森大樹 Oki Mori
パートナー
東京
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
本ニュースレターでは、4回にわけて国・地域別に同テーマをご紹介していますので、以下もご参照ください。
No.21(2023年1月)「2022年の振り返りと2023年の展望 ~日本編~」
No.23(2023年2月)「2022年の振り返りと2023年の展望 ~米国編~」
No.25(2023年2月)「2022年の振り返りと2023年の展望 ~アジア編~」
EUにおいては、データに関連して多岐にわたる法令改正・立法の動きがありますが、そのうち、2022年の主な法令改正及び立法に関する動向は以下のとおりです。
データ関連分野では、まず、2022年2月23日に欧州委員会によって、データ法案(Proposal for a Regulation on harmonized rules on fair access to and use of data(Data Act))が公表されました。データ法案は、個人データだけでなく産業データを含むデータを対象に、関係者間でデータを共有する際の障害を取り除くための措置を提案する規則(regulation)※1です※2。
2022年5月3日には、欧州委員会によって、EUヘルスデータ空間法案(Proposal for a Regulation on the European Health Data Space)が提案されました。EUヘルスデータ空間法案は、ヘルスデータに対する個人のコントロール及びヘルスデータの利活用を促進するものです。
さらに、2022年6月23日にはデータガバナンス法(Regulation on European data governance(Data Governance Act))が施行されました。同法は公共機関が保有するデータの再利用や、データ仲介事業者、公益目的でのデータ利用に関するルールを定めるもので、本年9月24日からの適用開始が予定されています。
AI関連分野では、2022年9月28日に欧州委員会によって、AI責任指令案(Proposal for an Artificial Intelligence Liability Directive(AILD))及び製造物責任指令(Product Liability Directive(PLD))の改正案が公表されました。両指令は、AIに関連する一定の民事上の損害賠償請求における立証上のルール等を定めています※3。
2022年12月6日には、欧州理事会によって、AI法案(Proposal for a Regulation laying down harmonized rules on artificial intelligence(Artificial Intelligence Act))に対する暫定合意(general approach)が採択されました。同法は、AIに関する横断的な法的枠組みを提供することを目的とし、リスクベースアプローチに従って、提供の禁止や、AIが満たすべき一定の要件、提供者の義務等を定めるものです。欧州議会は本年3月末までに決議を行うことを予定しており、早ければ本年中に正式に採択されることが見込まれます。
デジタル市場関連分野では、2022年6月7日にテロ関連コンテンツの拡散への対策を目的としたテロコンテンツ拡散対策規則(Regulation on addressing the dissemination of terrorist content online)が施行されました。同規則は、いわゆるオンラインプラットフォーム事業者(条文上は”hosting service provider”)に対して、テロ関連コンテンツを削除する義務等を定めるものです。
2022年11月1日には、デジタル市場法(Regulation on contestable and fair markets in the digital sector(Digital Markets Act(DMA)))が発効しました。同法は、公正で開かれたデジタル市場を実現することを目的とし、一定の基準を満たすオンラインプラットフォームをゲートキーパーとして指定した上で、ゲートキーパーが遵守すべき義務を規定するものです。適用開始は本年5月2日からの予定です。
続いて、同月16日にデジタルサービス法(Regulation on a Single Market For Digital Services(Digital Services Act(DSA)))が施行されました。同法は、オンラインプラットフォーム等の仲介サービスを対象として、事業者の違法コンテンツへの対策に関する責任等を定め、ユーザーの保護を強化するとともに、サービスの透明性やアカウンタビリティを高める枠組みを提供するものです。巨大オンラインプラットフォーム(VLOP: Very Large Online Platforms)及び巨大検索エンジン(VLOSE: Very Large Online Search Engines)の義務に関しては本年2月17日から適用が開始され、2024年に全体の適用が開始される予定です。
サイバーセキュリティ関連分野では、2022年9月15日に欧州委員会によって、サイバーレジリエンス法案(Proposal for a Regulation on horizontal cybersecurity requirements for products with digital elements(Cyber resilience Act))が提案されました。同法はデジタル要素を含む製品について、そのライフサイクル全体を通じて満たすべきサイバーセキュリティ上の要件を定める規則(regulation)です。
同年12月14日には、NIS2指令(Directive on measures for a high common level of cybersecurity across the Union(NIS2 Directive))が公表されました。同指令は、サイバーセキュリティリスクの対策に関する措置及び報告義務のベースラインを定めるものです。また、旧NIS指令よりも適用対象が拡大されています。
さらに、同日には欧州理事会によって、重要事業体のレジリエンスに関する指令案(Directive on the resilience of critical entities)が公表されました。同指令は、重要事業体のレジリエンスの強化に関する国家戦略の策定や定期的なリスク評価の実施、重要事業体の特定等の加盟国の義務等を定めるものです。NIS2指令及び重要事業体のレジリエンスに関する指令の国内法化の期限は2024年10月18日を予定されています。
2022年の英国における主な法令改正及び立法に関する動向は以下のとおりです。英国では、BrexitによるEU離脱後も、UK GDPRにおいてEUのGDPRとほぼ同様のデータ保護に係る規律が適用されていますが、UK GDPR自体についても(1)のような改正の動きがあり、越境移転規制に関しても(2)のように英国特有の契約の雛型が設けられ、さらに、(3)のような個別の分野での立法も検討されているところです。
2022年7月18日には、データ保護・デジタル情報法案(The Data Protection and Digital Information Bill)、いわゆる「データ改革法案」が議会に提出されました。同法は、UK GDPRを含む現行のデータ保護法制を改正し、企業のコンプライアンスの負担の軽減等を図るものです。
2022年3月21日には、越境移転に係るツールとして、国際移転データ契約(the international data transfer agreement(IDTA))及び欧州委員会の標準契約条項(SCC)へのアデンダム(the international data transfer addendum to the European Commission’s standard contractual clauses for international data transfers(SCCアデンダム))が発効しました。IDTA又はSCCアデンダムは、UK GDPRを遵守した個人データの英国外への適法な移転を可能にするツールとして活用されるものです。なお、2022年9月21日までに欧州委員会のSCCのフォーマットでSCC※4を締結していた事業者は、2024年3月21日までUK GDPR上の越境移転に係るツールとしてそれを使い続けることが可能ですが、その場合であっても、当該期間満了までにIDTA又はSCCアデンダムに切り替えることが必要となります。
2022年3月17日、オンライン安全法案(Online Safety Bill)が議会に提出されました。同法は、ユーザーがコンテンツを投稿することができるオンラインサービスやSNS、検索エンジンにおけるサービス提供者に対して違法コンテンツの削除や有害コンテンツへのアクセス制限等の義務を定め、子どもを中心としたユーザーの保護を求めるものです。
2022年にEU及び英国で採択又はアップデートされたガイダンス(ガイドライン、レコメンデーション等を含みます)は以下のとおりです。
No. | 採択日 | タイトル |
---|---|---|
1. | 1月18日 | データ主体の権利(アクセス権)に関するガイドライン |
2. | 2月22日 | 越境移転の手段としての行動規範に関するガイドライン |
3. | 3月14日 | GDPR第60条の適用に関するガイドライン |
4. | 3月14日 | ソーシャルメディアプラットフォームのインターフェースにおけるダークパターン(認識と回避の方法)に関するガイドライン |
5. | 5月12日 | GDPRに基づく制裁金の算定に関するガイドライン |
6. | 5月12日 | 法執行分野における顔認識技術の使用に関するガイドライン |
7. | 5月12日 | 友好的な解決(amicable settlements)の実務上の運用に関するガイドライン |
8. | 6月14日 | 越境移転の手段としての認証に関するガイドライン |
9. | 10月10日 | データ管理者又は処理者の主監督機関の特定に関するガイドライン |
10. | 10月10日 | GDPRに基づく個人データ侵害の通知に関するガイドライン |
11. | 11月14日 | 管理者のBCRの承認申請並びに要素及び原則(GDPR第47条)に関するレコメンデーション |
No. | 公表日 | タイトル |
---|---|---|
1. | 9月7日 | プライバシー強化技術に関するガイドライン案 |
2. | 10月12日 | 勤務中のモニタリングに関するガイダンス案 |
3. | 10月22日 | 従業員の健康情報に関するガイダンス案 |
4. | 11月17日 | 越境移転に関するガイダンス(更新版) |
5. | 12月5日 | ダイレクトマーケティングに関するガイダンス |
EUにおけるGDPR違反に関する執行事例としては、アイルランドのデータ保護当局による2022年9月2日及び同年11月25日のメタ現地法人に対する制裁が、それぞれ4億500万ユーロ(約580億円)、2億6500万ユーロ(約380億円)とその制裁金の高さが注目を集めました。それぞれ子どもの個人データの違法な処理、2019年のデータ流出に関するGDPR違反に対して処分がなされました。
また、同年8月8日、スペインのデータ保護当局は日本企業の現地子会社に対してGDPRに基づく制裁金を科しました。日系企業に対する処分の公表はこの件が初めてであるとみられています。
さらに、フランスにおいても、2021年末ではありますが、データ保護当局(CNIL)が、2021年12月31日にGoogle及びそのアイルランド法人に対して合計1億5000万ユーロ、同日Facebookアイルランド法人に対して6000万ユーロ、2022年12月19日に、Microsoftアイルランド法人に対して6000万ユーロの制裁金を科しました。いずれもe-Privacy指令を国内法化した、フランスデータ保護法に基づいて処分がなされました。
このほか、EU域外への個人データの移転に関して複数のデータ保護当局から判断が示される事例も見られました。2022年2月10日、CNILによる、Google Analyticsによるデータ分析ツールを利用していたウェブサイト運営者に対し、同ツールを利用した米国への個人データの移転がGDPRに違反するとの判断が公表されました。このCNILの判断に前後して、オーストリア、イタリア、デンマークのデータ保護当局も、同様の判断を示しています。また、CNILはこの問題に関して、IPアドレスの処理設定の変更や個人識別子の暗号化等の措置を講じることは十分な解決策とはいえないもののプロキシサーバーの利用が解決策の一つになり得るとの見解を示しました。
EUにおける欧州司法裁判所によって下された主な2022年の裁判例は以下のとおりです。
No. | 日付 | 概要 |
---|---|---|
1. | 4月28日判決 | 消費者保護団体がデータ主体からの授権を受けず、また、具体的な個人に対する権利侵害の主張がない場合に代表訴訟を提起することを認める国内法はGDPRに違反しない |
2. | 8月1日判決 | 個人の性的指向を間接的に開示するおそれのある個人データを当局のウェブサイト上で公表することは、センシティブデータ(special categories of personal data)の取扱いに該当する |
3. | 10月27日判決 | データ管理者は、加入者から個人データの削除要求を受けた場合、その旨を検索エンジン運営者に通知するための合理的な措置を講じる必要がある |
4. | 12月8日判決 | 個人が検索結果の削除要求をするに際して、リンク先の情報が明らかな誤りであることを立証するに足る証拠を提出した場合には、検索エンジン運営者は当該要求に応じる必要がある |
EUでは、2021年6月27日から個人データの移転に伴う保護措置である標準契約条項(SCC)の改訂版が発効しています。2022年12月27日をもって改訂前のSCCに基づく契約の保護措置としての効力が期限を迎えたため、改訂前のSCCを利用していた企業は対応を求められました。改訂版SCCでは、いわゆるTransfer Impact Assessment(TIA)を行い書面化することが求められ、また管理者から管理者への越境移転であっても安全管理措置に係る別紙を設けるなどの対応をする必要があります。フランスのCNILも、改定前のSCCの効力が2022年12月27日に期限を迎えることを同月21日付けで改めてそのウェブサイトで示しており、EUにおける各国のデータ保護当局も、各企業における改訂版SCCへの対応状況について注視しているのではないかと思われます。
また、EUのGDPRに関して、2022年12月13日に、欧州委員会によってEU・米国間のデータ・プライバシー・フレームワークに対する十分性認定のドラフトが公表されました。同フレームワークは、EUから米国への個人データの移転を適法に行うための枠組みで、同年3月25日に、同フレームワークに関して欧州委員会と米国政府による基本合意が締結されていたものです。その後、当該基本合意において示された保護措置についてのコミットメントが同年10月7日付けの米国大統領令によって実施され、上記ドラフトの公表に至りました。
なお、このフレームワークの十分性認定に向けた動きの背景としては、2020年7月16日に、欧州司法裁判所により、従前EUから米国に個人データを適法に移転するための法的枠組みとして依拠されていたプライバシーシールドが無効であると判断されたことがあります。当該判断においては、SCCについては有効であるとされたものの、十分性認定を受けていない国への個人データの移転であって、SCCの内容だけでは移転先国においてEUで要求されるものと同等の個人データ保護水準を確保できない場合は、事業者において補完的措置を講じる必要があるとされました。これにより、米国への個人データの移転の多くについては、SCCに加えて補完的措置を講じる必要が生じました。しかしながら、かかる補完的措置の具体的内容は不明瞭であったため、実務上の混乱が生じていました。上記で紹介したGoogle Analyticsに対する各国のデータ保護当局の判断もそのような混乱を表す一つの出来事であったと考えられます。
これを踏まえて、米国の新たな枠組みへの十分性認定が正式になされることによって、米国への越境移転に係る補完的措置等に関する対応を含めた混乱が解消されることが期待されています。もっとも、新たな枠組みに対して正式に十分性認定がなされたとしても、将来的に欧州司法裁判所が無効と判断する可能性が完全に否定されるわけではないため、今後も動向を注視する必要があります。
なお、電子メールやウェブサイト等の電気通信サービスにおけるプライバシーの強化を目的として、e-Privacy規則案が2017年1月に欧州委員会によって提案されていましたが、同規則案に関する立法プロセスは長期にわたっており、本ニュースレター発行時点では未だ成立に至っていません。2021年2月には欧州理事会により修正後の規則案が公表されていますが、依然として欧州議会と欧州委員会の交渉が続いている模様です。
もっとも、電気通信サービスに関しては、現状では、e-Privacy指令を国内法化した法律が適用されています。e-Privacy指令違反に対する制裁は、GDPRに基づくワンストップショップメカニズムの適用を受けないため、各国のデータ保護当局それぞれによる制裁の対象となる可能性があります。本ニュースレターでもCNILの執行事例を紹介したとおり、高額の制裁金執行事例が見られるところであり、同指令及びその国内法についても引き続き注意が必要です※5。
※1
EUにおける規則は、加盟国国内法の立法を待つことなく、加盟国の政府や企業、個人に対して直接適用されるルールを意味するものです。
※2
データ法案の詳細については、テクノロジー法ニュースレター2022年3月No.10・欧州最新法律情報2022年3月No.7「欧州データ法(Data Act)の法案の公表」をご参照ください。
※3
AI責任指令案及び製造物責任指令の改正案の詳細については、テクノロジー法ニュースレター2022年10月No.28「EUのAI責任指令案・製造物責任指令の改正案の概要」をご参照ください。
※4
後記5(1)で紹介する欧州委員会によって2021年6月27日に改訂される前のSCC。
※5
e-Privacy指令に関して留意すべき事項及びGDPRとの関係の詳細については、欧州最新法律情報2022年11月No.16・個人情報保護・データプライバシーニュースレター2022年11月No.20「GDPRとEU加盟国法との相互関係に関する最新動向 -eプライバシーに関する規律やドイツの事例を題材として-」をご参照ください。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
鈴木明美、松宮優貴(共著)
(2024年11月)
殿村桂司、水越政輝、武原宇宙、河野ひとみ(共著)
(2024年11月)
長谷川良和