自己に関するデータが適切な保護を確保しない国に向けて移転される危険について正確な説明を受けていることを要求しているという意味において、特に重要である。この説明がなされていない場合には、例外は適用されない。同意は疑う余地のないかたちで与えられたものでなければらならず、同意があったかどうかの事実についての疑念もまた、例外を不適用にする。このことは、おそらく、多くの、同意が黙示的な状況(例えば本人が移転について認識を有していて、それに反対をしていなかったというような)は、この例外によって力バーされることはない。(略)」(講演録[23])
例外の２・３
26条1項の(2)(3)は次のように例外を定めています。
「2)その移転がデータの対象者と管理者との間の契約の履行、又はデータの対象者の要請よる契約前の措置の実施のために必要であること。
3)移転がデータの対象者のために管理者と第三国との間で締結された契約の作成又は履行のために必要であること。」
この例外は、例えば、航空券の予約に必要な移転、または、銀行カードまたはクレジツトカードよる国際的な支払取引に必要な個人データの移転などにしばしば適用されているのですが、例えばクレジットカード用の個人情報であれば幅広い例外が認められるわけではありません。
「その適用は、『必要性の基準』、即ち、『すべての移転されるデータは契約の履行に必要なものでなければらならない』、によって制限される可能性がある。したがって、非本質的な補充的データが移転されたり、移転が契約の履行を目的として行われるのではなく別の目的(例えば潜在的顧客への促販活動)に応じたものである場合には、例外は適用されない。」(講演録[24])のです。
例外の４
26条１項4号は次のように例外を定めています。「移転が重要な公衆の利益に基づくこと。もしくは、法的請求の提起、行使又は防御のために必要であること。」
この例外の具体的な例として「一般には、税務及び関税当局の相互で、または、社会保障に関する権限ある役務相互におけるデータ交換がカバーされるものと考えられる。金融サービス部門の監督当局の間の移転もまた例外を享受する。」「国際的な係争または訴訟の枠組みで実行される移転、特に、裁判上の確認、執行または権利保護に必要な移転のすべてに関するものである」(講演録[26])をあげています。
例外の５
26条１項5号の例外は「移転がデ一タの対象者の重要な権利を保護するために必要であること。」ですが、これも厳格であって「この種の移転の明らかな例は、ヨーロッパ連合においてかつて治療をうけた旅行者が第三国で事故に遇いまたは重病にかかった場合の、医療書類の第三国に対する緊急の移転であろう。ただし、ディレクティヴは、『重大な利益』を、『本人の生命に不可欠な』利益と定義して、むしろ狭く解釈することにしていることを(中略)心に留めておくべきであろう。一般的な原則として、他のもののなかでも、財務的、財産的、または、家族的の利益は除外されよう。」としています。安易に「本人のため」というのでは認められず、生命にも匹敵する場合でなければなりません。
例外の６
26条１項6号の例外は「法律又は規則に従って、国民に情報を提供し、国民又は正当な権利を付する全てのものによる参照のために開放することを意図している登録から移転が行われること。但し、個々の場合において、参照に関する法律に規定されている条件が満たされていることを条件する。」です。
これはいわゆる公開された登録簿をさしていて、第三国にある自国民に本国で登録簿に公開された情報を閲覧する権利を保障したものです。しかし、「ディレクティブの立法理由説明(コンシデラン58)は、明白に、この例外が登録簿に含まれるデータの全体またはあるカテゴリーのデータの全体の移転をカバーするものではないとしている」であって「例えば、商業目的による公の登録簿に含まれるデータの大量的移転またはある人のプロフィールを作成する目的での公衆の接道可能なデータの精密な調査は、この例外がカバーするとことではない。」(講演録[28])

このほかに特殊の例外として上記に検討した一般的例外のほかにも、構成国は、処理責任者が、特に契約によるかたちで、私的生活の保護の見地から十分な保障を提供する場合には、適切な保護の水準を確保しない第三国への所定のデータの移転を、一または複数、許可することも可能です。」(講演録[30])

山形大学の柴田助教授作成の講演録は長文ですが、この分野を研究されている方には、貴重な資料です。講演を正確に翻訳しているため、わたしは自分用に意訳したファイルを作成してそれを使って読み進みました。

参照条文(抜粋)

戻る