12 海外法務, コンプライアンス, 情報セキュリティ, 外国法

この2回では欧州における個人データ保護の歴史を概観します。[1]

Q1：EUのGDPRは何故厳しいのですか？

A2: 欧州には、ナチスによる個人データの悪用、旧東欧における国民監視等の歴史があり、個人データの保護が基本的人権の不可欠の要素と考えられてきたことが一つの原因と考えられます。

【解説】

ナチスは多種多様な手段を利用し公衆を監視・統制しました。その手段の一つにパンチカードによるデータ処理システムを利用した国政調査がありました。この国勢調査において、調査員は、各戸を戸別訪問し、住民の国籍・母国語・宗教・職業等を調査しパンチカードに入力しました。このパンチカードには、ユダヤ人を識別するデータやその処分方法（ガス室・絞首または銃殺による集団処刑等）も記録されユダヤ人大虐殺（ホロコースト：holocaust）に利用されました。^[2]

旧東欧、例えば、東ドイツでは、シュタージ（Stasi）と呼ばれた秘密警察・諜報機関が、常時市民を監視しプライバシーを侵害していました。

このような背景から、欧州においては、個人データの保護は、プライバシー、すなわち、私的生活に関する権利およびこれに関連する自由（the right to a private life and associated freedoms）の一部として基本的人権とみなされてきました。

Q2: EUでは昔から個人データ保護が厳しかったのですか?

A2：はい、1970年にドイツヘッセン州で世界初の個人データ保護法が制定される等、欧州は世界的に見ても昔から個人データ保護を重視していたと言えます。

Q3: 欧州に関係する個人データ保護の歴史を教えて下さい。

A3: 欧州における個人データ保護は、主に、次のような出来事を経て現在の一般データ保護規則（GDPR)とePrivacy指令の制定に至っています。

（＊）赤字は個人データ保護に関する特に重要な出来事。青字は欧州全体の個人データ保護に重大な影響を及ぼす欧州の機構に関する出来事。

【欧州における個人データ保護の歴史】

・1939年～1945年：第二次大戦

・1948年：（国連）世界人権宣言^[3] - 国連のプライバシーと通信の秘密の保護に関する宣言（但し法的拘束力なし）

・1949年：欧州評議会設立　- 欧州評議会(Council of Europe)は、現在のEU加盟国の他ロシア等を含む47か国から成るEUより歴史の古い国際組織

・1950年：（欧州評議会）欧州人権条約^[4]　- 欧州評議会加盟国間の条約。プライバシーと通信の秘密の保護を規定。

・1957年：（EU)ローマ条約 - 現在のEUに繋がる組織を設立。欧州における単一市場とその中での物品等の移動の自由を目指した。

・1980年：（OECD）プライバシー保護および個人データの国際移転に関するガイドライン^[5] -　OECD（Organisation for Economic Co-operation and Development）（経済協力開発機構）は、第二次世界大戦後に欧州復興のため米国と欧州間の協議機関として発足。このガイドラインでは個人データの取扱いに関する8原則をOECD加盟国に勧告（但し法的拘束力なし）。1964年にOECDに加盟していた日本もこの8原則を参考に2003年に個人情報保護法を制定した。

・1981年：(欧州評議会) 個人データ保護条約(条約第108号）^[6]　-　欧州評議会の条約。個人データ保護に特化した条約。法的拘束力を有す。条約締約国は、個人データの処理に関し本条約に定める原則を国内法に反映させなければならない。

・1995年：(EU) データ保護指令^[7]　-　EUのGDPR以前の保護条約。GDPR成立により廃止。

・2000年：(EU) 基本権憲章^[8]　-　EUの基本的人権に関する条約。プライバシーと通信の秘密の保護を含む。2009年以降法的拘束力を有することになった。

・2002年：（EU）ePrivacy指令^[9]　-　現在も有効な通信の秘密を中心とする条約。Cookieが規制されることからCookie指令とも呼ばれる。

・2007年：（EU）リスボン条約　- 現在のEUの基本的な法と機構の枠組みを確立

・2016年：（EU）一般データ保護規則（GDPR）[10]

Q4: OECDのガイドライン（プライバシーに関する8原則）は、日本の個人情報保護法にも影響を及ぼしたとのことですが、その概要を教えて下さい。

A4: OECD8原則の要旨を以下に示します。

【OECD８原則の要旨】

1) 取得制限の原則 (Collection Limitation Principle)

個人データは、適法かつ公正な手段(lawful and fair means）により取得され、かつ、それが適切な場合には(where appropriate)、データ主体（data subject：本人）が知りまたは同意した上で（with the knowledge or consent）取得されなければならない(7)。

2) データ内容に関する原則 (Data Quality Principle)

個人データは、利用目的との関係において適切で(relevant)、かつ、当該利用目的に必要な範囲で正確・完全でかつ最新の内容に保たれなければならない（accurate, complete and kept up to date）(8)。

3) 目的特定の原則　(Purpose Specification Principle)

個人データの取得目的はデータ取得時までに特定されなければならない。また、取得後の利用は、次のいずれかの範囲内でなければならない(9)。

・当該取得目的達成に必要な範囲内

・当該取得目的と両立し（not incompatible)かつ目的変更の都度特定された範囲内

4) 利用目的による制限の原則　(Use Limitation Principle)

個人データは、次のいずれかの場合を除き、上記3)に従い特定された目的以外の目的のために開示、提供その他利用されてはならない(10)。

・データ主体（data subject：本人）がその利用に同意した場合

・その利用が法的権限（authority of law）に基づき行われる場合

5) セキュリティー確保の原則　(Security Safeguards Principle)

個人データについては、その滅失、無権限のアクセス・棄損・利用、改ざんまたは漏洩 (loss or unauthorised access, destruction, use, modification or disclosure）の危険(risks)に対し、合理的なセキュリティー上の安全措置(reasonable security safeguards)が講じられなければならない(11)。

6) 公開の原則　(Openness Principle)

個人データに関する情報およびポリシー（方針）は原則として公開されなければならない（general policy of openness）。

具体的には、以下の情報が、[データ主体にとり]容易に利用でき(be readily available）なければならない(12)。

・データ管理者（data controller）が保有する個人データの有無・内容(nature)

・主たる利用目的

・データ管理者の身元（identity）と所在地を確認する(establish)手段

7) 本人関与の原則　(Individual Participation Principle)

データ主体には以下の権利が保障されなければならない(13）。

・データ管理者が自己の個人データを保有しているか否かを、データ管理者にまたは他の方法により確認する権利

・自己に関する個人データについて、(i)合理的期間内に(ii)手数料が請求される場合はその額は過大でなく(iii)合理的態様で(iv) データ主体が容易に理解できる（readily intelligible）形式で開示させる（have communicated)権利

・データ管理者が上記a)の確認またはb)の開示を拒絶する場合には、その理由の説明を受け、かつ、その拒絶を争う（challenge）権利
・データ管理者の保有する自己の個人データの内容に異議を申立て（challenge）、かつ、その異議が認められる場合には、その個人データを消去、訂正させまたは情報の補足修正をさせる（have the data erased, rectified, completed or amended）権利

8) 説明責任の原則　（Accountability Principle）

データ管理者は、上記各原則を実施する（give effect to)ための手段について説明責任を負う(be accountable) (14)。

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」第2回はここまでです。次回は、欧州統合の歴史とEU等の機構について解説します。

著者GDPR・Cookie規制関連本

【注】

[1] 【本稿の元文献】　筆者の次の書籍の該当ページを基に作成した。　「GDPR関連資格CIPP/E準拠詳説GDPR (上) - GDPRとCookie規制」　I-A

[2] 【GDPRにおけるホロコーストへの言及】 このような歴史を反映して、GDPRの前文158には、「公益目的でのアーカイブ」（archiving purposes in the public interest）の例として、かつての全体主義国家体制（totalitarian state regime）、ジェノサイド（genocide）、人道に対する罪（crimes against humanity）（特に、ホロコースト（Holocaust）または戦争犯罪（war crimes））に関する情報のアーカイブが挙げられており、EU加盟国は、このアーカイブのために個人データを処理することを許容する国内法を制定できる旨が述べられている。

[3] 【世界人権宣言（Universal Declaration of Human Rights）】　（和文・英文）　外務省

[4] 【欧州人権条約(European Convention on Human Rights)】原文、和訳

[5] 【1980年OECDガイドライン】　"OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data" ("Annex to the Recommendation of the Council of 23rd September 1980: GUIDELINES GOVERNING THE PROTECTION OF PRIVACY AND TRANSBORDER FLOWS OF PERSONAL DATA"の部分）

[6] 【(欧州評議会) 個人データ保護条約(条約第108号）】　"The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (Convention 108）。（和訳）『個人情報保護における国際的枠組みの改正動向調査報告書』平成26 年3 月28 日消費者庁（「国際動向報告書」）p286-294

[7] 【データ保護指令（条文）】　Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data、堀部政男研究室仮訳

[8] 【EU基本権憲章（EU Charter of Fundamental Rights）】　Charter of Fundamental Rights of the European Union

[9] 【ePrivacy指令】　"Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications"(「電子通信分野における個人データの処理およびプライバシーの保護に関する規則」)

[10] 【一般データ保護規則(GDPR)】　"Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) "（「個人データの処理に関する個人の保護および当該データの自由な移転に関する（およびデータ保護指令を廃止する）規則(EU) 2016/679」（「一般データ保護規則」）　個人情報保護委員会(PPC)和訳

＝＝＝＝＝＝＝＝＝＝
【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。
（＊）このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

【筆者プロフィール】
浅井敏雄（あさいとしお）

企業法務関連の研究を行うUniLaw企業法務研究所代表

1978年東北大学法学部卒業。1978年から2017年8月まで複数の日本企業および外資系企業で法務・知的財産部門の責任者またはスタッフとして企業法務に従事。1998年弁理士試験合格。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】
https://www.theunilaw2.com/

メルマガ会員登録