GDPRとEU加盟国法との相互関係に関する最新動向 －eプライバシーに関する規律やドイツの事例を題材として－

2.EU法と国内法の一般的な関係

(1) 基本原則

　EU法は、EU基本条約※1所定の機関及び手続に従って成立した場合、加盟国の国内法に優越します。これは、加盟国の裁判所及び規制当局が、EU法に抵触する国内法を適用できないことを意味します※2。また、EU法の実効性を確保するため、裁判所及び規制当局は、EU法に照らして国内法を解釈し適用しなければなりません。

　EU法には様々な法形式がありますが、ここでは「規則（Regulation）」と「指令（Directive）」を取り上げます。「規則」は、全加盟国において完全な法的拘束力を有し、直接適用されます。「指令」は、原則として、政策目標を達成することについては法的拘束力を有しますが、達成するための法形式及び方法については加盟国に裁量が与えられています。「指令」は、国内立法における実施によって初めて効力を有するため、「枠組み法（framework laws）」とも呼ばれます※3。

(2) 実務上の展開

　EUは、ある分野についての規制を行う際、政策目標を達成するための方法について加盟国の自由を大きく制限することなく、各加盟国の法制度における政策目標を調和させるために、しばしば規制手段としてまずは「指令」を選択します。しかし、各加盟国がその裁量を行使することで、効果的な調和が妨げられる場合には、EUは後から「規則」を制定することがあります。

　近年の傾向として、「規則」と「指令」の境界は一定程度曖昧になりつつあります。

1. 規則については、しばしば、特定の事項の規制につき加盟国に裁量を与えるオープンな規定が含まれることがあります。例えば、GDPR第88条は、加盟国が、「雇用の過程における労働者の個人データの取扱いに関する権利及び自由の保護を確保するためにより具体的な規定を定める」余地を認めています。また昨今では、成立から発効までの猶予期間が定められることも多いです。
2. 他方、指令はますます具体的かつ詳細になり、加盟国に残された裁量の余地はさらに狭められています。かかる傾向は、指令が、十分に具体的であり、個人に権利を付与しており、かつ、加盟国がこれらの権利を国内で正しく実施していない場合には、当該指令は直接効果を有するという判断が欧州司法裁判所で出されたことにより、ますます強まっています。例えば、eプライバシー指令（2002/58/EC）第5条第3項に規定されている、ユーザのデバイスへのアクセス又はデバイス上の情報の保存（例えば、Cookieの読み出しや配置）についてのユーザの同意の要件は、非常に詳細に定められており、実務的には加盟国に裁量はほぼないといえます。

3.GDPRとeプライバシー指令との関係

(1) 一般原則

　GDPRとeプライバシー指令は相互に補完しあう関係にあります。GDPR第95条によれば、eプライバシー指令（及び同指令を実施する国内法）が企業に義務を課している範囲において、GDPRがさらなる義務を課すことはないとされています。これは、原則として、eプライバシー指令の規定が、電気通信サービス（特に電子メールとインターネット）についての枠組みを定める、いわゆる特別法であり、より一般的なGDPRの規定に優先することを意味します。GDPRは、eプライバシー指令によって具体的に規律されていない事項についてのみ直接的に適用されることとなります。

(2) 特別法としてのeプライバシー指令の実務的な影響

　上記の関係は、実体的な側面と執行上の側面の両面において大きな影響をもたらす可能性があります。

1. GDPRの観点のみからであれば企業の正当な利益（GDPR第6条第1項(f)）に基づくものとして許容されていたデータの処理業務が、eプライバシー指令の下では同意が必要となる可能性があります。

   例えば、ファーストパーティーCookieを介してウェブサイトの到達率を測定するために、（ウェブサイトをまたいだトラッキングやマーケティングの要素は含むことなく）行われる表面的な個人データの処理は、GDPRとの関係で見ると、同意がなくても適法であると認められる余地があります。しかし、この処理が、ウェブサイトの提供のためには厳密には必要ではないユーザのデバイスに関する情報の保存を伴うことを考慮すると、eプライバシー指令に基づく同意要件を満たす必要が生じます。

2. あるGDPR違反に関して複数のEU監督当局が管轄を有する場合、当該違反に対する行政措置は、入念な協力メカニズム（いわゆるワンストップショップメカニズム。GDPR第60条）の対象となりますが、eプライバシー指令違反に対する制裁の場合は、そのような協力の必要はありません。

   比較的最近の事例としては、フランスの監督当局（CNIL（Commission nationale de l’informatique et des libertés））が、Google LLCとGoogle Ireland Ltd.に対してCookieの同意要件に違反したとして1億ユーロの制裁金を課しました。CNILは、この処分にあたって、eプライバシー指令を国内法化したフランスデータ保護法の規定に依拠しました。これに対してGoogle LLCは、CNILが、特にアイルランドの監督当局と協調すべきであったと主張して、裁判所に対して異議を申し立てましたが、フランスの裁判所は2022年1月28日、この申立てを却下しました。このような判断の下では、eプライバシー指令違反は、管轄を有する各EU監督当局のそれぞれによる行政措置の対象となる可能性があり、複数の管轄区域をまたいでビジネスを行う企業は、1つの（主要な）管轄区域での法解釈に従って規制を遵守するだけではもはや十分とはいえません。

(3) GDPRがeプライバシー指令に与える実務上の影響

　GDPRは、参照規定を通じてeプライバシー指令（及び同指令を実施する国内法）に影響を及ぼします。最も顕著な例としては、eプライバシー指令における「同意」の定義は、もともとデータ保護指令に依拠していましたが、現在ではGDPRの定めが適用されるため、GDPRの影響を非常に大きく受けています。

1. このことは、eプライバシー指令における同意が、いまや、GDPRに規定される厳格な要件（自由に与えられ、特定され、事前に説明を受けた上での、不明瞭でない陳述又は積極的行為。GDPR第4条第7号参照）を満たさなければならないことを意味します。一部の国にとってこの変化は実務上非常に大きなものです。
2. また、eプライバシー指令には、GDPRの範囲を超えて、個人データ（自然人に関するデータ）の処理に関連しないルールが含まれているため、GDPRが全く適用されない領域にも、波及的な効果が及びます。したがって、個人データの処理を伴わない取扱いであっても、GDPRの基準が適用される可能性があります。

   例えば、「申込者」に対して事前の同意なく自動電話をかけたり、広告目的の電子メールを送信したりすることを禁止する規定（eプライバシー指令第13条）は、申込者が自然人であるか法人であるかにかかわらず適用されます。また、メールアドレスが個人データに当たるか否かにもかかわりません。株式会社が保有するinfo@company.de等のアドレスに広告メールを送ることは、GDPR上は規制されていませんが、eプライバシー指令第13条第2項(f)の参照規定により、GDPRが定める意味における同意が必要となります。

4.GDPRと国内法


　GDPRと国内法の関係は多岐にわたるため、本稿では、GDPRが行政措置、特に制裁金の賦課について拘束力のある確定的な規定を設けているかどうかに関する最近の議論に焦点を当てます。

　GDPRの関連規定（例えば、第83条及び前文第150条）は、会社、すなわち法人に対して制裁金が課される可能性を想定しているように思われます。

　しかし、GDPR第83条第8項は、「本条に基づく監督当局による権限の行使は、EU法及び加盟国の国内法に従い、実効的な司法救済及び適正手続を含む適切な手続上の保護措置に服する」と規定しています。ドイツを含む一部の加盟国は、これを、制裁金の賦課に関する自国の国内法が、GDPRに基づく制裁金の賦課にも適用されることを意味すると解釈しています。そして、多くの場合において、国内法上、会社に制裁金を課すためには個人について違法行為があることが必要とされています。このような規定の下では、監督当局が制裁金を課すことはより困難になるため、この点をどのように解釈するかは非常に重大な問題であるといえます。

　ドイツにおいては、この問題に関する裁判所の判断は統一されておらず※4、また、ドイツの連邦内務省及びデータ保護監督当局の立場も一貫していません※5。そこで、これらの問題の明確化を図るため、ベルリン高等裁判所は、2021年12月にこの問題を欧州司法裁判所に照会しました※6。この手続の結論如何によっては、データ保護法に基づく制裁金の対象となるか否かのリスクに大きな影響をもたらす可能性があるため、企業は注意する必要があります。対象となっている事案では、ドイツの不動産会社が1,450万ユーロ（約20億円）の制裁金について争っており、仮に、欧州司法裁判所が、各国の手続法が、GDPRに基づく制裁金の賦課にも適用されるという判断を支持した場合、当該制裁金は取り消される可能性が高いと考えられます。

5.おわりに


　EUは長年にわたり、データ保護及びeプライバシーに関する加盟国間の制度を調和させることに多大な労力を投じてきました。しかし、EUでビジネスを行う企業や、少なくともEU域内の人々にオンライン上で接点を持ったり広告活動を行っている企業がコンプライアンスを遵守した経営を行うためには、EU法と国内法との相互関係を注視する必要性は未だ薄れていません。

　ある事項がEU規則又はEU指令の規律の対象になっていても、企業が各国の規制の特殊性を無視することが許されるわけではありません。むしろ、企業はこれらの特殊性を知っておくことで、法令違反の責任を問われるリスクを大幅に下げることができる場合があります。

　特に、企業は、GDPRの遵守がeプライバシー指令の遵守を意味せず、双方を遵守するためには追加的あるいは補完的な措置を講じる必要があることを認識しておくことが望ましいでしょう。さらに、eプライバシー指令の遵守状況は、ビジネスの拠点を置いている加盟国の監督当局だけでなく、あらゆる加盟国の監督当局による調査の対象になる可能性があることに留意する必要があります。

　良い面を見れば、しばしば当局や裁判所、議会でさえ法律上の要件及び権限を熟知していない現状では、データ保護及びeプライバシーに関するEU法と国内法の複雑な関係性が企業にとって有利に働く場合もあるともいえます。たとえリスクが顕在化した後であっても、しっかりとした法的対処を行えば、公正な解決に至る余地があると考えられます。

脚注一覧

※1
EU基本条約とは、リスボン条約（2007年12月13日）により改正された、EU条約（1992年2月7日）及びEU機能条約（1957年3月25日）をいいます。

※2
EU法が国内法に優越する正確な範囲については、欧州司法裁判所と各国憲法裁判所との間で、一定の緊張関係の下、非公式な対話がなされているところですが、本稿の主題に直接関係するものではないため、本稿では深くは立ち入らないこととします。

※3
本稿では、参照の容易さと読みやすさのために、eプライバシー指令の規定にのみ言及します。参照する規定は、各加盟国における関連する国内実施法を含むものとします。

※4
ボン地方裁判所2020年11月11日付判決（29 OWi 1/20）、ベルリン地方裁判所2021年2月18日付決定（526 OWi LG, 212 Js-OWi 1/20）

※5
ドイツ連邦内務省（Bundesministerium des Innern, für Bau und Heimat）「GDPR実施法の評価」（Evaluierung des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680）61頁（2021年10月）、データ保護会議（Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder）2019年4月3日付決議「従業員に対する企業の責任」（Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten）

※6
ベルリン高等裁判所2021年12月6日付決定（3 Ws 250/21）

2022年11月4日