01 情報セキュリティ, 個人情報保護法, 外国法

今回は, GDPR第26条(Joint controller：共同管理者)について解説します。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 共同管理者とは?

Q2: GDPR第26条に定める共同管理者の義務は?

Q3:その他「共同管理者」に関する規定は?

Q1: 共同管理者とは?

A3: 個人データの処理の目的および方法を決定する複数の者です。

【解　説】

GDPRは, 複数の者が共同して個人データの処理の目的および方法を決定する場合(jointly determine the purposes and means), それらの者を共同管理者(joint controllers)とすると規定しています(26(1))。

この文言上, 共同管理者の関係が成立するためには, 複数の者が必ず個人データの処理の目的および方法を共同して決定していなくてはならないように思えます。

しかし, WP29の「管理者と処理者の概念に関する意見書」^[1](以下「意見書」という)では, 共同管理者に関しては, 上記文言に関わらず, 複数の者の間で共同して処理の「目的, または, 手段の本質的な要素のいずれか」(either the purpose or those essential elements of the means)が決定されるのであれば, 共同管理(者)の関係が成立する旨述べられています(p19)。この意見書によれば, 「管理者」(controller)の概念の最重要の役割は, 誰がデータ保護に責任を負うべきか, また, データ主体が如何に権利行使できるか, 言い換えれば, 責任の割当て(allocate responsibility)である(p4)とされています。従って, 共同決定の対象を上記のように解することは, Q2の共同管理者の義務を考えれば妥当でしょう。更に, 意見書によれば, 「共同決定」は均等になされなければならない(equally shared)ものでもないともされています(p19)。

【「共同管理」関係の成否に関し意見書に挙げられている例】

(a)個人データの処理の手段の本質的要素(のみ)が共同で決定されるため「共同管理者」の関係が成立する例：旅行代理店, ホテルチェーンおよび航空会社が同一のシステム上で顧客の個人データを利用しその処理の手段の本質的要素(対象個人データ・予約方法・アクセス権限等)について共同で決定する場合, [各企業の処理の目的は異なる(*)が, その限りにおいて, ]三者は相互に共同管理者に該当する(Example No. 8: Travel agency (2))。

(*) 旅行代理店は顧客に代わり航空機の席とホテルの部屋を予約する目的で顧客の個人データを処理。航空会社・ホテルは顧客の希望する座席・部屋の空き状況を確認する目的で顧客の個人データを処理。

(b) 個人データの処理の目的および手段の本質的な要素いずれについても共同決定がないため「共同管理者」の関係が成立しない例：旅行代理店がその顧客のためにホテルと航空会社に顧客のデータを送信し予約する場合, [三者の旅行客の個人データの処理の目的(上記の通り)および手段いずれも相違し, ]それぞれ単独の管理者であり共同管理者ではない(Example No. 7: Travel agency (1))。[すなわち, このように, 単に, ある者から他の者に個人データを移転し, それぞれが異なる目的かつ手段で個人データを処理するに過ぎない場合はそれぞれ単独の管理者であり共同管理者ではない。

【Facebook「いいね(Like)」ボタン事件2019年Court of Justice of the European Union(欧州連合司法裁判所)(CJEU)先決裁定(判決)^[2]】

(事件の概要)ドイツの消費者保護団体Verbraucherzentrale NRWは, Webサイト運営者(Fashion ID社)がそのサイトにFacebookの「いいね(Like)」ボタンを埋め込んだ(embed)ことに関し, サイト訪問者に十分な情報を提供しなかったことを理由とし, データ保護指令違反としてファッションIDを提訴した。本件に関し, ドイツのデュッセルドルフ上級ラント裁判所(Oberlandesgericht Düsseldorf)は, 同裁判所が判決を下す前提問題に関し, EU司法裁判所(「CJEU」)に先決裁定(preliminary ruling)を求めた。

(先決裁定の要旨)CJEUは, Webサイト運営者(Fashion ID社)がそのサイトにFacebookの「いいね(Like)」ボタンを埋め込んだ(embed)ことにより, 次の(i), (ii)のような結果になるようにしただけで, この(i), (ii)のデータの取得・送信について, サイト運営者およびFacebookが共同で処理の目的および手段を決定したものとみなした。

(i)サイト訪問者のIPアドレスが, その訪問者がFacebookユーザか否かを問わず, 訪問者の知らないままに, 自動的に取得されFacebookに送信されるようにすること。

(ii)サイト訪問者がFacebookユーザで「いいね」ボタンをクリックすると自動的にそのデータがFacebookに送信されること。

その結果, CJEUは, 両者はこの取得・送信について, サイト運営者およびFacebookは「共同管理者」であると認定した。一方, Facebookが受信した後の処理に関しては, サイト運営者はFacebookと共同管理者の関係にないとした。

更に, CJEUは, 次の問題に関し, いずれもサイト運営者が行うべきであるとした。

(i)サイト運営者またはFacebookのいずれがこの個人データ取得・送信についてデータ主体に情報提供を行うべきか。

(ii)データ主体の同意を処理の根拠をとする場合, いずれがデータ主体から同意を得るべきか。

【上記CJEU先決裁定の分析(筆者)】上記事案において, サイト運営者が得る利益はサイト訪問者がそのサイトを気に入り「いいね」ボタンを押すと, そのことがFacebook内で共有されサイト運営者の商品・サービスの知名度が向上すること(to optimize the publicity of its goods)である。一方, Facebookの得る利益はFacebookの利用方法(利便性)の拡張とそれによるサービスの魅力向上である。一般的な感覚としてはこれらが処理の目的であり, サイト運営者とFacebookそれぞれの個人データ処理の目的は異なるようにも見える。また, 処理の「手段」(means)とは一般的にはこれらの利益を達成するための処理の具体的な方法を意味するように思われる。

これに対し, この先決裁定において「共同で決定」されたと認定された処理の目的および手段は, 実質的には, それぞれ, 上記のデータの取得・送信という処理そのものと, それを実現するために「いいね」ボタンをサイトに配置すること自体のように思われる。また, 「決定」(determine)と言っても, この取得・送信は既に存在するFacebookの「いいね」ボタンの機能・配置により自動的に生じるから, サイト運営者が実質的な意思決定または関与をしているのは, このボタンを配置することについてのみである。

しかし, この取得・送信はサイト運営者が「いいね」ボタンを配置しない限り生じないのであるから, 先決裁定でいうようにサイト運営者はこの取得・送信に対し決定的影響(a decisive influence)を及ぼした(裁定文80)と言えるであろう。そして, 前記WP29の意見書の通り, 「管理者」の概念の最重要の役割は, 誰がデータ保護に責任を負うべきかであり, また, GDPR第26条(共同管理者)の趣旨は, 同一の処理に複数人が関係する場合でもデータ主体が十分に保護されるようにすることであろう。

従って, 「共同管理者」の概念をこのように目的論的に広く解釈することは許されまた妥当と思われる。

page top

Q2: GDPR第26条に定める共同管理者の義務は?

A2:以下の通りです。

(a)共同管理者間の取決め義務(26(1))

共同管理者は, GDPR上の管理者の義務, とりわけ, 次の義務に関し, 各管理者の責任を「取決め」("arrangement")により定めなければならない。

(i)データ主体の権利行使に対応すべき義務

(ii)第13条および第14条に定めるデータ主体に対する情報提供義務(個人データ取得の際のデータ主体への通知義務)

この取決めにはデータ主体からの連絡先(a contact point)[となるべき共同管理者]を指定することができる。

この取決めによるGDPR上の責任の分担(allocation of the responsibilities)は, 監督機関による監督・処分との関係においても明確になされていなければならない(前文79)。

(b)共同管理者らとデータ主体の関係(26(2))

上記取決めにおいては, 共同管理者らとデータ主体相互間の連絡・関係における各共同管理者の役割等を適切に定めなければならない。

この取決めの要旨("the essence")については, データ主体が知ることができるようにしなければならない("shall be made available to the data subject")。[従って, この取決めの要旨は, 少なくともデータ主体の請求があれば開示しなければならないと思われる]

(c)データ主体の各共同管理者に対する権利(26(3))

共同管理者間の取決めの内容如何にかかわらず, データ主体は, 各管理者との関係において, および, 各管理者に対し, [直接]個別に, GDPR上の権利を有しかつこれを行使することができる。

page top

Q3:その他「共同管理者」に関する規定は?

A3:以下の通りです。

(a)管理者は, その記録義務(30)の対象項目の一つとして, [他の]共同管理者の名称・氏名および連絡方法を記録しなければならない(30(1)(a))。

(b)管理者は, 第35条に基づくデータ保護影響評価(DPIA)の結果, その処理が高度のリスクをもたらすおそれがあることが判明した場合, その処理開始前に監督機関と協議しなければならない。その際, 管理者が, 監督機関に情報提供しなければならない項目の一つに, 共同管理者との間の責任分担が含まれる(36(3)(a))。

(c)第26条違反(例：共同管理者間で所定の取決めがない場合)は, 1千万ユーロまたは「一事業体」の場合前会計年度の全世界年間売上高の2%, いずれか高い金額を限度とする制裁金の対象となり得る(83(4))。

(d)GDPR上, 「受領者」(recipient)とは, 個人データが開示される者を意味する(4(9))。他の「共同管理者」から個人データの開示を受けた共同管理者も「受領者」に該当する。従って, 以下の「受領者」に関する規定は, そのような共同管理者についても適用される。

(i)管理者は, 個人データ取得の際にデータ主体に情報提供すべき項目の一つとして「受領者」または「受領者」のカテゴリーに関する情報も提供しなければならない(13(1)(e), 14(1)(e))。

(ii)管理者は, データ主体からの個人データの訂正, 消去または処理制限の請求に応じた場合, その旨各「受領者」に通知しなければならない。管理者は, データ主体から要求された場合, これら「受領者」に関する情報を提供しなければならない(19)。

(e)CNIL(仏監督機関)のCookieガイド[3]によれば, Cookieの利用に関して共同管理者の関係がある者の間では同意の取得・証明等に関し, 相互に同条の共同管理の「取決め」をしなければならない。

(f)主任監督機関ガイドライン[4]によれば, 共同管理者が, 主任監督機関によるone-stop-shop mechanismの恩恵を受けるためには, 共同管理者間の合意で, 共同管理者のいずれが, 共同管理する個人データについて「主たる拠点」としての決定権限を有するかを合意するべきであり, その場合にはその合意された拠点が「主たる拠点」として取り扱われるであろう。

なお, 以上の義務は, 管理者(例：EU域内子会社)がEU域外の企業(例：日本の親会社)と共同管理者の関係にある場合でも, 免除規定はないから, 当然適用される。

従って, 管理者(例：EU域内子会社)は, 例えば, 共同管理の対象となる個人データを十分性認定, SCC等に基づきEU域外の共同管理者(例：日本の親会社)に移転する場合でも, 別途, 第26条の規定に従った取決め(通常は契約の締結)をしなければならない。

page top

今回は以上です。

【筆者の最近の個人情報保護関連書籍】

NEW!!『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24

「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[5]

【注】

^[1] 【WP29管理者と処理者の概念に関する意見書】"Opinion 1/2010 on the concepts of "controller" and "processor" Adopted on 16 February 2010　- I.1.a)

^[2] 【Facebook「いいね(Like)」ボタン事件2019年CJEU先決裁定】(決定本文)“Judgment in Case C-40/17FashionID GmbH & Co. KG v Verbraucherzentrale NRW eV” (CJEUのプレスリリース)”The operator of a website that features a Facebook ‘Like’ button can be a controller jointly with Facebook in respect of the collection and transmission to Facebook of the personal data of visitors to its website”

[3] 【CNIL(仏監督機関)のCookieガイド】 CNIL's guidelines on cookies and tracking devices(23 July 2019)

[4] 【主任監督機関ガイドライン】 WP29 ”Guidelines for identifying a controller or processor’s lead supervisory authority” (2017年4月5日最終版確定). (PPCの原文併記訳)

[5]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP (International Association of Privacy Professionals) 会員,CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録