15 情報セキュリティ, 個人情報保護法, 外国法

前回、学術研究等・安全保障に係るGDPRの特例について解説しました。この他にも、GDPRは、個人データの保護と表現の自由とを調和(reconcile)させることが必要な場合、その他特別な状況における処理に関しても、各加盟国が特別規定を設けることを義務付けまたは許容しています（85～91）。今回はこれについて解説します。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 表現および情報授受の自由に関する加盟国特別法とは?

Q2: 公文書への公衆によるアクセスに関する加盟国特別法とは?

Q3: 国民識別番号の処理に関する加盟国特別法とは?

Q5: 秘密保持義務に関連した加盟国特別法とは?

Q6: 宗教団体の個人データ保護ルールとは?

Q7: 個別条項に基づく加盟国特別規定とは?

Q8：欧州委員会の委任規則・実施規則とは?

Q1: 表現および情報授受の自由に関する加盟国特別法とは?

A1: 以下の通りです。

GDPR前文4には、個人データ保護の権利は絶対的な権利（absolute right）ではなく、EU基本権憲章^[1]に定める他の基本権との均衡がとられなければならない（be balanced）と記載されています。

このEU基本権憲章には、何人も表現の自由（freedom of expression）の権利を有すること、および、この権利には、当局の干渉（interference）を受けることなく、かつ国境（frontiers）にかかわらず、意見を持ち、また、情報および考え（ideas）を受取りおよび伝える（impart）権利が含まれることが定められています(11(1))。

そこで、GDPR上以下のように規定されています。

(a)各加盟国は、①報道（journalistic purposes）または②学術上、芸術上または文学上の表現（academic, artistic or literary expression）に伴う個人データの処理を含め、GDPR上の個人データ保護と表現の自由(freedom of expression and information）とを調和(reconcile）させなければならない(85(1))。

(b)加盟国は、このため、必要な場合には、国内法でGDPRの関係規定の例外を定めなければならない(85(2))。

上記のGDPRの規定(85(1), (2))に基づき、多くの加盟国で特別規定が置かれています。^[2]

page top

Q2: 公文書への公衆によるアクセスに関する加盟国特別法とは?

A2：以下の通りです。

公文書の公開の原則（the principle of public access to official documents）はGDPR上も認められる（前文154)。

公的機関または組織（public authority, public body）が保有しまたは民間組織（private body）が公的任務遂行上保有する公文書（official documents）中の個人データは、加盟国の国内法に従い、これら機関または組織から開示することができる。加盟国国内法はGDPR上の個人データの保護と公衆による公文書へのアクセスとを調和させるものでなければならない（以上86)。

なお、公共部門情報の再利用に関する指令^[3]（通称「public sector information Directive：PSI指令」）は、公的機関が作成した情報の再利用・二次利用を、欧州企業の経済成長や雇用に寄与するものとして促進するものであるが、同指令は、GDPRに定める義務および権利を何ら変更するものではない。

特に、PSI指令は、個人データ保護を根拠としてアクセスが禁止されている文書等には適用されない（前文154）。

page top

Q3: 国民識別番号の処理に関する加盟国特別法とは?

A3：「国民識別番号」（national identification number）とは日本のマイナンバーと同様、社会保障その他の目的で国民を識別するために割り振られる番号です。これに関し、the GDPR上、以下のように規定されています。

— 加盟国は、国民識別番号その他の一般適用されるID（any other identifier of general application）の処理に関し国内法で特別の条件を規定することができる。^[4] 但し、国民識別番号等は、GDPR上のデータ主体の権利・自由に対する適切な保護措置を講じた上でのみ利用されなければならない(以上87)。

page top

Q4: 雇用に関連した個人データの処理に関する加盟国特別法とは?

A4：後の回で解説するので、ここでは省略します。

page top

Q5: 秘密保持義務に関連した加盟国特別法とは?

A4：GDPR上、以下の通り規定されています。

加盟国は、①監督機関による管理者等に対する情報提供命令(58(1)(e)）および②監督機関による管理者等への立入検査権(58(1)(f)）に関し、職業上の守秘義務およびこれと同等の秘密保持義務（an obligation of professional secrecy or other equivalent obligations of secrecy）と、個人データの保護との調和を図るため、必要な場合、国内法等により特別規定を定めることができる^[5](90(1))。

page top

Q6: 宗教団体の個人データ保護ルールとは?

A4：以下の通りです。

EU運営条約（TFEU）^[6]第17条において、EU加盟国内の教会その他の宗教団体（churches and religious associations or communities ）の加盟国国内法上の地位は、同条約上も尊重され同条約はこれに影響を与えるものではない旨が規定されている。

GDPR上も、GDPR施行時点で、各加盟国において、教会その他宗教団体が、独自の個人データ保護ルールを適用している場合、そのルールは、GDPRと調和する限りにおいて引き続き適用することができる旨規定されている(91(1))。

但し、これらの教会その他宗教団体も監督機関の監督には服さなければならない（91(2))。

page top

Q7: 個別条項に基づく加盟国特別規定とは?

A7：以下に例示するような事項に関し、加盟国で特別規定を設けることが許容されています。^[7]

(a)子供が情報社会サービスにおいて単独で同意できる年齢基準の引き下げ　(8)

【例】GDPR(8)上子供が情報社会サービス（ほぼオンラインサービス）において自分のデータを処理することに自分単独で同意できる年齢は16歳以上であるが、例えば、英国では13歳に引き下げている。

(b)特別カテゴリーの個人データの処理をデータ主体の明示的同意があっても禁止すること(9(2)(a)）

【例】スペインでは、仮にデータ主体の同意があってもGDPR第9条2項に掲げる厳格な根拠がなければ適法に処理できない。

(c)雇用または社会保障に関連し、特別カテゴリーの個人データを処理する場合の条件（9(2)(b))

【例】英国では、雇用に関連する権利行使および義務履行に必要な場合には従業員等の特別カテゴリーの個人データを処理できる。- 2018年データ保護法（Data Protection Act 2018）（以下「英国DPA」という） Schedule 1(1)

(d)遺伝データ、生体データまたは健康に関するデータの処理に関する追加の条件（further conditions）（制限を含む）(9(3))

(e)有罪判決および犯罪等に関する個人データ処理の禁止の例外となる場合

【例】英国：法的助言（legal advise）を得るために処理が必要な場合（英国DPA - parts 1 to 3 of Schedule）

(f)データ主体の自動意思決定拒否権の例外：データ主体の意思にかかわらず完全自動意思決定を行うことができる場合(22(2)(b))。

【例】英国では、英国内法で要求または承認されている場合。但し、管理者は決定後可能な限り早期にデータ主体に当該決定内容を通知しなければならない。この場合、データ主体は1か月内に管理者に再検討等を要求できる（英DPA14)。

(g)加盟国の法令によるデータ保護監督者(DPO)の選任義務(37(4))

【例】ドイツ連邦データ保護法^[8](38)上、管理者等（管理者または処理者）はGDPRで義務付けられている場合に加え、次のいずれかに該当する場合においてもDPOを選任しなければならない。

①個人データの自動処理を扱う者を原則として常に20人以上雇用する場合

②GDPR第35条に基づくデータ保護影響評価(DPIA)の対象となる処理を行う場合

③移転、匿名化された移転または市場調査・意見調査のために個人データを商業的に処理する場合

(h)加盟国独自の制裁　(84(1))

加盟国は、第83条の行政制裁金の対象とならない違反行為等、GDPRの違反に対する効果的制裁を法律で定めなければならない(84(1))。

【加盟国独自の制裁の例】 ^[9]

①行政的制裁（administrative penalties) ：スペイン等

②違反行為を犯罪(criminal offences)として刑事処罰：ドイツ、イタリア、英国等

（例）英国2018年データ保護法：データ主体のアクセス権に関し、その対象個人データを故意に改ざん・消去等する行為が犯罪とされている(DPA173)。

(i)死者の（deceased persons）の個人データの保護（前文27）。

GDPRは死者の個人データには適用されない。しかし、各加盟国は、死者の個人データの処理に関する規定を定めることができる。

【例】フランス、イタリア、スペインでは、死者の代理人等が、死者の権利を行使できる。デンマークでは死後10年間死者の個人データを保護する。^[10]

page top

Q8：欧州委員会の委任規則・実施規則とは?

GDPR上、欧州委員会はGDPRの実施（施行）のため、以下のような委任規則（delegated acts）および実施規則(implementing acts)を定めることできるとされています。

(a)情報提供標準アイコン関係

管理者が、第13条または第14条に従い、データ主体に対して提供すべき情報は、標準的なアイコン（icons）と組み合わせて提供することもできる(12(7))。

欧州委員会は、このアイコンで提供すべき情報および標準的なアイコンの表示方法に関し委任規則を制定する権限を有する(12(8))。

【上記委任規則制定の条件】　(92)

この委任規則制定権は期間を定めずに（for an indeterminate period of time）付与される。

欧州議会または閣僚理事会は、この委任をいつでも取消すことができる。但し、この取消しは取消前に既に効力を生じている委任規則の有効性に影響を与えない。

欧州委員会は、委任規則採択後、直ちに、欧州議会および理事会にその旨通知しなければならない。

この委任規則は、当該通知後3 か月の期間（3 か月間延長可）中に欧州議会または閣僚理事会のいずれからも何らの異議も表明されなかった場合、または、当該期間満了前に、両者から異議ない旨が通知された場合のみ効力を生じる。

(b)データ保護認証関係

欧州委員会は、データ保護認証制度(42(1))の具体的条件に関する委任規則を制定する権限を有する(43(8))。

この委任規則制定についても、上記(1)の【上記委任規則制定の条件】が適用される。

(c)十分性認定関係(45(3)）

十分性認定(45)は、欧州委員会による実施規則（implementing act）の形で行われる。欧州委員会は、この実施規則には、次の事項を定めなければならない。

①最低限4 年ごとに十分性認定の再評価(review)を行うこと

②十分性認定の対象地域および分野および認定対象国の個人データ保護監督機関

欧州委員会による十分性認定は、「加盟国による欧州委員会の実施規則制定の統制ルールおよび一般原則に関する規則(EU) No 182/2011」^[11] 第5条に定める手続により審議される。

最終的な認定に至る具体的手順は以下の通り。^[12]

(i)欧州委からの十分性認定の提案

(ii)欧州データ保護会議（European Data Protection Board：EDPB)による意見提出

(iii)EU加盟国代表による承認

(iv)欧州委員会による十分性認定

page top

今回はここまでです。

【筆者の最近の個人情報保護関連書籍】

「香港からの個人データ越境移転モデル契約条項(改訂版)の概要・全文訳」2022/6/6, 訳PDF

“China Data and Personal Information Laws” 2022/1/31

「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05

『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24

「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[13]

【注】　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

^[1] 【EU基本権憲章】　“EU Charter of Fundamental Rights”

^[2] 【表現の自由等との調和に関する加盟国国内法】以下参照：(1) Bird & Bird "Personal Data And Freedom Of Expression." (2)（ICOサイト） Guide to the General Data Protection Regulation (GDPR)- Exemptions

^[3] 【PSI指令】Directive 2003/98/EC of the European Parliament and of the Council of 17 November 2003 on the re-use of public sector information

^[4] 【国民識別番号の処理に関する加盟国国内法】　以下参照：Bird & Bird "National identification numbers/any other identifier of general application"

^[5] 【秘密保持義務との調和のための加盟国国内法】　以下を参照：Bird & Bird "Professional secrecy"

^[6] 【EU運営条約（TFEU）】The Treaty on the Functioning of the European Union　

^[7] 【GDPR個別条項に基づく加盟国特別規定】　主に以下を参照した。： Penningtons Manches Cooper "UNITED WITH DIFFERENCES: KEY GDPR DEROGATIONS ACROSS EUROPE" 26/03/2019

^[8] 【ドイツ連邦データ保護法】Federal Data Protection Act (BDSG)

^[9] 【加盟国独自の制裁】（参照資料） Penningtons Manches Cooper LLP "UNITED WITH DIFFERENCES: KEY GDPR DEROGATIONS ACROSS EUROPE" 26/03/2019

^[10] 【死者の個人データの保護に関する加盟国国内規定】　Bird & Bird　"Personal data of deceased persons"

^[11] 【規則(EU) No 182/2011】 "Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission’s exercise of implementing powers"

^[12] 【欧州委員会による十分性認定手続】欧州委員会サイト　"Adequacy decisions"

[13]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録