殿村桂司 Keiji Tonomura
パートナー
東京
NO&T Europe Legal Update 欧州最新法律情報
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
EUの一般データ保護規則(GDPR)の適用が2018年5月25日に開始されて以降、GDPR上の規制や制裁制度が、いわゆるeプライバシーの問題(電子メールやウェブサイト等の電気通信サービスの使用)に対して適用されるのか、またどこまでの範囲で適用されるのかが議論されてきました。GDPRとeプライバシーに関するルールの関係は、前者(GDPR)が全EU加盟国に直接適用されるEU法である一方、後者(eプライバシーに関するルール)は、現状は(EU法の枠組みに基づきつつも)加盟国の国内法でそれぞれ規定されているため、とりわけ複雑なものとなっています。そのため、EUは長らく、eプライバシー「指令」に代わるeプライバシー「規則」の制定を試みてきました。しかし、立法プロセスは、加盟国間の議論の対立や大手企業の反発により進んでいません。EU理事会が公表した規則案についても、依然として欧州議会と欧州委員会の交渉が続いており、遅れは約5年にもなっています。また、eプライバシー「規則」が成立しても、多くの重要な問題はその後も引き続き議論の対象となると思われます。
GDPRに基づく執行件数の着実な増加に伴い、裁判所、規制当局、さらに国内議会は、このGDPRとeプライバシーに関するルールの相互関係に関する問題について、困難な課題に直面しています。本稿では、データ保護とeプライバシーの分野におけるEUと国内法との一般的な関係について簡単に概観した後、EU及びドイツでビジネスを行う企業が留意すべき規制の最新動向について解説します。
EU法は、EU基本条約※1所定の機関及び手続に従って成立した場合、加盟国の国内法に優越します。これは、加盟国の裁判所及び規制当局が、EU法に抵触する国内法を適用できないことを意味します※2。また、EU法の実効性を確保するため、裁判所及び規制当局は、EU法に照らして国内法を解釈し適用しなければなりません。
EU法には様々な法形式がありますが、ここでは「規則(Regulation)」と「指令(Directive)」を取り上げます。「規則」は、全加盟国において完全な法的拘束力を有し、直接適用されます。「指令」は、原則として、政策目標を達成することについては法的拘束力を有しますが、達成するための法形式及び方法については加盟国に裁量が与えられています。「指令」は、国内立法における実施によって初めて効力を有するため、「枠組み法(framework laws)」とも呼ばれます※3。
EUは、ある分野についての規制を行う際、政策目標を達成するための方法について加盟国の自由を大きく制限することなく、各加盟国の法制度における政策目標を調和させるために、しばしば規制手段としてまずは「指令」を選択します。しかし、各加盟国がその裁量を行使することで、効果的な調和が妨げられる場合には、EUは後から「規則」を制定することがあります。
近年の傾向として、「規則」と「指令」の境界は一定程度曖昧になりつつあります。
GDPRとeプライバシー指令は相互に補完しあう関係にあります。GDPR第95条によれば、eプライバシー指令(及び同指令を実施する国内法)が企業に義務を課している範囲において、GDPRがさらなる義務を課すことはないとされています。これは、原則として、eプライバシー指令の規定が、電気通信サービス(特に電子メールとインターネット)についての枠組みを定める、いわゆる特別法であり、より一般的なGDPRの規定に優先することを意味します。GDPRは、eプライバシー指令によって具体的に規律されていない事項についてのみ直接的に適用されることとなります。
上記の関係は、実体的な側面と執行上の側面の両面において大きな影響をもたらす可能性があります。
例えば、ファーストパーティーCookieを介してウェブサイトの到達率を測定するために、(ウェブサイトをまたいだトラッキングやマーケティングの要素は含むことなく)行われる表面的な個人データの処理は、GDPRとの関係で見ると、同意がなくても適法であると認められる余地があります。しかし、この処理が、ウェブサイトの提供のためには厳密には必要ではないユーザのデバイスに関する情報の保存を伴うことを考慮すると、eプライバシー指令に基づく同意要件を満たす必要が生じます。
比較的最近の事例としては、フランスの監督当局(CNIL(Commission nationale de l’informatique et des libertés))が、Google LLCとGoogle Ireland Ltd.に対してCookieの同意要件に違反したとして1億ユーロの制裁金を課しました。CNILは、この処分にあたって、eプライバシー指令を国内法化したフランスデータ保護法の規定に依拠しました。これに対してGoogle LLCは、CNILが、特にアイルランドの監督当局と協調すべきであったと主張して、裁判所に対して異議を申し立てましたが、フランスの裁判所は2022年1月28日、この申立てを却下しました。このような判断の下では、eプライバシー指令違反は、管轄を有する各EU監督当局のそれぞれによる行政措置の対象となる可能性があり、複数の管轄区域をまたいでビジネスを行う企業は、1つの(主要な)管轄区域での法解釈に従って規制を遵守するだけではもはや十分とはいえません。
GDPRは、参照規定を通じてeプライバシー指令(及び同指令を実施する国内法)に影響を及ぼします。最も顕著な例としては、eプライバシー指令における「同意」の定義は、もともとデータ保護指令に依拠していましたが、現在ではGDPRの定めが適用されるため、GDPRの影響を非常に大きく受けています。
例えば、「申込者」に対して事前の同意なく自動電話をかけたり、広告目的の電子メールを送信したりすることを禁止する規定(eプライバシー指令第13条)は、申込者が自然人であるか法人であるかにかかわらず適用されます。また、メールアドレスが個人データに当たるか否かにもかかわりません。株式会社が保有するinfo@company.de等のアドレスに広告メールを送ることは、GDPR上は規制されていませんが、eプライバシー指令第13条第2項(f)の参照規定により、GDPRが定める意味における同意が必要となります。
GDPRと国内法の関係は多岐にわたるため、本稿では、GDPRが行政措置、特に制裁金の賦課について拘束力のある確定的な規定を設けているかどうかに関する最近の議論に焦点を当てます。
GDPRの関連規定(例えば、第83条及び前文第150条)は、会社、すなわち法人に対して制裁金が課される可能性を想定しているように思われます。
しかし、GDPR第83条第8項は、「本条に基づく監督当局による権限の行使は、EU法及び加盟国の国内法に従い、実効的な司法救済及び適正手続を含む適切な手続上の保護措置に服する」と規定しています。ドイツを含む一部の加盟国は、これを、制裁金の賦課に関する自国の国内法が、GDPRに基づく制裁金の賦課にも適用されることを意味すると解釈しています。そして、多くの場合において、国内法上、会社に制裁金を課すためには個人について違法行為があることが必要とされています。このような規定の下では、監督当局が制裁金を課すことはより困難になるため、この点をどのように解釈するかは非常に重大な問題であるといえます。
ドイツにおいては、この問題に関する裁判所の判断は統一されておらず※4、また、ドイツの連邦内務省及びデータ保護監督当局の立場も一貫していません※5。そこで、これらの問題の明確化を図るため、ベルリン高等裁判所は、2021年12月にこの問題を欧州司法裁判所に照会しました※6。この手続の結論如何によっては、データ保護法に基づく制裁金の対象となるか否かのリスクに大きな影響をもたらす可能性があるため、企業は注意する必要があります。対象となっている事案では、ドイツの不動産会社が1,450万ユーロ(約20億円)の制裁金について争っており、仮に、欧州司法裁判所が、各国の手続法が、GDPRに基づく制裁金の賦課にも適用されるという判断を支持した場合、当該制裁金は取り消される可能性が高いと考えられます。
EUは長年にわたり、データ保護及びeプライバシーに関する加盟国間の制度を調和させることに多大な労力を投じてきました。しかし、EUでビジネスを行う企業や、少なくともEU域内の人々にオンライン上で接点を持ったり広告活動を行っている企業がコンプライアンスを遵守した経営を行うためには、EU法と国内法との相互関係を注視する必要性は未だ薄れていません。
ある事項がEU規則又はEU指令の規律の対象になっていても、企業が各国の規制の特殊性を無視することが許されるわけではありません。むしろ、企業はこれらの特殊性を知っておくことで、法令違反の責任を問われるリスクを大幅に下げることができる場合があります。
特に、企業は、GDPRの遵守がeプライバシー指令の遵守を意味せず、双方を遵守するためには追加的あるいは補完的な措置を講じる必要があることを認識しておくことが望ましいでしょう。さらに、eプライバシー指令の遵守状況は、ビジネスの拠点を置いている加盟国の監督当局だけでなく、あらゆる加盟国の監督当局による調査の対象になる可能性があることに留意する必要があります。
良い面を見れば、しばしば当局や裁判所、議会でさえ法律上の要件及び権限を熟知していない現状では、データ保護及びeプライバシーに関するEU法と国内法の複雑な関係性が企業にとって有利に働く場合もあるともいえます。たとえリスクが顕在化した後であっても、しっかりとした法的対処を行えば、公正な解決に至る余地があると考えられます。
※1
EU基本条約とは、リスボン条約(2007年12月13日)により改正された、EU条約(1992年2月7日)及びEU機能条約(1957年3月25日)をいいます。
※2
EU法が国内法に優越する正確な範囲については、欧州司法裁判所と各国憲法裁判所との間で、一定の緊張関係の下、非公式な対話がなされているところですが、本稿の主題に直接関係するものではないため、本稿では深くは立ち入らないこととします。
※3
本稿では、参照の容易さと読みやすさのために、eプライバシー指令の規定にのみ言及します。参照する規定は、各加盟国における関連する国内実施法を含むものとします。
※4
ボン地方裁判所2020年11月11日付判決(29 OWi 1/20)、ベルリン地方裁判所2021年2月18日付決定(526 OWi LG, 212 Js-OWi 1/20)
※5
ドイツ連邦内務省(Bundesministerium des Innern, für Bau und Heimat)「GDPR実施法の評価」(Evaluierung des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680)61頁(2021年10月)、データ保護会議(Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder)2019年4月3日付決議「従業員に対する企業の責任」(Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten)
※6
ベルリン高等裁判所2021年12月6日付決定(3 Ws 250/21)
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
(2025年6月)
関口朋宏(共著)
(2025年6月)
殿村桂司、今野由紀子、カオ小池ミンティ、松﨑由晃(共著)、近藤正篤(執筆協力)
長谷川良和
(2025年5月)
関口朋宏(共著)
(2025年6月)
殿村桂司、小松諒、鳥巣正憲、滝沢由佳(共著)
(2025年6月)
関口朋宏(共著)
(2025年6月)
殿村桂司、今野由紀子、カオ小池ミンティ、松﨑由晃(共著)、近藤正篤(執筆協力)
(2025年6月)
殿村桂司、小松諒、松﨑由晃(共著)
(2025年6月)
殿村桂司、小松諒、鳥巣正憲、滝沢由佳(共著)
(2025年6月)
関口朋宏(共著)
(2025年6月)
殿村桂司、今野由紀子、カオ小池ミンティ、松﨑由晃(共著)、近藤正篤(執筆協力)
(2025年6月)
殿村桂司、小松諒、松﨑由晃(共著)
井上皓子
(2025年6月)
関口朋宏(共著)
大久保涼、内海裕也(共著)
長谷川良和
(2025年6月)
関口朋宏(共著)
(2025年6月)
福原あゆみ
(2025年5月)
関口朋宏(共著)
中央経済社 (2025年5月)
長島・大野・常松法律事務所 欧州プラクティスグループ(編)、池田順一、本田圭、福原あゆみ、吉村浩一郎、殿村桂司、小川聖史、大沼真、宮下優一、水越政輝、アクセル・クールマン、山田弘、中所昌司、松宮優貴、関口朋宏、髙橋優、松岡亮伍、嘉悦レオナルド裕悟(共著)、小泉京香、甲斐凜太郎、藤田蒔人、山本安珠(執筆協力)
