icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
People 弁護士等紹介

多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。

Publications 著書/論文

当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。

Seminars 講演/セミナー

当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。

Who We Are 事務所紹介

長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。 企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。

SCROLL
TOP
Publications 著書/論文
ニュースレター

2022年の振り返りと2023年の展望 ~欧州編~

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

著者等
森大樹早川健灘本宥也(共著)
出版社
長島・大野・常松法律事務所
書籍名・掲載誌
NO&T Data Protection Legal Update ~個人情報保護・データプライバシーニュースレター~No.24(2023年2月)
関連情報

本ニュースレターでは、4回にわけて国・地域別に同テーマをご紹介していますので、以下もご参照ください。
No.21(2023年1月)「2022年の振り返りと2023年の展望 ~日本編~
No.23(2023年2月)「2022年の振り返りと2023年の展望 ~米国編~
No.25(2023年2月)「2022年の振り返りと2023年の展望 ~アジア編~

業務分野
キーワード
※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

 本ニュースレターでは、4回にわけて、日本米国、欧州、中国を含むアジアという各主要地域について、昨年の個人情報保護・データプライバシーに関する動きを振り返ると共に、本年の展望をご紹介しています。

1 法令改正・立法(EU)

 EUにおいては、データに関連して多岐にわたる法令改正・立法の動きがありますが、そのうち、2022年の主な法令改正及び立法に関する動向は以下のとおりです。

(1) データに焦点を当てた法令改正・立法

  • ① データ法案
  • ② EUヘルスデータ空間規則案
  • ③ データガバナンス法

 データ関連分野では、まず、2022年2月23日に欧州委員会によって、データ法案(Proposal for a Regulation on harmonized rules on fair access to and use of data(Data Act))が公表されました。データ法案は、個人データだけでなく産業データを含むデータを対象に、関係者間でデータを共有する際の障害を取り除くための措置を提案する規則(regulation)※1です※2

 2022年5月3日には、欧州委員会によって、EUヘルスデータ空間法案(Proposal for a Regulation on the European Health Data Space)が提案されました。EUヘルスデータ空間法案は、ヘルスデータに対する個人のコントロール及びヘルスデータの利活用を促進するものです。

 さらに、2022年6月23日にはデータガバナンス法(Regulation on European data governance(Data Governance Act))が施行されました。同法は公共機関が保有するデータの再利用や、データ仲介事業者、公益目的でのデータ利用に関するルールを定めるもので、本年9月24日からの適用開始が予定されています。

(2) AI関連の法令改正・立法

  • ① AI責任指令案・製造物責任指令改正案
  • ② AI法案

 AI関連分野では、2022年9月28日に欧州委員会によって、AI責任指令案(Proposal for an Artificial Intelligence Liability Directive(AILD))及び製造物責任指令(Product Liability Directive(PLD))の改正案が公表されました。両指令は、AIに関連する一定の民事上の損害賠償請求における立証上のルール等を定めています※3

 2022年12月6日には、欧州理事会によって、AI法案(Proposal for a Regulation laying down harmonized rules on artificial intelligence(Artificial Intelligence Act))に対する暫定合意(general approach)が採択されました。同法は、AIに関する横断的な法的枠組みを提供することを目的とし、リスクベースアプローチに従って、提供の禁止や、AIが満たすべき一定の要件、提供者の義務等を定めるものです。欧州議会は本年3月末までに決議を行うことを予定しており、早ければ本年中に正式に採択されることが見込まれます。

(3) デジタル市場関連の法令改正・立法

  • ① テロコンテンツ拡散対策規則
  • ② デジタル市場法(DMA)
  • ③ デジタルサービス法(DSA)

 デジタル市場関連分野では、2022年6月7日にテロ関連コンテンツの拡散への対策を目的としたテロコンテンツ拡散対策規則(Regulation on addressing the dissemination of terrorist content online)が施行されました。同規則は、いわゆるオンラインプラットフォーム事業者(条文上は”hosting service provider”)に対して、テロ関連コンテンツを削除する義務等を定めるものです。

 2022年11月1日には、デジタル市場法(Regulation on contestable and fair markets in the digital sector(Digital Markets Act(DMA)))が発効しました。同法は、公正で開かれたデジタル市場を実現することを目的とし、一定の基準を満たすオンラインプラットフォームをゲートキーパーとして指定した上で、ゲートキーパーが遵守すべき義務を規定するものです。適用開始は本年5月2日からの予定です。

 続いて、同月16日にデジタルサービス法(Regulation on a Single Market For Digital Services(Digital Services Act(DSA)))が施行されました。同法は、オンラインプラットフォーム等の仲介サービスを対象として、事業者の違法コンテンツへの対策に関する責任等を定め、ユーザーの保護を強化するとともに、サービスの透明性やアカウンタビリティを高める枠組みを提供するものです。巨大オンラインプラットフォーム(VLOP: Very Large Online Platforms)及び巨大検索エンジン(VLOSE: Very Large Online Search Engines)の義務に関しては本年2月17日から適用が開始され、2024年に全体の適用が開始される予定です。

(4) サイバーセキュリティ関連の法令改正・立法

  • ① サイバーレジリエンス法案
  • ② NIS2指令
  • ③ 重要事業体のレジリエンスに関する指令

 サイバーセキュリティ関連分野では、2022年9月15日に欧州委員会によって、サイバーレジリエンス法案(Proposal for a Regulation on horizontal cybersecurity requirements for products with digital elements(Cyber resilience Act))が提案されました。同法はデジタル要素を含む製品について、そのライフサイクル全体を通じて満たすべきサイバーセキュリティ上の要件を定める規則(regulation)です。

 同年12月14日には、NIS2指令(Directive on measures for a high common level of cybersecurity across the Union(NIS2 Directive))が公表されました。同指令は、サイバーセキュリティリスクの対策に関する措置及び報告義務のベースラインを定めるものです。また、旧NIS指令よりも適用対象が拡大されています。

 さらに、同日には欧州理事会によって、重要事業体のレジリエンスに関する指令案(Directive on the resilience of critical entities)が公表されました。同指令は、重要事業体のレジリエンスの強化に関する国家戦略の策定や定期的なリスク評価の実施、重要事業体の特定等の加盟国の義務等を定めるものです。NIS2指令及び重要事業体のレジリエンスに関する指令の国内法化の期限は2024年10月18日を予定されています。

2 法令改正・立法(英国)

 2022年の英国における主な法令改正及び立法に関する動向は以下のとおりです。英国では、BrexitによるEU離脱後も、UK GDPRにおいてEUのGDPRとほぼ同様のデータ保護に係る規律が適用されていますが、UK GDPR自体についても(1)のような改正の動きがあり、越境移転規制に関しても(2)のように英国特有の契約の雛型が設けられ、さらに、(3)のような個別の分野での立法も検討されているところです。

(1) データ保護・デジタル情報法案

 2022年7月18日には、データ保護・デジタル情報法案(The Data Protection and Digital Information Bill)、いわゆる「データ改革法案」が議会に提出されました。同法は、UK GDPRを含む現行のデータ保護法制を改正し、企業のコンプライアンスの負担の軽減等を図るものです。

(2) IDTA及びSCCアデンダム

 2022年3月21日には、越境移転に係るツールとして、国際移転データ契約(the international data transfer agreement(IDTA))及び欧州委員会の標準契約条項(SCC)へのアデンダム(the international data transfer addendum to the European Commission’s standard contractual clauses for international data transfers(SCCアデンダム))が発効しました。IDTA又はSCCアデンダムは、UK GDPRを遵守した個人データの英国外への適法な移転を可能にするツールとして活用されるものです。なお、2022年9月21日までに欧州委員会のSCCのフォーマットでSCC※4を締結していた事業者は、2024年3月21日までUK GDPR上の越境移転に係るツールとしてそれを使い続けることが可能ですが、その場合であっても、当該期間満了までにIDTA又はSCCアデンダムに切り替えることが必要となります。

(3) オンライン安全法案

 2022年3月17日、オンライン安全法案(Online Safety Bill)が議会に提出されました。同法は、ユーザーがコンテンツを投稿することができるオンラインサービスやSNS、検索エンジンにおけるサービス提供者に対して違法コンテンツの削除や有害コンテンツへのアクセス制限等の義務を定め、子どもを中心としたユーザーの保護を求めるものです。

3 当局ガイダンス

 2022年にEU及び英国で採択又はアップデートされたガイダンス(ガイドライン、レコメンデーション等を含みます)は以下のとおりです。

(1) EU

(2) 英国

4 当局による執行事例等

(1) 主な執行事例及び判断

 EUにおけるGDPR違反に関する執行事例としては、アイルランドのデータ保護当局による2022年9月2日及び同年11月25日のメタ現地法人に対する制裁が、それぞれ4億500万ユーロ(約580億円)、2億6500万ユーロ(約380億円)とその制裁金の高さが注目を集めました。それぞれ子どもの個人データの違法な処理、2019年のデータ流出に関するGDPR違反に対して処分がなされました。

 また、同年8月8日、スペインのデータ保護当局は日本企業の現地子会社に対してGDPRに基づく制裁金を科しました。日系企業に対する処分の公表はこの件が初めてであるとみられています。

 さらに、フランスにおいても、2021年末ではありますが、データ保護当局(CNIL)が、2021年12月31日にGoogle及びそのアイルランド法人に対して合計1億5000万ユーロ、同日Facebookアイルランド法人に対して6000万ユーロ、2022年12月19日に、Microsoftアイルランド法人に対して6000万ユーロの制裁金を科しました。いずれもe-Privacy指令を国内法化した、フランスデータ保護法に基づいて処分がなされました。

 このほか、EU域外への個人データの移転に関して複数のデータ保護当局から判断が示される事例も見られました。2022年2月10日、CNILによる、Google Analyticsによるデータ分析ツールを利用していたウェブサイト運営者に対し、同ツールを利用した米国への個人データの移転がGDPRに違反するとの判断が公表されました。このCNILの判断に前後して、オーストリア、イタリア、デンマークのデータ保護当局も、同様の判断を示しています。また、CNILはこの問題に関して、IPアドレスの処理設定の変更や個人識別子の暗号化等の措置を講じることは十分な解決策とはいえないもののプロキシサーバーの利用が解決策の一つになり得るとの見解を示しました。

(2) 主な裁判例

 EUにおける欧州司法裁判所によって下された主な2022年の裁判例は以下のとおりです。

No. 日付 概要
1. 4月28日判決 消費者保護団体がデータ主体からの授権を受けず、また、具体的な個人に対する権利侵害の主張がない場合に代表訴訟を提起することを認める国内法はGDPRに違反しない
2. 8月1日判決 個人の性的指向を間接的に開示するおそれのある個人データを当局のウェブサイト上で公表することは、センシティブデータ(special categories of personal data)の取扱いに該当する
3. 10月27日判決 データ管理者は、加入者から個人データの削除要求を受けた場合、その旨を検索エンジン運営者に通知するための合理的な措置を講じる必要がある
4. 12月8日判決 個人が検索結果の削除要求をするに際して、リンク先の情報が明らかな誤りであることを立証するに足る証拠を提出した場合には、検索エンジン運営者は当該要求に応じる必要がある

5 注目を集めたトピック及び2023年の展望

(1) 改訂版SCC対応の必要

 EUでは、2021年6月27日から個人データの移転に伴う保護措置である標準契約条項(SCC)の改訂版が発効しています。2022年12月27日をもって改訂前のSCCに基づく契約の保護措置としての効力が期限を迎えたため、改訂前のSCCを利用していた企業は対応を求められました。改訂版SCCでは、いわゆるTransfer Impact Assessment(TIA)を行い書面化することが求められ、また管理者から管理者への越境移転であっても安全管理措置に係る別紙を設けるなどの対応をする必要があります。フランスのCNILも、改定前のSCCの効力が2022年12月27日に期限を迎えることを同月21日付けで改めてそのウェブサイトで示しており、EUにおける各国のデータ保護当局も、各企業における改訂版SCCへの対応状況について注視しているのではないかと思われます。

(2) 米国への十分性認定に関する動向

 また、EUのGDPRに関して、2022年12月13日に、欧州委員会によってEU・米国間のデータ・プライバシー・フレームワークに対する十分性認定のドラフトが公表されました。同フレームワークは、EUから米国への個人データの移転を適法に行うための枠組みで、同年3月25日に、同フレームワークに関して欧州委員会米国政府による基本合意が締結されていたものです。その後、当該基本合意において示された保護措置についてのコミットメントが同年10月7日付けの米国大統領令によって実施され、上記ドラフトの公表に至りました。

 なお、このフレームワークの十分性認定に向けた動きの背景としては、2020年7月16日に、欧州司法裁判所により、従前EUから米国に個人データを適法に移転するための法的枠組みとして依拠されていたプライバシーシールドが無効であると判断されたことがあります。当該判断においては、SCCについては有効であるとされたものの、十分性認定を受けていない国への個人データの移転であって、SCCの内容だけでは移転先国においてEUで要求されるものと同等の個人データ保護水準を確保できない場合は、事業者において補完的措置を講じる必要があるとされました。これにより、米国への個人データの移転の多くについては、SCCに加えて補完的措置を講じる必要が生じました。しかしながら、かかる補完的措置の具体的内容は不明瞭であったため、実務上の混乱が生じていました。上記で紹介したGoogle Analyticsに対する各国のデータ保護当局の判断もそのような混乱を表す一つの出来事であったと考えられます。

 これを踏まえて、米国の新たな枠組みへの十分性認定が正式になされることによって、米国への越境移転に係る補完的措置等に関する対応を含めた混乱が解消されることが期待されています。もっとも、新たな枠組みに対して正式に十分性認定がなされたとしても、将来的に欧州司法裁判所が無効と判断する可能性が完全に否定されるわけではないため、今後も動向を注視する必要があります。

(3) e-privacy 規則の成立に向けた議論の現状

 なお、電子メールやウェブサイト等の電気通信サービスにおけるプライバシーの強化を目的として、e-Privacy規則案が2017年1月に欧州委員会によって提案されていましたが、同規則案に関する立法プロセスは長期にわたっており、本ニュースレター発行時点では未だ成立に至っていません。2021年2月には欧州理事会により修正後の規則案が公表されていますが、依然として欧州議会と欧州委員会の交渉が続いている模様です。

 もっとも、電気通信サービスに関しては、現状では、e-Privacy指令を国内法化した法律が適用されています。e-Privacy指令違反に対する制裁は、GDPRに基づくワンストップショップメカニズムの適用を受けないため、各国のデータ保護当局それぞれによる制裁の対象となる可能性があります。本ニュースレターでもCNILの執行事例を紹介したとおり、高額の制裁金執行事例が見られるところであり、同指令及びその国内法についても引き続き注意が必要です※5

脚注一覧

※1
EUにおける規則は、加盟国国内法の立法を待つことなく、加盟国の政府や企業、個人に対して直接適用されるルールを意味するものです。

※2
データ法案の詳細については、テクノロジー法ニュースレター2022年3月No.10・欧州最新法律情報2022年3月No.7「欧州データ法(Data Act)の法案の公表」をご参照ください。

※3
AI責任指令案及び製造物責任指令の改正案の詳細については、テクノロジー法ニュースレター2022年10月No.28「EUのAI責任指令案・製造物責任指令の改正案の概要」をご参照ください。

※4
後記5(1)で紹介する欧州委員会によって2021年6月27日に改訂される前のSCC。

※5
e-Privacy指令に関して留意すべき事項及びGDPRとの関係の詳細については、欧州最新法律情報2022年11月No.16・個人情報保護・データプライバシーニュースレター2022年11月No.20「GDPRとEU加盟国法との相互関係に関する最新動向 -eプライバシーに関する規律やドイツの事例を題材として-」をご参照ください。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

決定 業務分野を選択
決定