-
お電話での問い合わせは03-6805-2586
- メールフォーム
お電話での問い合わせは03-6805-2586
グローバル・プライバシー・ノーティスというのが、どのようなもので、どのようなフレームワークで考えていくべきかというのを「グローバル・プライバシー・ノーティスを考える」で考えてみました。
ここで、総論の部分について目的・対象範囲・遵守体制について、それぞれ検討しておく必要があります。各論としての具体的な法規制の相違については、別の機会にします。
ここでの論点としては
かと思います。
これは、わが国でいくと
法第2条(第1項)
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
(1)当該情報に含まれる氏名、生年月日その他の記述等(略)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2)個人識別符号が含まれるもの
という部分になります。ここの解釈については、「個人情報の保護に関する法律についてのガイドライン(通則編)」に委ねます。
GDPRになると
(1) 「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報(any information relating to an identified or identifiable natural person)を意味する。
識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう
となります。
この個別の解釈については、GDPR以前ですと、WG29のWP136 が詳細にこの概念を検討しています。現在だと「What is considered personal data under the EU GDPR?」がここの解釈を論じています。また、詳細な検討だと「The law of everything. Broad concept of personal data and future of EU data protection law」があります。
要点としては
「自然人」については、特に問題がないものと考えられます。
「あらゆる情報(any information)」の要素は非常に包括的です。個人の身長のような「客観的」な情報も、雇用評価のような「主観的」な情報も含まれます。また、特定の形式に限定されるものではありません。ビデオ、オーディオ、数値、グラフ、写真などのデータは、すべて個人データを含むことができます。例えば、精神鑑定の一環として、子供が家族の様々なメンバーについてどのように感じているかを調べるために描いた家族の絵は、この絵から子供(精神科医が評価した子供の精神状態)と両親の行動に関連する情報が明らかになる限り、個人データと見なされます。なお、「不正確な情報」は、特定の個人に帰属する情報が不正確な場合、それが事実上不正確な情報であっても、実際には他の個人に関連する情報であっても、その識別された個人に関連するものとして個人データとみなされます。個人を特定できないほど不正確なデータであれば、その情報は個人データではありません。
「識別可能な個人と識別子」については、最も基本的な形として、ある個人を他の個人から区別するときはいつでも、その個人を識別していることになります。他人と区別できる個人は、識別可能であるとみなされます。
誰かを識別する最も一般的な方法は、名前で呼ぶことですが、それはしばしば文脈に依存します。世界には何百万人ものロバーツがいますが、「ロバート」という名前を言う場合、一般的には対面している人の注意を引こうとしているのでしょう。名前に別のデータポイント(この例では近さ)を追加することで、特定の一人を特定するのに十分な情報を得ることができます。これらのデータポイントは識別子です。GDPRの定義を振り返ると、「名前、識別番号、位置情報、オンライン識別子」などのさまざまな種類の識別子がリストアップされています。指紋などの生体データも識別子として機能します。オンラインの識別子については、前文(30)で、
もあることをふれています。
「直接・間接的に個人を識別する」
個人を直接的に識別できるのは、あなたが持っている情報だけで個人を特定できる場合です。名前と場所を知ることで、(例)ロバートを直接的に識別することができました。しかし、ロバートの名前を知らなければ、近くにいることや、身長や髪の色などの身体的要因の組み合わせで、ロバートを識別することができたかもしれません。
間接的な識別には、さらに考慮すべき要素があります。間接的な識別とは、あなたが処理している情報だけでは個人を識別できないが、あなたが保持している他の情報や、他の情報源から合理的にアクセスできる情報を使用することで識別できる可能性があることを意味します。第三者がお客様のデータを使用し、合理的にアクセスできる情報と組み合わせて個人を特定することも、間接的な識別の一形態です。間接的に個人を特定するために使用できる情報の簡単な例として、個人のナンバープレートが挙げられます。警察(第三者)は、ナンバープレート番号と名前をすぐに照合することができます。
「合理的に」という修飾語は重要です。現在は存在しない識別方法が将来開発される可能性があるため、長期間保存されるデータは、間接的な識別を可能にする新しい技術と組み合わせることができないか、継続的に検証する必要があります。
識別可能な個人に「関連」する個人データ
ここでは、データの内容を考慮することが重要です。個人を特定する情報は、たとえ名前がついていなくても、その個人について何かを知るために処理している場合、またはこの情報の処理がその個人に影響を与える場合は、個人データになる可能性があります。特定の個人に関することが明らかな情報を含む記録は、その個人の病歴や犯罪記録など、その個人に「関連する」ものとみなされます。また、銀行取引明細書など、個人の活動を記述する情報を持つ記録も該当する可能性があります。識別可能な個人に関連するデータは、すべて個人データです。
個人データおよび処理目的
GDPRでは、データが特定の個人に関する意思決定にどのように使用されるかを考慮することが求められています。ある組織では個人データに該当しない情報でも、このデータが個人に与える影響に基づいて、別の組織がそれを所有するようになれば、個人データになる可能性があります。これはすべて、組織がデータを処理する理由によるものです。もし組織が誰かを特定することだけを目的としてデータを処理するのであれば、そのデータは定義上、個人データである。
2つの例を挙げます:
第一に、写真家が手にした通りの写真は個人データではありませんが、特定の時間にその通りにいた個人と車両を特定しようとする捜査官が手にした同じ写真は、当該個人の個人データと見なされます。
第二に、当局が適切と判断した場合に個人を特定するために使用されることを唯一の目的とするビデオ監視またはセキュリティ映像は、場合によっては記録された個人を特定できないとしても、特定可能な個人に関するデータ処理と見なされるべきです。
CCPAについては、情報保護委員会の翻訳があります。そのカリフォルニア州消費者プライバシー法(2018年) の第1798・140条は、定義を定めています。同条の
(o) (1) 「個人情報」とは、特定の消費者又は世帯を、識別し、関連し、叙述し、合理的に関連付けることができ、又は直接的に若しくは間接的に合理的にリンクさせることのできる情報を意味する。個人情報には、以下に限定されるわけではないが、特定の消費者又は世帯を識別し、関連し、叙述し、合理的に関連付けることができ、又は直接的に若しくは間接的に合理的にリンクさせることのできるものであれば、以下が含まれる。
(A) 識別子。例えば、実名、別名、郵便住所、一意個人識別子、オンライン識別子であるインターネット・プロトコル・アドレス、電子メール・アドレス、アカウント・ネーム、社会保険番号、運転免許証番号、旅券番号、又はその他の類似の識別子。
(B)第1798.80条第(e)項4で述べる個人情報の類型(これは、第1798.80条第(e)項は、カリフォルニア州民法におけるTitle 1.81. CUSTOMER RECORDS(顧客記録)における「「個人情報」とは、特定の個人を、識別し、関連し、叙述し、又は関連付けることができるいかなる情報を意味する。個人情報には、以下に限定されるわけではないが、当該個人の名前、サイン、社会保険番号、身体的特徴若しくは記述、アドレス、電話番号、旅券番号、運転免許証番号若しくは州の識別カード番号、保険証券番号、教育、雇用、雇用履歴、銀行口座番号、クレジットカード番号、デビットカード番号、又は、その他の財務情報、医療情報若しくは健康保険情報、を含む。「個人情報」には、連邦、州又は地域の政府の記録から適法に一般公衆に対して利用可能となっている、公に利用可能な情報を含まない。 」という条項を指す)
(C)カリフォルニア州法又は連邦法のもとでの保護された分類の特性。
(D)商業的情報。個人の財産の記録、購入、取得又は検討した製品又はサービスの記録、又は、その他の購入又は消費の履歴又は傾向についての記録を含む。
(E)バイオメトリック情報。
(F) インターネット又はその他の電子的なネットワーク活動の情報。閲覧履歴、検索履歴、及び、インターネット・ウェブ・サイト、アプリケーション又は広告との消費者のやりとりの情報を含むが、これに限られない。
(G)地理位置データ。
(H)音声、電子、視覚、温度、嗅覚、又は類似の情報。
(I)職業又は雇用に関する情報。
(J) 公に利用可能な、家族教育権とプライバシー法(合衆国法典(「United States Code」)20、第1232g条,; 連邦規則集(「Code of Federal Regulations」)34、パート99)5に定義されている個人識別情報ではない情報として定義される教育情報。
(K)消費者についての選好、性格、心理的傾向、性質、行動、態度、インテリジェンス、能力及び素質を反映する消費者のプロファイルを作成するために本項で識別された情報から引き出された、推定。
とされており、また、
(2)「個人情報」には、公に利用可能な情報は含まれない。本号の目的上、「公に利用可能」とは、連邦、州又は地域の政府の記録から適法に利用可能な情報を意味する。「公に利用可能」とは、消費者が知らないうちに、当該消費者について事業者が収集したバイオメトリック情報を意味しない。
(3)「個人情報」には、非識別化された消費者情報又は消費者情報集合体は含まれない。
とされています。
一般論からいっでこれら各国において、匿名化して、詳細なデータ分析をしますということでもない限り、適用の限界については、CCPA、GDPR、PIPAのいずれでも、具体的な個人情報/データの定義への該当性が明確に異なるということはないように思います。
これは、「域外適用(法第171条関係)」という項目のもと、議論されています。
法第171条
この法律は、個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者又は個人関連情報取扱事業者が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合についても、適用する。
これは、個人情報取扱事業者等が、仮に外国に所在していたとしても日本の居住者等国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報(および個人関連情報、仮名加工情報若しくは匿名加工情報)を、外国において取り扱う場合には、法が適用されるということです。GDPRの立法管轄権と比較した場合に、情報主体の所在を根拠とする点では同一であるといえます。もっとも、GDPRでは、物品又はサービスの提供/モニタリングという限定がなされているものの、PIPAでは、そのような限定はなされていません。
これは、3条の地理的適用範囲で定められます。
1. 本規則は、その取扱いがEU域内で行われるものであるか否かを問わず、EU域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。
2. 取扱活動が以下と関連する場合、本規則は、EU域内に拠点のない管理者又は処理者によるEU域内のデータ主体の個人データの取扱いに適用される:
(a) データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供(offering to)。又は
(b) データ主体の行動がEU域内で行われるものである限り、その行動の監視 (monitoring of their behaviour )。
3. 本規則は、EU域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される。
となります。ところで、これに関しては、The European Data Protection Board (欧州データ保護会議)が公表した『Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – Version 2.1』(2018年11月16日に採択、意見募集を経て修正のうえ2019年11月12日に採択したVersion2.0を様式修正したもの。)の英語版を個人情報保護委員会が翻訳したものがあります。
EU域内で個人データの管理者(コントローラー)又は処理者(プロセッサー)として拠点をおいて活動していれば、適用がなされますが、わが国の企業では拠点がないという企業も多いでしょう。したかって、わが国の企業においては、1項は、関係ない場合も多いでしょう。
ちなみに拠点は前文( 22) において「拠点とは、安定的な仕組みを通じて行われる実効的かつ現実の活動の実施を意味する。そのような仕組みの法的形式、その支店又は法人格を有する子会社を通じているかは、この点に関する決定的要素とならない」とされています。
問題は2項になります。物品又はサービスの提供の場合、もしくは、行動のモニタリングの場合については、データ主体が域内の場合に適用がなされます。これにつついては、ガイドラインにおいて「2 標的基準の適用 – 第 3 条第 2 項」として詳述されています。ここで、むしろ、積極的なEU域内に「向けての」上記の行為がなされないといけないとかんがえられることになります。
これについては、Pammer v Reederei Karl Schlüter GmbH & Co and Hotel Alpenhof v Heller (Joined cases C-585/08
and C-144/09の判決が紹介されており、
これについては
前文(23)が、単に管理者、処理者又はその中間介在者の EU 域内の Web サイトにアクセスできること、Web サイト上に電子メールアドレス若しくは住所又は国番号を付与していない電話番号を記載していることは、それ自体では、EU域内のデータ主体に物品又はサービスを提供する意図を管理者又は処理者が有していることを証明する証拠としては十分ではないことを確認している点を想起することが重要である。この文脈において、EDPB は、商品又はサービスが気付かずに又は偶発的に EU 域内の者に提供された場合、関連する個人データの取扱いは GDPR の地理的範囲に含まれないことを想起する。
というコメントもなされています。個人的には、(積極的な)提供ということがポイントになるのだろうと考えています。
第 3 条第 2 項(b)により GDPR を適用する場合、まず、監視されている行動が EU 域内のデータ主体に関連していなければならず、また、重畳的な基準として、監視されている行動が EU 域内で行われていなければなりません。
この監視活動については、前文第 24 項においてさらに具体化されており、自然人のプロファイリングを構成する個人データの取扱い技術が後に使用される可能性を含め、自然人がインターネット上で追跡されているかどうか、特に、データ主体に関連する判断をするため、又は、データ主体の個人的な嗜好、行動及び傾向を分析又は予測するために追跡されているかを確認しなければならない。と述べています。そしてEDPB は、個人データの取扱いを伴うその他のネットワーク又は技術、例えばウェアラブル機器やその他のスマ
ートデバイスを通じた追跡も、取扱活動が行動の監視に該当するか否かを判断する際に考慮するべきであるとしています。
CCPAの適用される事業者について、権能の制限がどのような場合であるか、という観点から、法が定められています。
第1798.145条 (a)本巻により事業者に課される義務は、以下の事業者の権能を制限しない:
(略)
(6)商業的な行為のどの側面も完全にカリフォルニア州の外で行われている場合に、消費者の個人情報を収集し又は販売すること。本巻の目的のため、消費者がカリフォルニア州の外にいるときに事業者が情報を収集し、消費者の個人情報の販売のいかなる部分もカリフォルニア州で生じておらず、また、消費者がカリフォルニア州にいたときに収集された個人情報が販売されていない場合に、商業的行為は完全にカリフォルニア州以外で行われたものとする。本パラグラフは、消費者がカリフォルニアにいるときにその個人情報を事業者がデバイス上を含めて保存し、その後消費者及び保存される情報がカリフォルニア州の外であるときにその個人情報を収集するということを認めない。
の場合は、商業的な行為のどの側面も完全にカリフォルニア州の外で行われている場合となります。
GDPRでは、一定の場合に、データ保護オフィサー(Data Protection Officer-DPO)を選任しなければならないとされています(GDPR32条)。なお、29条作業部会のGuidelines on Data Protection Officer(WP243)の翻訳(PPCによる)はこちらです。
どのような場合に選任しなければならないかについてはあとて検討するとして、そもそも、DPOというのは、何かというのを抑える必要があります。
DPOというのは、個人データ保護に関するすべての事項に関与する専門職であって、GDPRの遵守に関するアドバイス、データ保護活動の監視、監督機関への協力、監査の実施に責任を持ちます(39条)。
その地位は、38条で定められており、適正/適時の関与の確保、支援の必要、独立性、秘密保持義務などが要素をなします
- 管理者及び処理者は、個人データの保護に関連する全ての問題に、適正かつ適時に、データ保護オフィサーが関与することを確保しなければならない。
- 管理者及び処理者は、第39 条で定める職務の遂行において、その職務を遂行し、個人データ及び取扱業務にアクセスするため、並びに、データ保護オフィサーの専門的な知識を維持するために必要となるリソースを提供することによって、データ保護オフィサーを支援しなければならない。
- 管理者及び処理者は、データ保護オフィサーが、その職務の遂行に関し、いかなる指示も受けないことを確保しなければならない。当該データ保護オフィサーは、当該データ保護オフィサーの職務の遂行に関して、管理者又は処理者から解任され、又は罰則を受けることがない。データ保護オフィサーは、管理者又は処理者の最高経営者レベルに対して直接報告しなければならない。
- データ主体は、その個人データの取扱い及び本規則に基づくその権利の行使に関連する全ての問題に関し、データ保護オフィサーと連絡をとることができる。
- データ保護オフィサーは、 EU 法又は加盟国の国内法に従い、データ保護オフィサーの職務の遂行と関係する秘密又は機密を厳守しなければならない。
- データ保護オフィサーは、他の職務を遂行し、義務を履行することができる。管理者又は処理者は、そのような職務及び義務が利益相反とならないことを確保しなければならない。
上で一定の場合というのは、
をいいます。
民間企業についていえば、一番の関心は「データ主体の大規模な定期的かつ体系的な監視を要する取扱作業」か、どうかということだろうと考えられます。もっとも、上のWG29のコメントでも何が大規模化を定義していないので、今後、一定の監修が発展していくだろうとされています。
ここで、「大規模」のメルクマールについては
を考慮することが明らかにされています。
具体的な例として
があげられています。
一方、大規模な処理に該当しない例としては、
があげられています。
エッセンシャルファシリティのレベルでの取扱が対応になるのは、いいとして、個人的な取扱を越えて企業による取扱がどのレベルだと該当するかは、まだ不明確なのかもしれません。
モニタリングの概念については、GDPRの前文(24)に「データ主体の行動を監視する」(第3条(2)(b))という用語の関係で
データ主体の行動を監視する処理活動が考慮されるかどうかを判断するためには、自然人がインターネット上で追跡されているかどうか、特に彼女または彼に関する決定を下すために、または彼女または彼の個人的な好み、行動、態度を分析または予測するためにプロファイリングする個人的なデータ処理技術が潜在的に使用されているかどうかを確認する必要があります。
という文言があるので、これが参考になります。ガイドラインの付録4では、
行動ターゲッティング広告の目的を含め、インターネット上のあらゆる形のついせきおよびプロファイリングは、明確に含まれる。ただし、監視の概念はオンライン環境に限定されない
都されてたいます。また、具体的な業務の事例として
などがあげられています。
DPOガイドラインによれば、管理者または処理者がEU域内に拠点を有していない場合には、EU外に所在していたとしても、そのか都度をより効果的に行うことができる可能性を排除することはできないとされており、域外に所在したとしてもかまわないものとされています(なお、ガイドラインの付録6)。
上でみたようにGDPRが適用される場合には、同規則27条によって EU 域内に拠点のない管理者又は処理者の代理人を選任することが必要になります。
具体的には、
1 第3 条第2 項が適用される場合、管理者又は処理者は、 書面により、 EU 域内における代理人を指定する[ものとする]。
2. 本条の第1 項に定める義務は、以下には適用されない。(a) 一時的なものであり、かつ、第9 条第1 項に規定する特別な種類のデータの取扱い又は第10 条に規定する有罪判決及び犯罪行為と関連する個人データの取扱いを大量に含まず、かつ、その取扱いの性質、過程、範囲及び目的を考慮に入れた上で、自然人の権利及び自由に対するリスクが生ずる可能性が低い取扱い。 又は、
(b) 公的機関又は公的組織。3. 代理人は、 データ主体に対する物品若しくはサービスの提供と関連してその個人データが取扱われるデータ主体、 又は、 その行動が監視されるデータ主体のいる加盟国中の 1 つに設けられる。
4. 本規則の遵守を確保する目的のために、 代理人は、 取扱いと関連する全ての事項に関し、 特に、 監督機関及びデータ主体への対応のために、管理者又は処理者に加え、 又は、それらの者の代わりとして、 管理者又は処理者から委任を受ける。
5. 管理者又は処理者による代理人の指定は、管理者又は処理者自身を相手方として提起される訴訟行為を妨げない。
となります。
この代理人は、むしろ、対外的なものであって、域内に設置されれるという点に特徴があります。前文(80)は、この理を説明しています。
(80) EU 域内に拠点のない管理者又は処理者が、 EU 域内のデータ主体の個人データを取扱っており、その取扱活動が、データ主体による支払いが必要とされると否とにかかわらず、そのような EU 域内のデータ主体に対する物品又はサービスの提供と関連するものである場合、又は、 EU 域内で起きる行動である限りにおいてデータ主体の行動の監視と関連するものである場合、その取扱いが、(略)である場合を除き、その管理者又は処理者は、代理人を指定しなければならない。代理人は、管理者又は処理者の代わりに行動しなければならず、かつ、監督機関からの名宛人となることができる。代理人は、本規則に基づく管理者又は処理者の義務に関し、それらの者の代わりに行動することの管理者又は処理者の書面による委任によって、明示的に指定されなければならない。そのような代理人の指定は、本規則に基づく管理者及び処理者の義務又は法的責任に影響を与えることはない。そのような代理人は、本規則の遵守を確保するために行われる全ての行為に関する職務権限をもつ監督機関との協力を含め、管理者又は処理者から受けた委任に従って、その職務を遂行しなければならない。指定された代理人、管理者又は処理者による違背行為が発生した場合には、法執行の手続に服さなければならない。
とされています。
