森大樹 Oki Mori
パートナー
東京
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
本ニュースレターでは、4回にわけて国・地域別に同テーマをご紹介していますので、以下もご参照ください。
No.39(2024年1月)「個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ~日本編~」
No.40(2024年2月)「個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ~米国編~」
No.42(2024年2月)「個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ~アジア編~」
ニュースレター
<AI Update> 「欧州AI法」の概要と日本企業の実務対応(2024年6月)
EUにおいては、データに関連して従前より多岐にわたる法令改正・立法の動きがありますが、そのうち、2023年の主な法令改正及び立法に関する動向は以下のとおりです。
GDPR関連では、2023年7月4日に欧州委員会によって、GDPR執行規則案(Proposal for a Regulation laying down additional procedural rules relating to the enforcement of the GDPR)が公表されました。同規則案は、EU各加盟国の監督機関の行政手続を調和させ、監督機関の間での協力に関するルールを合理化することで、複数の監督機関が関与する執行事案のより効率的な処理を促進することを目的とする規則(regulation)※1の案であり、現在、採択に向けて欧州議会及びEU理事会に提出されています。
2023年7月10日、欧州委員会は、米欧データ・プライバシー・フレームワーク(EU-U.S. Data Privacy Framework、以下「DPF」といいます。)に関する十分性認定を採択しました※2。これにより、EUからDPFに参加している米国企業に対して、十分性認定に依拠して個人データを移転させることが可能になりました。
2023年9月24日にデータガバナンス法(Regulation on European data governance(Data Governance Act))の適用が開始されました。同法は、公共機関が保有するデータの再利用や、データ仲介事業者、公益目的でのデータ利用に関するルールを定める規則です。
2024年の出来事にはなりますが、同年1月11日にデータ法(Regulation on harmonised rules on fair access to and use of data)が発効しました。同法は、IoT機器の普及を踏まえて、データのポータビリティの強化やデータの提供者と受領者の関係を規律するルールの整備により、データの生み出す価値を公平に分配することを目的とする規則で、2025年9月からの適用開始が予定されています。
2023年10月9日に、改正製造物責任指令案(Proposal for a Directive on liability for defective products)について、欧州議会、EU理事会及び欧州委員会の三者協議が開始されました。なお、日本法の下ではハードウェアに組み込まれていないソフトウェアは製造物責任法の適用対象ではありませんが、同指令案では、AIシステムを含むソフトウェアも製造物責任の対象としています。
2023年5月2日に、デジタル市場法(DMA)(Regulation on contestable and fair markets in the digital sector(Digital Markets Act))の適用が開始されました。同法は、公正で開かれたデジタル市場を実現することを目的とし、一定の基準を満たすオンラインプラットフォームをゲートキーパーとして指定した上で、ゲートキーパーが遵守すべき義務を規定するものです。ゲートキーパーは、同年9月6日に指定されており、2024年3月6日までに同法上の義務を遵守する必要があります。
デジタルサービス法(DSA)(Regulation on a Single Market For Digital Services(Digital Services Act))※3が先行して適用される、大規模オンラインプラットフォーム(VLOP: Very Large Online Platforms)及び大規模検索エンジン(VLOSE: Very Large Online Search Engines)として、2024年1月18日現在までに17の事業者、22のサービスが指定されました。同法は、オンラインプラットフォーム等の仲介サービスを対象として、事業者の違法コンテンツへの対策に関する責任等を定め、ユーザーの保護を強化するとともに、サービスの透明性やアカウンタビリティを高める枠組みを提供するものです。本年2月17日からは、全ての対象事業者に対して適用が開始されます。
2023年1月16日に、改正ネットワーク及び情報システム指令(NIS2指令)(Directive on measures for a high common level of cybersecurity across the Union)、及び、重要事業体のレジリエンスに関する指令(CER指令)(Directive on the resilience of critical entities)が発効しました。NIS2指令は、サイバーセキュリティリスクの対策に関する措置及び報告義務のベースラインを定める指令(directive)※4、CER指令は、重要事業体のレジリエンスの強化に関する国家戦略の策定や定期的なリスク評価の実施、重要事業体の特定等の加盟国の義務等を定める指令です。EU加盟国は本年10月18日までにNIS2指令及びCER指令に対応する国内法を制定する必要があります。
同じく2023年1月16日に、金融セクターに関するデジタル・オペレーショナル・レジリエンス法(DORA)(Regulation on digital operational resilience for the financial sector)も発効しました。DORAは、金融機関のITセキュリティを強化し、深刻なオペレーション上の障害に対する金融セクターのレジリエンスを確保することを目的とした規則で、2025年1月17日からの適用開始が予定されています。
2023年4月18日に、欧州委員会によって、サイバー連帯法案(Proposal for a Regulation laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cybersecurity threats and incidents)が公表されました。同法案は、重大で大規模なサイバーセキュリティ上の脅威及び攻撃について検知、準備、対応する能力の強化を目的とした規則案であり、現在、採択に向けて欧州議会及びEU理事会に提出されています。
さらに、欧州委員会は、本年1月31日に、EUサイバーセキュリティ認証スキーム(EUCC)に関する執行規則(Commission Implementing Regulation laying down rules for the application of Cybersecurity Act as regards the adoption of the European Common Criteria-based cybersecurity certification scheme)を採択しました。同スキームは、セキュリティ関連部品を含むIT製品を対象として、認証に関する手続や脆弱性開示義務等のルールを定めるものです。
2023年の英国における主な法令改正及び立法に関する動向は以下のとおりです。
2023年3月8日には、データ保護・デジタル情報法案(The Data Protection and Digital Information Bill)が議会に提出されました。同法案については、2022年に第一次案が提出されていたものの立法手続が止まっていたところ、改めて第二次案が提出されたものです。同法案は、書類作成やデータ取得時のポップアップを削減し、英国企業の法令遵守のコスト及び負担を軽減すること等を内容としています。
2023年10月12日には、英国・米国間のデータ保護(十分性)に関する規則(The Data Protection (Adequacy) (United States of America) Regulations 2023)が発効しました。これにより、英国の事業者は、DPFに参加した上で英国への拡張(UK Extension)をしている米国企業に対し、UK GDPRに定める保護措置を講じることなく、個人データを移転することが可能になりました。
2023年11月22日には、AI法案(Artificial Intelligence (Regulation) Bill)が議会に提出されました。同法案は、AIに関する政策の調整等を行う当局の設置や、AIに関する規則を制定する閣内大臣の義務等を定めています。
2023年4月25日には、デジタル市場、競争及び消費者法案(Digital Markets, Competition and Consumers Bill)が議会に提出されました。同法案は、競争・市場庁の権限強化、不公正な商行為やサブスクリプション契約に関する消費者保護等を定めるものです。
2023年10月26日には、オンライン安全法(Online Safety Act 2023)が成立しました。同法はSNS等を運営する対象事業者に対して、違法コンテンツの削除や子どもが有害ないし不適切なコンテンツにアクセスすることを防止する義務等を負わせるものです。
2023年にEU及び英国で採択又はアップデートされた主なガイダンス(ガイドライン、報告書等を含みます)は以下のとおりです。
| No. | 採択/公表日 | タイトル |
|---|---|---|
| 1. | 2月14日 | GDPR3条の適用と5章に基づく越境移転に関する規定との相互作用に関するガイドライン(EDPB) |
| 2. | 2月14日 | 越境移転の手段としての認証に関するガイドライン(EDPB) |
| 3. | 2月14日 | ソーシャルメディアプラットフォームのインターフェースにおける欺瞞的なデザイン・パターンに関するガイドライン(EDPB) |
| 4. | 3月28日 | Google Analytics及びFacebook Business Toolsの使用に伴う個人データの処理に関するNOYBによる申立てを踏まえたタスクフォースの報告書(EDPB) |
| 5. | 3月28日 | GDPRに基づく個人データ侵害の通知に関するガイドライン(EDPB) |
| 6. | 3月28日 | データ管理者又は処理者の主監督機関の特定に関するガイドライン(EDPB) |
| 7. | 3月28日 | データ主体の権利(アクセス権)に関するガイドライン(EDPB) |
| 8. | 5月24日 | GDPR65条1項a号の適用に関するガイドライン(EDPB) |
| 9. | 5月24日 | GDPRに基づく制裁金の算定に関するガイドライン(EDPB) |
| 10. | 6月20日 | 管理者のBCRの承認申請並びに要素及び原則(GDPR47条)に関するレコメンデーション(EDPB) |
| 11. | 7月18日 | DPFに関する十分性認定の採択を踏まえた、GDPRに基づく米国へのデータの越境移転に関するインフォメーション・ノート(EDPB) |
| 12. | 9月13日 | NIS2指令3条4項の適用に関するガイドライン(欧州委員会) |
| 13. | 10月11日 | AIの責任に関する指令案に対する意見(EDPS) |
| 14. | 11月14日 | eプライバシー指令5条3項の技術的範囲に関するガイドライン(EDPB) |
| No. | 公表日 | タイトル |
|---|---|---|
| UK GDPR関連 | ||
| 1. | 5月24日 | データ主体のアクセス要求に関する従業員向けQ&A |
| 2. | 6月19日 | プライバシー強化技術(PETs)に関するガイダンス |
| 3. | 10月3日 | 従業員のモニタリングに関するガイダンス |
| 4. | 12月12日 | 雇用記録の保存に関するガイダンス案 |
| 5. | 12月12日 | 採用・選考に関するガイダンス案 |
| AI関連 | ||
| 6. | 3月15日 | AI及びデータ保護に関するガイダンス |
| 7. | 3月29日 | ホワイトペーパー「AI規制に対するプロ・イノベーション・アプローチ」 |
| 8. | 4月3日 | 生成AIに関する留意点 |
| 子どもの権利保護関連※5 | ||
| 9. | 2月16日 | 「Children’s Code」の遵守に関するゲームデザイナー向けガイドライン |
| 10. | 7月 | 子どもに「アクセスされる可能性が高い」の解釈に関するガイダンス |
欧州では、2023年3月30日にイタリアのデータ保護機関(Garante)がChat GPTを運営するOpen AI社に対してデータ処理の一時的な制限を命じた事例が注目を集めましたが※6、2023年は、上記のとおりAIに関するガイダンスが見られ、この他にも、各国のデータ保護機関がAIの使用に関するガイダンスを公表したり※7、EDPBがChat GPTに関するタスクフォースの立上げを発表するといった動きが見られました※8。
2023年のEU及び英国における主な執行事例及び判断は以下のとおりです。
| No. | 日付 | データ保護当局 | 事業者 | 処分内容 |
|---|---|---|---|---|
| 1. | 1月4日 | アイルランド | Meta Platforms Ireland Ltd. | 行動ターゲティング広告に関する個人データ処理が法的根拠を欠くとして3億9,000万ユーロの制裁金。 |
| 2. | 1月19日 | アイルランド | WhatsApp Ireland Limited | サービス改善及びセキュリティに関する個人データ処理が法的根拠を欠くとして550万ユーロの制裁金。 |
| 3. | 4月4日 | イギリス | TikTok Information Technologies UK Limited and TikTok Inc | 子どものデータの違法な取扱いについて1,270万ポンドの制裁金。 |
| 4. | 5月22日 | アイルランド | Meta Platforms Ireland Limited | 米国への違法な個人データの移転について12億ユーロの制裁金。 |
| 5. | 6月9日 | イタリア | Tim S.p.A(電気通信事業者) | マーケティング方法等複数のGDPR違反について763万1,175ユーロの制裁金。 |
| 6. | 6月13日 | スウェーデン | Spotify AB | 個人データ処理に関する情報提供の不足等について499万2,038ユーロの制裁金。 |
| 7. | 6月22日 | フランス | CRITEO(アドテック企業) | リターゲティング広告に伴う個人データの処理に関しデータ主体の同意に関する証拠を欠く等として4,000万ユーロの制裁金。 |
| 8. | 8月30日 | スウェーデン | Trygg Hansa Försäkring(保険会社) | 安全管理措置義務違反について294万5,632ユーロの制裁金。 |
| 9. | 9月15日 | アイルランド | TikTok Technology Limited | 子どものデータの違法な取扱いについて3億4,500万ユーロの制裁金。 |
| 10. | 10月5日 | クロアチア | EOS Matrix doo(債権回収代行業者) | 安全管理措置義務違反等について547万ユーロの制裁金。 |
| 11. | 10月19日 | フランス | GROUPE CANAL+(メディア企業) | マーケティング方法等に関するGDPR違反について60万ユーロの制裁金。 |
| 12. | 10月23日 | イタリア | Axpo Italia Spa(電気・ガス供給事業者) | 一方的契約に伴う不正確な個人データの処理について1,000万ユーロの制裁金。 |
| 13. | 10月27日 | EDPB | Meta Ireland Limited | 行動ターゲティング広告における個人データの処理を禁止する旨の緊急の拘束力ある決定を採択。 |
2023年のEUにおける主な裁判例は以下のとおりです。
| No. | 日付 | 裁判所 | 判旨 |
|---|---|---|---|
| 1. | 1月12日 | 欧州司法裁判所 | GDPR15条(1)(c)に基づき、管理者はデータ主体からの要求に応じて当該管理者が個人データを開示した取得者の身元の情報を提供する義務を負うが、取得者の特定が不可能である場合や、当該要求が明らかに根拠のない又は過剰な性質のものである場合には、取得者の種類の情報の開示で足りる。 |
| 2. | 2月9日 | 欧州司法裁判所 | 各加盟国は、GDPR38条4項に関して、GDPRと適合する範囲でDPOの解任についてDPOをより保護する条項を定めることができる。また、DPOはDPOとしての義務の執行を妨げるような業務を任せられてはならず、特に、DPOはデータ処理活動の目的や方法を決定することを任せられてはならない。 |
| 3. | 3月2日 | 欧州司法裁判所 | 主として税務調査目的で保有していた個人データを含む証拠を民事訴訟手続で提出する場合にもGDPRの適用があり、国内裁判所は、これらの提出を命ずる場合には比例性や最小化の原則を考慮しなければならない。 |
| 4. | 5月4日 | 欧州司法裁判所 | GDPR82条に基づく損害賠償請求は、GDPR違反だけではなく、被った損害の存在、損害とGDPR違反との因果関係が要件となる。ただし、非財産的損害については、「深刻」(seriousness)であることは損害賠償請求するための要件とはされていない。 |
| 5. | 10月26日 | 欧州司法裁判所 | 個人データのアクセス権の行使があった場合、管理者はGDPR15条及び12条5項に基づき初回のコピーは無償で提供する義務を負い、国内法において管理者の経済的利益を保護するために初回のコピーの提供についてデータ主体に費用を負担させるように定めることはできない。 |
| 6. | 12月7日 | 欧州司法裁判所 | 信用情報機関の信用スコアリングについて、将来の支払いを履行する確率値に係るスコアを受領した第三者が個人との契約関係の成立、履行又は終了に強く利用する(draws strongly)場合には、GDPR22条で一定の例外を除き禁止されている、個人に対する自動化された意思決定に該当する。 |
| 7. | 12月14日 | 欧州司法裁判所 | GDPR82条に基づく損害賠償請求において、GDPR違反の結果第三者によって行われうる個人データの不正利用についてデータ主体が経験した「恐れ(fear)」は、同条1項の非財産的損害に該当する。 |
DPFに関する十分性認定により、個人データをEUから米国に移転している企業にとっては、DPFを利用することにより、米国に個人データを適法に移転する新たなルートが追加されたといえます。特に、DPFに依拠してEUから米国へと個人データを適法に移転する場合、SCCに依拠する場合と異なり、事業者において高いコストのかかる移転影響評価を実施する必要がないというメリットがあります。
もっとも、DPFの前身であるプライバシーシールド及びそのさらに前のセーフハーバールールが欧州司法裁判所の判断によって無効化されてきたこともあり、欧州司法裁判所が今回のDPFを無効と判断する可能性が完全に否定されたわけではないため、動向については引き続き注視が必要です※9。
2024年に見込まれている立法としては、まず、早ければ本年前半に、AI法(AI Act)案(Proposal for a Regulation laying down harmonized rules on artificial intelligence)が正式に採択されることが予想されています。同法案は、AIに関する横断的な法的枠組みを提供することを目的とし、リスクベースアプローチに従って、提供の禁止や、AIが満たすべき一定の要件、提供者の義務等を定める規則案で、2023年12月8日に、欧州議会及びEU理事会が政治的合意に至ったことが発表されています。また、AIについては、上記のとおり2023年に各国のデータ保護機関がAIの使用に関するガイダンスを公表したことなども踏まえると、2024年も引き続きAIについては執行に向けた動きを含めて各国のデータ保護機関の動向について注視が必要といえます。
また、サイバーレジリエンス法(CRA)案(Proposal for a Regulation on horizontal cybersecurity requirements for products with digital elements)も本年前半に発効することが予想されています。同法案は、デジタル要素を含む製品について、そのライフサイクル全体を通じて満たすべきサイバーセキュリティ上の要件を定める規則案で、2023年11月30日に、欧州委員会、EU理事会及び欧州議会が合意に至ったことが発表されています。
その他にも、全てのプラットフォームに対するDSAの適用開始(2月17日)や、DMA上の義務の適用開始(3月6日)、NIS2指令及びCER指令の国内法制定期限(10月18日)が予定されています。
2023年もデータに関連して多岐にわたる法令改正・立法の動きがあり、また、当局からのガイダンスも数多く公表されると共に執行についても積極的に行われ、さらにはGDPRの解釈についての重要な裁判例も出てきています。そして、近時は、技術の発展に伴う個人の権利利益の保護の必要性がますます高まっていることから、2024年もこれらの傾向は続くことが予想されます。このため、企業としては引き続き欧州の動向について注視していくことが重要といえます。
※1
EUにおける「規則(regulation)」は、加盟国国内法の立法を待つことなく、加盟国の政府や企業、個人に対して直接適用されるルールを意味するものです。
※2
米欧データ・プライバシー・フレームワークの詳細については、個人情報保護・データプライバシーニュースレター2023年8月No.34・米国最新法律情報No.96・欧州最新法律情報No.23(「EUから米国への個人データ越境移転枠組み(EU-U.S. Data Privacy Framework)に対する十分性認定」)及び個人情報保護・データプライバシーニュースレター2024年2月No.40(「個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ~米国編~」)をご参照ください。
※3
関連する規則として、VLOEP及びVLOSEに対する監督費用に関する委任規則(Commission Delegated Regulation supplementing DSA with the detailed methodologies and procedures regarding the supervisory fees charged by the Commission on providers of very large online platforms and very large online search engines)、VLOEP及びVLOSEに対する調査及び執行に関する執行規則(Commission Implementing Regulation on detailed arrangements for the conduct of certain proceedings by the Commission pursuant to DSA)、並びに、透明性報告に関する規則(Draft implementing regulation laying down templates concerning the transparency reporting obligations of providers of intermediary services and of providers of online platforms under DSA)が制定・公表されています。
※4
EUにおける「指令(directive)」は、加盟国国内法の立法なしに、加盟国の企業や個人に対して直接適用されず、加盟国の政府に対して当該指令に定める政策目標を期限内に達成するための国内立法等の措置を取ることを義務づけるルールを意味するものです。
※5
英国では、2021年9月2日より、子どもの最善の利益を考慮すべきこと等を定める年齢適正デザインコード(Children’s Code)の適用が開始されています。詳細は、個人情報保護・データプライバシーニュースレター2023年6月No.32・米国最新法律情報No.93・欧州最新法律情報No.21(「子どものデータ保護-欧米における国際的な動向」)をご参照ください。
※6
Open AI社が一定の対策を講じたことを受けて、同年4月28日には、イタリア国民によるChat GPTへのアクセスが容認されました。
※7
例えば、ドイツ・バーデン=ヴュルテンベルク州、フランス、スペイン、イタリアでガイダンスが公表されました。
※8
この他にも、欧州のみに限られるものではありませんが、OECDにおいても、2023年9月18日に生成AIに関する初期的政策の検討が公表されています。
※9
なお、DPFの前身であるプライバシーシールドに関する十分性認定を無効と判断したShrems II判決の原告である、NOYBが2023年7月10日に訴え提起を示唆したものの、現在の状況は明らかではありません。また、Philippe Latombe氏が申し立てたDPFの差止めは、2023年10月12日に欧州司法裁判所によって却下されました。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
(2025年4月)
関口朋宏(共著)
殿村桂司、松﨑由晃(共著)
逵本麻佑子、内海裕也、木原慧人アンドリュー(共著)
(2025年3月)
関口朋宏(共著)
東崎賢治、羽鳥貴広、近藤正篤(共著)
(2025年4月)
殿村桂司、小松諒、糸川貴視、大野一行(共著)
(2025年4月)
関口朋宏(共著)
殿村桂司、松﨑由晃(共著)
東崎賢治、羽鳥貴広、近藤正篤(共著)
殿村桂司、松﨑由晃(共著)
犬島伸能、中村彰男(共著)
商事法務 (2025年4月)
長島・大野・常松法律事務所 農林水産・食品プラクティスチーム(編)、笠原康弘、宮城栄司、宮下優一、渡邉啓久、鳥巣正憲、岡竜司、伊藤伸明、近藤亮作、羽鳥貴広、田澤拓海、松田悠、灘本宥也、三浦雅哉、水野奨健(共編著)、福原あゆみ(執筆協力)
東崎賢治、羽鳥貴広、近藤正篤(共著)
(2025年3月)
工藤靖、今野由紀子、犬飼貴之(共著)
(2025年3月)
鈴木明美、松宮優貴(共著)
(2025年2月)
殿村桂司、小松諒、今野由紀子、松宮優貴(共著)
(2025年4月)
関口朋宏(共著)
殿村桂司、松﨑由晃(共著)
大久保涼、伊佐次亮介、小山田柚香(共著)
服部薫、塚本宏達、近藤亮作(共著)
(2025年4月)
関口朋宏(共著)
福原あゆみ
殿村桂司、今野由紀子、丸田颯人(共著)
(2025年3月)
関口朋宏(共著)
