GDPR関連資格をとろう！QAで学ぶGDPRとCookie規制(64): 監視活動とGDPR
2022/09/15   情報セキュリティ, 個人情報保護法, 外国法

本稿のPDF

今日, 警察等の法執行機関(law enforcement)による通信傍受, 民間の事業者・雇用主による監視カメラによる監視・サイト訪問者のデータ取得等の事業上行われるモニタリング(monitoring)(以下これらを総称して「監視(surveillance)」という)に利用可能な技術の進歩・低価格化により大量の個人データを容易に収集し監視することが可能となっています。

また, テロの防止等公共の安全・国家安全保障や, マーケティング・消費者サービスの個人化(personalisation)等のための監視のニーズも拡大しています。

従って, このような監視のニーズとプライバシーや個人データの保護との間で如何に適切な均衡(balance)をとるのかが益々重要な問題となっています。

そこで, 今回は, このような監視活動がGDPRを含むEU法等においてどのように扱われるかについて解説します。

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: 監視の方法・技術は? Q2: EUにおける当局による監視に対する規制は? Q3: 通信の傍受・監視の取扱いは? Q4: 監視カメラの取扱いは? Q5: 位置データの取扱いは? Q6: 監視に関するデータ保護影響評価は?

Q1: 監視の方法・技術は?

A1: 以下に監視の方法・技術の例を挙げます。

(i)通信・オンラインからのデータ取得

電話の傍受(interception)は当局による監視の伝統的手段です。今日では, 電子メールやテキストメッセージの通信の内容(contents), メタデータ(metadata：通信の種類・時間・期間・発信者・受信者等)等の取得も監視の有効な手段となっています。

Web行動履歴・SNS利用履歴等のデータ取得は, 行動ターゲティング広告(OBA : Online Behavioural AdvertisingまたはBTA : Behavioral Targeting Advertising)を可能にしています。

(ii)監視カメラ (Closed-circuit television)(CCTV)

監視カメラは, 自宅・職場・公共スペースでのセキュリティー確保のための利用が拡大しています。

(iii)生体データ (biometric data)

指紋データ等は当局だけでなく, 民間事業者が個人の特定・識別(identification)や認証(authentication and verification)に利用する場合があります。

(iv)携帯電話・IoT機器

スマートフォン, フィットネス(fitness)モニター, その他Internet of Things(IoT)デバイス等は, ユーザの居場所・移動・健康その他のデータを自動的に事業者のサーバに送信します。

page top

Q2: EUにおける当局による監視に対する規制は?

A2: 警察等の法執行機関(law enforcement)および政府(以下「当局」と総称する)による国家安全保障または法執行等のための監視は, 特に次のような関係法令に従って行わなければなりません。

(a) EU基本権憲章(Charter of Fundamental Rights：The Charter)^[1]

監視を行うに当たっては, 特に, 次のような, 憲章第7条(私的生活・家庭生活の保護), 第8条(個人データの保護)等の規定を遵守しなければなりません。

(a)何人も, 私的および家庭生活, 住居ならびに通信[の秘密等]を尊重(respect)される権利を有する(7)。

(b)何人も自己の個人データが保護される権利を有する。

(c)個人データは, 特定の目的のために, データ主体の同意または法律に定めるその他の正当な根拠に基づき公正に処理されなければならない。

(d)何人も, 自己に関し取得されたデータにアクセスする権利および訂正させる権利を有する。

(e)上記ルールの遵守は, 独立機関による監督の対象となる。(以上8条)

(f)何人も, EUの機関・組織が保有する自己の記録にアクセスする権利を有する(41条)。

(g)基本憲章上の権利・自由は次の全ての条件を満たす場合でなければ制限できない(52条(1))。

— 法律で定められること／基本権憲章上の権利・自由の基本(essence)を尊重するものであること／比例の原則(the principle of proportionality)に従うこと／EUが認める公益(general interest)または他の者の権利・自由の保護の必要性に厳格に対応した(genuinely meet)ものであること。

(b) GDPR第23条第1項

GDPR上のデータ主体の権利は, 次のいずれかのため, EUまたは加盟国の法により制限することができます。

— 国家安全保障(national security)／防衛(defence)／公共の安全(public security)／犯罪の防止・捜査・探知・起訴・刑罰の執行(the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties)／その他公益(public interest)

但し, 上記の制限は, 個人の基本権(fundamental rights)・自由の基本(the essence)を尊重し民主的社会において必要かつ比例的(proportionate)なものでなければなりません。(以上GDPR 23(1))。

(c) 法執行当局データ保護指令(LEDP指令)

「当局による犯罪の予防・捜査・探知・訴追または刑罰の執行における個人データの処理に関する個人の保護および当該データの自由な移転」に関する指令^[2](Law Enforcement Data Protection Directive)(2016年5月発効)(「法執行当局データ保護指令」(「LEDP指令」). 同指令は, 個人データが刑事執行当局によって利用される場合において, 市民の基本的権利を加盟国間で調和した方法で保護することを目的とします。

page top

Q3: 通信の傍受・監視の取扱いは?

A3: 通信の傍受・監視(Interception of communications/Communications surveillance)とは, 通信の内容(contents)または通信のメタデータ(metadata)を取得・監視するものです。通信の傍受・監視とは,より具体的には以下の通りです。

(a)通信内容(content)の監視

例えば, 電話の内容, SMSメッセージ中の単語, 電子メールの件名・本文中の単語・添付ファイルを取得・監視するものです。

(b)通信メタデータの監視

通信の結果として生成・処理されるデータを取得・監視するものです。通信のメタデータの例としては, 次のようなものがあります。

(i)トラフィック(traffic)データ: 通信のタイプ・形式・時間・期間・発信元・発信先・ルーティング(通信経路)・利用プロトコル・ネットワーク等のデータ。【具体例】 電話：発信者番号・着信者番号。電子メール：送信者・受信者のメールアドレス・添付ファイルのサイズ

(ii)位置(location)データ: ネットワークに接続されたデバイス(機器)の緯度・経度・高度・移動方向・位置・Cell ID(スマートフォン等が受信する近くの携帯基地局のID)・通信時間・位置データ記録時点等のデータ。

(iii)通信サービス契約者のデータ(Subscriber data): 通信サービス契約者(subscriber)の氏名・連絡先・支払履歴等。表現の自由等の観点からは通信内容の保護がより重要ですが, メタデータだけでも, 通信の当事者・そのいる場所・通信時間と期間・通信のタイプ(例:電話・電子メール等)・デバイス(例:スマートフォン・タブレット等)等, 通信の全体像が明らかになる場合があります。メタデータは個人の特定に利用できる場合はGDPR上の「個人データ」(4(1))に該当します。

【メタデータに関する旧データ保存指令無効判決】　EUでは, かつて, 重大犯罪・テロ等への対策を目的として, ePrivacy指令[3]の特則として「データ保存指令」(Data Retention Directive)^[4]が存在していました。

同指令では, 電気通信会社およびインターネットサービスプロバイダー(ISP)に対し, 以下の事項を義務付ける国内法の制定を加盟国に義務付けていました。

(i)公衆向け電子通信サービスまたは公衆ネットワークの提供に関連し生成・処理されるトラフィックデータ(通信の経路・期間・時間等に関するデータ)および位置データを所定の期間(最低6か月・最大2年)保存すること;

(ii)警察・治安機関等は, 一定の場合, 上記データの提出を[裁判所の審査・関与なく]要求することができること。

しかし, 2014年4月8日, EU司法裁判所(CJEU)は, 同指令を, その範囲が不均衡(disproportionate)であり, EU基本権憲章上のプライバシーおよびデータ保護の権利と両立しない(incompatible)という理由で無効としました。^[5]

但し, ePrivacy指令第15条により, EU各加盟国は, なお, 刑事犯罪防止等のため, 「民主的社会において必要・適切かつ比例的な(proportionate)範囲内で」あることを条件として, ePrivacy指令の特則を国内法令で定めることができます。

従って, 例えば, ベルギー, 英国, フィンランド等では, この国内法が制定されています。

page top

Q4: 監視カメラの取扱いは?

A4: 以下に説明します・

(1).監視カメラから得られたデータとGDPR

監視カメラ(Closed-circuit television: CCTV)の普及は, 顔認識(facial-recognition)ソフト等の分析ツールの進展と相まって, プライバシー活動家(privacy advocate)および監督機関の注目を集めています。

監視カメラによる監視(以下「ビデオ監視」という)から得られたデータは, それが個人を特定できるものであれば「個人データ」(4(1))に該当します(例：自動車のナンバープレートの画像)。

また, ビデオ監視から得られたデータが, 「人の身体的・生理的・行動的(behavioural)特徴(characteristics)を技術的に処理した結果得られる個人データであって, 特定の個人を一意に識別可能にする(allow or confirm the unique identification)もの」であれば, GDPR上の「生体データ」(biometric data)(4(11))に該当します。(例) 顔画像, 指紋データ, 人の歩行(歩様)のビデオ画像

生体データでかつ個人識別目的のものは, GDPR第9条に定める「特別カテゴリーの個人データ」に該当します。

従って, ビデオ監視から得られたデータが個人データ(「生体データ」を含む)に該当する場合, その処理は, GDPR(刑事執行当局の場合はLEDP指令)の関係規定に従って行われなければなりません。

(2).監視カメラによる処理の適法性の根拠

(a)一般の個人データ

特別カテゴリーの個人データ以外の個人データは, GDPR第6条に定めるいずれかの「処理の適法性」(Lawfulness of processing)の根拠がなければこれを処理することができません。

監視カメラを利用した個人データの取得その他処理について, データ主体の同意を, 処理の適法性の根拠とすることは通常困難であり, 管理者は, 通常, 自身または第三者の「正当利益」(legitimate interests)のため処理が必要なこと(6(1)(f))を根拠としなければなりません。但し, その正当利益よりも, 個人データの保護に関するデータ主体の利益等を優先(override)すべき場合は, この「正当利益」を根拠とすることはできません。

(b)特別カテゴリーの個人データ

特別カテゴリーの個人データは, GDPR第6条ではなく同第9条第2項に限定列挙されたいずれかの根拠がなければこれを処理することができません。データ主体の同意を根拠とする場合は明示的(explicit)同意でなければなりません(9(2)(a))。

(c)加盟国の国内法による追加的規制

管理者は, 例えば, 次のような事項に関し, 各加盟国において追加的規制がある場合には, これにも従って, 監視カメラから得られた個人データを処理しなければなりません。

— 従業員の監視／公共エリアでの公益目的での監視／公的機関の権限行使としての監視

(3).データ主体の保護措置

管理者等は, 監視対象者(データ主体)を保護するため以下のような事項を検討・実施すべきです。

-監視カメラの位置とその撮影角度を調整し, 無関係のスペースや, トイレ・個々のワークスペース等のプライベートエリアを除外し, 監視範囲を最小限に制限すること。

-目的に適した画像品質に限定すること。

-無関係な画像のぼかし(blur)処理または削除

-画像取得を要しないプライバシー侵害度のより低い代替手段(less intrusive)の採用

-監視カメラの映像は, 撮影後に調査のためまたは法的手続の証拠として必要である等, 必要な範囲・期間に限り保存すること。

-監視カメラの運営方針(以下「CCTV Policy」という)を定め次のような事項に関し規定すること：データのセキュリティー／データ主体からの権利行使への対応／違反に対する懲戒・法的制裁等

-監視システムの運営担当者にCCTV Policyに基づいた適切なコンプライアンス研修を実施すること。

-CCTV Policyのコンプライアンスに関する定期的レビュー

(4).データ主体に対する情報提供

監視対象者(データ主体)に対し, 例えば, 音声または視覚的(例:カメラのシンボル)での注意喚起(alert), その他監視されていることを認識できるようにするための合理的な措置をとらなければなりません。これには最低限, 監視の目的, 管理者の連絡先が含まれなければなりません。

GDPR上要求される全ての情報を最初から一度で提供できない場合は, 別途, データ主体の要求に応じ全ての情報を提供できるよう準備しなければなりません。

監視による個人データの取得はデータ主体からの直接取得ですから, 情報提供の時期は正にその監視の時です(13(1))。従って, 実務的には監視開始前に情報提供が必要となります。

page top

Q5: 位置データの取扱いは?

A5: 位置データ(Geolocation/Location Data)について以下に説明します。

【位置データの用途の例】　以下におけるLocation-based services (「LBS」) : SNS, ゲーム／エンターテイメント／広告・マーケティング／情報提供サービス／ナビゲーション／電子商取引／支払／出荷商品の追跡(tracking)／人の追跡／セキュリティーおよび緊急対応サービス(security and emergency response services)

【位置特定デバイス等の例】　スマートフォン, GPS受信機, Radio Frequency Identification(RFID)タグ, ICチップ搭載クレジットカード

【位置特定手段・技術の例】

-GPSデータ：(用途) ナビゲーション, セキュリティーサービス, SNS

-Cell ID(スマートフォン等が受信する近くの携帯基地局のID)：(用途) スマートフォンの位置に応じた情報提供・広告

-Googleの例

(i)位置推測データ(Implicit location information)：ユーザのいる場所またはユーザが興味のある場所の推測。その周辺の場所に関係した推奨事項を表示

(ii)ネットトラフィックデータ(Internet traffic information)：IPアドレス等(国ごとに割り当て)。(用途)ユーザのデバイスのある国の識別・その国に応じた言語での表示・地域別検索

(iii)デバイスの位置に基づく情報提供：(利用データ)GPS, デバイスセンサー, Wi-Fiアクセスポイント, Cell ID等からの位置データ。

【GDPRと位置データ】

位置データ(location data)は, 「個人データ」の定義(4(1))において, "name"等とともに"an identifier"の一つとして例示されており, 単独でまたは他の情報と組み合わせて特定の個人を識別できる場合は「個人データ」に該当し, その処理は, GDPR(刑事執行当局の場合はLEDP指令)の関係規定に従って行われなければなりません。

また, 位置データの履歴から, 個人が訪問した場所(例:教会, 診療所)が分かり, それにより, 個人の宗教的信念または健康状態等が示される("reveal")場合, この個人データは「特別カテゴリーの個人データ」(9)に該当し得ます。

page top

Q6: 監視に関するデータ保護影響評価は?

A6: GDPR第35条1項により, 個人データの処理(特に新技術を利用する処理)が, その内容, 範囲, 状況(context)および目的から, 個人の権利自由に対し高度のリスク(high risk)を生じさせる可能性が相当ある(likely)場合(35(1))には, 事前にデータ保護影響評価(DPIA)を実施しなければなりません。

監視は, 第35条3項にDPIAが必要な場合として例示されているものの内, 特に, 「一般公衆が出入り可能な(publicly accessible)場所で大規模に系統的監視(systematic monitoring)を行う場合」(35(3)(c))に該当する可能性があります。

「データ保護影響評価(DPIA)ガイドライン」[6]で挙げられている例で言えば, 次のような例がDPIAを要する監視の例と言えます。

— 高速道路でのナンバープレート割出しのための監視カメラの使用／従業員のパソコン操作・サイト閲覧等のモニタリング

各加盟国の監督機関は, DPIAを行うべき個人データ処理の種類のリストを作成・公表しなければなりません(35(4))。

従って, 問題の監視がこのリストにある場合もDPIAを実施しなければなりません。

管理者は, DPIAの結果, リスク軽減措置等を講じてもなお高度のリスクがあることが判明した場合は, 事前に監督機関と協議しなければなりません(36)。

監督機関は, 処理がGDPRに違反すると判断した場合, 協議請求受領後8週間以内に管理者等に対し書面で助言(advice)を行わなければならず, また, 監督機関に与えられた権限(58)(調査, 命令等)(究極的には処理の禁止：58(2)(f))を行使することができます。

page top

今回はここまでです。

 

【筆者の最近の個人情報保護関連記事・書籍】

『中国「個人情報越境処理保護認証規範」の解説』2022/8/22

『9月1日施行の中国「データ越境移転安全評価弁法」の解説』2022/8/22

「改正電気通信事業法によるCookieに関する規律の概要と日米欧中比較」2022/6/23

「香港からの個人データ越境移転モデル契約条項(改訂版)の概要・全文訳」2022/6/6, 訳PDF

“China Data and Personal Information Laws” 2022/1/31

「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05

『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24​​

「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

​「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

「GDPR関連資格CIPP/E準拠 詳説GDPR (上)・ GDPRとCookie規制」 2019年11月

「GDPR関連資格CIPP/E準拠 詳説GDPR (下)・ GDPRとCookie規制」 2019年11月

^[7]

 

【注】　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

^[1] 【EU基本権憲章】　EU Charter of Fundamental Rights

^[2] 【法執行当局データ保護指令(「LEDP指令」)】 "Law Enforcement Data Protection Directive：LEDP Directive"　Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA"

[3] 【ePrivacy指令】　Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector.　「電子通信分野における個人データの処理およびプライバシー保護に関する指令」(2009年改正)

^[4] 【旧EU 「データ保存指令」】　"Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks"　(概要および条文)総務省資料

^[5] 【データ保存指令無効判決】　CJEU Press Release in Digital Rights Ireland Data Retention case, 8 April 2014

[6] 【「データ保護影響評価(DPIA)ガイドライン」】 “Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679”. 日本の個人情報保護委員会の英語併記の和訳『データ保護影響評価(DPIA)及び取扱いが2016/679規則の適用上, 「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン』

[7]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

 

【筆者プロフィール】 浅井 敏雄  (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School  (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP  (International Association of Privacy Professionals) 会員, CIPP/E  (Certified Information Privacy Professional/Europe) 【発表論文・書籍一覧】 https://www.theunilaw2.com/