26 海外法務, コンプライアンス, 情報セキュリティ, 外国法

今回は前回解説したアクセス権に関し, 仮の事例ですが具体的事例でアクセス権への実際の対応方法について考えてみましょう。

なお, この事例は, 世界的情報プライバシー団体であるIAPP(The International Association of Privacy Professionals）の認定資格であるCIPP/E(Certified Information Privacy Professional/Europe)の認定試験について、IAPPが公開しているSample Questions(v 4.1)(16～18）の設問事例の内容を筆者が一部修正して作成したものです。各問題(Q)に対する解答(A)はSample Questionsに付いている正答(多肢選択式）の通り, その解説はSample Questionsの解説の内容も踏まえ筆者が作成したものです。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

設問事例

Q1: X社がA氏の請求に対応すべき前になすべきことは?

Q2： GDPR上のX社対応期限は?

Q3: Q1の次にA氏の「電子メールのコピー」の提供請求につきX社がすべきことは?

設問事例

ある会社(ここでは「X社」とする）の元従業員(ここでは「A氏」とする）が, A氏のX社における在職期間(18年間）中にX社が取得したA氏についての個人データ全てのコピーを, A氏のパスポートのコピーとX社在籍時の社員証番号(A氏特定のための情報）とA氏の現住所の情報を添えて, X社に5月1日に請求した。そのコピーの対象には, A氏について, A氏の元上司(複数）および人事部から送信された電子メールも含まれていた。

A氏の請求書を受領した受付(receptionist)はどう対応すればいいか分からず, 請求書を会社の施設管理部長に社内便で転送したが, 同部長は5月5日まで休暇中であった。施設管理部長は出社後に請求書を人事部長に転送した。人事部長は, 多忙のため, 5月21日に法務部に電子メールを送り対応方法を尋ねた。法務部担当者(弁護士）は, 5月25日に, 人事部長に対し, 直ちにA氏に連絡を取りX社が対応中であることを伝えるよう助言した。

Q1: X社がA氏の請求に対応する前になすべきことは?

A1: X社の管理者としてのGDPR上の遵守事項を再確認すること。その上で, 遅滞なくA氏に連絡し, X社が対応中であることを伝えるとともに, A氏の請求内容を確認すること。

【解　説】

【A氏の請求の法的根拠】　A氏の請求はGDPR第15条のアクセス権に基づくものです。そして, 電子メールのコピーの請求は, 同条第3項に基づく自己の個人データのコピーの請求として適法です(前回Q5参照)。

【A氏が請求する「A氏について, A氏の元上司(複数）および人事部から送信された電子メール」のコピーについて】　このコピーの請求では, 電子メールの受信者は限定されていません。従って, A氏に提供すべき電子メールの範囲は, A氏自身が受信した電子メールに限られず, 例えば, A氏の元上司と人事部担当者間のA氏の能力評価等に関する電子メールも含まれることになります(むしろその種のものがA氏の求めるものと推測される）。

この元上司と人事部担当者間の電子メールも, A氏が特定・識別され得るものである限りA氏の「個人データ」に該当します(4(1))。そして, 個人データには, 従業員の能力評価等に関するものも当然含まれます。

なお, この元上司と人事部担当者間の電子メールは, X社(管理者）が直接A氏(データ主体）から取得(X社のサーバに保存）したものではないので, 第14条（個人データが間接取得その他直接データ主体から取得されたものではない場合におけるデータ主体への情報提供）の個人データに該当します。

しかし, GDPRの規定上, アクセス権の対象となる個人データは, その作成者(ここでは電子メール送信者）, 受領者(ここでは同受信者）, 作成期間等を問わず、また, 直接取得されたものか間接取得されたものかを問いません。

【上記電子メールのコピー提供拒絶根拠】　一応以下のものが考えられます。

(i) データ主体へのコピー提供の対象はあくまで処理中の(undergoing processing)個人データに限定されています(15(3))。従って,当然ながら消去済みでもはや管理者（X社）が保存していない個人データのコピーは提供対象から除外されます。GDPR第5条第1項(c)の処理(ここでは保存）の必要最小限化原則を励行していれば残存保存量は限定されるかもしれません。

(ii)GDPR第15条第4項：データ主体が管理者から自己の個人データのコピーを取得する権利は, 他者の権利および自由を損なう(adversely affect）ものであってはならないとされています。しかし, 一部これに該当するものがあるかもしれません(その場合でも原則としてその部分を削除できるだけ）(具体的にはQ4の解説の【該当の電子メール全ての提供の要否】の欄参照）が, 能力評価等に関するものだからといって, 一般的にこれに該当するとは考えられません。

(iii) GDPR第12条第5項(b)：アクセス権に基づく請求が, 繰り返して行われる等, 根拠がないことまたは過剰であることが明らかな(manifestly unfounded or excessive）な場合(その証明責任は管理者が負う）, 管理者は, 請求の拒絶を選択することもできます。しかし, 設問上, A氏が過去にも何度も同種の請求をしたことがある等の記述はなく, これには該当しないと思われます。

【電子メールに関しX社が行わなければならない対応】　以上より, X社は, 原則として, A氏のX社における在職期間(18年間）中に「A氏についてA氏の元上司(複数）および人事部から送信された電子メール」の全部のコピーをA氏に提供しなければなりません。

【現実的対応の困難性】　しかし, 検索の対象となる電子メールが大量になると思われ, しかも, その中から, A氏への提供対象となるものとそうでないものの選別やQ3で解説する他の関係従業員等への通知等も必要です。従って, 現実的には, 対応期限(次のQ2の通り5月31日まで）には間に合わない可能性が大きいと思われます。一方, X社が期限内に対応できなければ, A氏は, これをGDPR違反として, 監督機関への苦情申立(77(1)）等をすることができます。また, 電子メールのコピーの提供形態(電子ファイル,紙へのプリントアウト等）も, A氏が提供形態を指定していなければ, 同氏と相談する必要があります(今回は電子的手段による請求ではないので自動的に電子ファイルによる提供(15(3))とはならない）。

【この状況下でのX社として最善の方策】 この状況では, 次の事項を行うことしか方策はなく, また, それが最善と思われます。

- 直ちにA氏に連絡し, X社が(具体的対応開始が遅れたが)真摯に対応中であることを伝えること

- A氏が真に必要とするものを確認し調査・コピー提供範囲の限定を試みること

- 可能ならば期限延長に同意してもらうこと

Q2： GDPR上のX社対応期限は?

A2： X社受付での要求書受領後不当な遅滞なくかつ遅くとも1か月以内(6月4日まで）。

【解　説】

GDPR第12条3項によれば, 管理者は, データ主体からの個人データコピーの請求に対し, 不当に遅滞することなくかつ如何なる場合も当該請求を受けた時から1 か月以内に提供しなければなりません。

A氏の請求書をX社の受付が受領したのは5月1日なので, そこから1か月以内(12(3)第1文), すなわち, 5月31日までに(法務部担当者が人事部長に対応を助言した5月25日時点で残り6日）, A氏に提供(具体的にはA氏現住所に到着）しなければなりません。

ここで, 上記1か月以内の対応期限は, その「請求の複雑性と件数を考慮すれば[延長が]必要」であると説明立証 (5(2), 24)できるのであれば最大2か月延長可能です(12(3)第2文)。管理者は, この期間延長を, データ主体に対し, その請求を受けた時から1 か月以内に, 遅滞の理由と共に通知しなければなりません(12(3)第3文)。

しかし, X社が事実上請求を25日間も放置してきたことは, 当然上記の延長の必要性には該当しません。また, 仮にX社の対応開始の遅れがなくても元々延長が必要なケースだったとしても, 「請求の複雑性と件数」は程度問題ですから, A氏がこれを争い監督機関に苦情申立等することや, X社の「遅滞の理由」から否定されることも予想されます。

従って, 現実的には, A氏に, 今後誠意をもって対応する姿勢を見せて期間延長に同意を得るしかないと思われます。

Q3: Q1の次にA氏の「電子メールのコピー」の提供請求につきX社がすべきことは?

A3: X社のモニタリングポリシー(*1)に従い電子メールを調査すること。A氏にコピーを提供する前に, 影響を受ける従業員(*2)に対し, A氏にこの電子メール(のコピー）を提供することを通知すること。

【解　説】

上記(*1)の「モニタリングポリシー」というのは, IAPPのSample Questionsの正答肢に出てくる言葉ですが, この電子メールの検索調査は一種の従業員監視ともいえるので, 既にある筈の従業員・電子メール監視・調査を適法・適切に行うための社内ポリシー(基準・手続）の意味と推測され、この検索調査は同ポリシーに従い実施されなければならないとの趣旨と思われます。

上記(*2)の「影響を受ける従業員」(affected employees）とは, A氏以外の, その電子メールの送信者・受信者やメール中に言及されている従業員(または元従業員）等(以下「他の従業員」と総称する）を意味します。これらの送受信者名や言及部分は, 他の従業員の個人データに該当します。

従って, これらの送受信者名や言及等, 他の従業員の個人データが含まれる電子メールのコピーをA氏に提供することは, 他の従業員から見れば, その個人データの第三者への提供(移転）に該当します。

GDPR第13条(直接取得）第3項および第14条(間接取得）第4項によれば, 管理者は, 個人データを, それが取得された当時の目的以外の他の目的のために処理しようとする場合, 当該他の目的での処理(further processing）の前に, データ主体に対し, 当該他の目的および所定の情報を提供しなければなりません。

A氏に対する電子メールのコピー提供は, X社がその電子メール(に含まれる他の従業員の個人データ）を最初に取得した(X社のサーバに保存した）時のその取得目的(従業員への業務用電子メール機能の提供）とは異なる他の目的での処理です。従って, 上記解答A3の通り, X社は, A氏へのこれら電子メール提供前に, 他の従業員にA氏への提供に関し通知しなければなりません。

【他の従業員への事前通知が不要な場合】　しかし, 従前から, X社の従業員データ取扱いポリシー等で, X社は, GDPR上のデータ主体の権利行使を受けた場合これに対応するため従業員データを当該権利行使者に提供することがある旨記載されており, かつ, 全従業員に周知されていた場合はどうか。Sample Questionsの解説には, このようなケースについての言及はありません。

筆者の見解では, この場合には, 同ポリシーにより, 他の従業員にも, その電子メール取得(サーバへの保存）時点で, 他のデータ主体の権利行使への対応が将来の処理目的として情報提供(13, 14)されていたことになり, 第13条第3項または第14条第4項の適用はなく, A氏への電子メール提供に当たり, 該当従業員に改めて個別に通知することは不要と思われます。

【該当の電子メール全ての提供の要否】　Q1で触れた通り, GDPR第15条第4項では, データ主体が管理者から自己の個人データのコピーを取得する権利は, 他者の権利および自由を損なう(adversely affect）ものであってはならないとされています。従って, 対象の電子メールの内, 次のいずれかに該当する部分については, GDPR第15条第4項を根拠として, これをアクセス権の対象外とし, 該当部分を消去もしくは黒塗りした上でA氏に提供するか, または, その電子メール全体を提供範囲から除外してよいと思われます。

(i)他の従業員の個人データに該当し, A氏への開示により他の従業員の権利・自由に悪影響を及ぼし得ると説明立証(5(2), 24)可能な部分

(ii)他の従業員の「特別カテゴリーの個人データ」(例：組合加入の有無・健康データ）(第11回Q2参照）であって, A氏への提供について同意を拒否された部分。

- 他の従業員の個人データがGDPR第9条の特別カテゴリーの個人データに該当する場合は, 同条により, X社は, 事前にその従業員の明示的同意を得なければ原則としてこれをA氏に提供することはできません(9(1), (2)(a))。この同意を拒否されたにもかかわらず, A氏に提供すれば他の従業員の権利侵害に当たり, 第15条4項に該当し提供対象から除外可能と思われます。

(iii)X社の営業秘密または知的財産に係る部分(他者の権利等には, 管理者の営業秘密,知的財産等も含まれ得る）(前文62) (前回Q6参照)。

但し, X社(管理者）は, X氏(データ主体)に黒塗りまたは消去等の理由を説明しなければなりません(5(2), 24)。

上記により, 黒塗り等をした上で, なお, A氏に対し開示しなければならない他の従業員の個人データが残る場合は, X社は, A氏への電子メール提供前に, その提供に関し他の従業員に通知しなければなりません(13(3), 4(4))。

【他の従業員の同意取得の要否】　この点について, IAPPのCIPP/E Sample Questionsの解説では明確でありません。筆者の見解では, A氏への提供は管理者のGDPR第15条の義務履行として行われるのですから, GDPR第6条1項(c)の「処理が, 管理者の法的義務の履行のため必要な場合」に該当し, 従って, これを適法性の根拠として行うことができるので, 他の従業員の「同意」を得ることは不要と思われます。

また, 他の従業員の特別カテゴリーの個人データに該当する情報を含む電子メールの提供については, その根拠を第9条のデータ主体の(明示的）同意(6(2)(a))にしようとしたものの, その同意を他の従業員から拒絶された場合には上記の通りA氏への提供を要しません。仮にその同意を得られた場合はその同意を根拠として提供すればよい(あえて他の根拠による必要はない）ということになります。

【データ主体からの権利行使に対する社内体制の事前整備の必要性】 設例事例のような状況はどの企業でも起こる可能性が十分にあり, 場合によっては, データ主体からの請求に対し何ら対応がされずに対応期限の1か月を徒過してしまうことさえあり得ると思われます。しかも, 上記より分かるように, 管理者としてどのように対応すべきかは, GDPRの解釈問題もあり, また, 個別の事情により異なり得ると思われるから, 容易な問題ではありません。

しかし, 第12条～第22条に定めるデータ主体の権利に関する違反は, 2,000万ユーロまたは前会計年度の全世界売上高の4%のいずれか大きい額を限度とする制裁金の対象となり得ます(83(5)(b))。

従って, 企業としては, このようなことが起こらないよう, GDPRの解釈問題も含め, 複雑な対応が必要な状況も想定し, データ主体からの権利行使への対応に関する手順, 社内体制等を予め十分検討・準備し確立しておかなければなりません。

今回はここまでです。次回は,訂正請求権について解説します。

【筆者の最近の個人情報保護関連書籍】

NEW!! 「LINE事件と中国におけるガバメントアクセス規定」2021/04/26

NEW!! 「改正個人情報保護法アップデート(施行令・施行規則の制定)」2021年4月

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[1]

【注】

[1]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP (International Association of Privacy Professionals) 会員,CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録