icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
People 弁護士等紹介

多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。

Publications 著書/論文

当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。

Seminars 講演/セミナー

当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。

Who We Are 事務所紹介

長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。 企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。

SCROLL
TOP
Publications 著書/論文
ニュースレター

個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ~欧州編~

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

著者等
森大樹早川健灘本宥也、Simon Clemens Wegmann(Gleiss Lutz)(共著)
出版社
長島・大野・常松法律事務所
書籍名・掲載誌
NO&T Data Protection Legal Update ~個人情報保護・データプライバシーニュースレター~No.41(2024年2月)
関連情報

本ニュースレターでは、4回にわけて国・地域別に同テーマをご紹介していますので、以下もご参照ください。
No.39(2024年1月)「個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ~日本編~
No.40(2024年2月)「個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ~米国編~
No.42(2024年2月)「個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ~アジア編~

特集
個人情報保護・データプロテクション

業務分野
キーワード
※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

 本ニュースレターでは、4回にわたり、日本米国、欧州、中国を含むアジアという各主要地域について、昨年の個人情報保護・データプライバシーに関する動き(法令改正・当局ガイダンス、当局による執行事例やデータインシデント、生成AIその他注目を集めたトピック)を振り返ると共に、本年の展望をご紹介しています。

1 法令改正・立法(EU)

 EUにおいては、データに関連して従前より多岐にわたる法令改正・立法の動きがありますが、そのうち、2023年の主な法令改正及び立法に関する動向は以下のとおりです。

(1) GDPRに関連する法令改正・立法

① GDPR執行規則案

 GDPR関連では、2023年7月4日に欧州委員会によって、GDPR執行規則案(Proposal for a Regulation laying down additional procedural rules relating to the enforcement of the GDPR)が公表されました。同規則案は、EU各加盟国の監督機関の行政手続を調和させ、監督機関の間での協力に関するルールを合理化することで、複数の監督機関が関与する執行事案のより効率的な処理を促進することを目的とする規則(regulation)※1の案であり、現在、採択に向けて欧州議会及びEU理事会に提出されています。

② 米国への越境移転に関する十分性認定

 2023年7月10日、欧州委員会は、米欧データ・プライバシー・フレームワーク(EU-U.S. Data Privacy Framework、以下「DPF」といいます。)に関する十分性認定を採択しました※2。これにより、EUからDPFに参加している米国企業に対して、十分性認定に依拠して個人データを移転させることが可能になりました。

(2) データに焦点を当てた法令改正・立法

① データガバナンス法

 2023年9月24日にデータガバナンス法(Regulation on European data governance(Data Governance Act))の適用が開始されました。同法は、公共機関が保有するデータの再利用や、データ仲介事業者、公益目的でのデータ利用に関するルールを定める規則です。

② データ法

 2024年の出来事にはなりますが、同年1月11日にデータ法(Regulation on harmonised rules on fair access to and use of data)が発効しました。同法は、IoT機器の普及を踏まえて、データのポータビリティの強化やデータの提供者と受領者の関係を規律するルールの整備により、データの生み出す価値を公平に分配することを目的とする規則で、2025年9月からの適用開始が予定されています。

(3) AI関連の法令改正・立法

① 改正製造物責任指令案

 2023年10月9日に、改正製造物責任指令案(Proposal for a Directive on liability for defective products)について、欧州議会、EU理事会及び欧州委員会の三者協議が開始されました。なお、日本法の下ではハードウェアに組み込まれていないソフトウェアは製造物責任法の適用対象ではありませんが、同指令案では、AIシステムを含むソフトウェアも製造物責任の対象としています。

(4) デジタル市場関連の法令改正・立法

① デジタル市場法(DMA)

 2023年5月2日に、デジタル市場法(DMA)(Regulation on contestable and fair markets in the digital sector(Digital Markets Act))の適用が開始されました。同法は、公正で開かれたデジタル市場を実現することを目的とし、一定の基準を満たすオンラインプラットフォームをゲートキーパーとして指定した上で、ゲートキーパーが遵守すべき義務を規定するものです。ゲートキーパーは、同年9月6日に指定されており、2024年3月6日までに同法上の義務を遵守する必要があります。

② デジタルサービス法(DSA)

 デジタルサービス法(DSA)(Regulation on a Single Market For Digital Services(Digital Services Act)※3が先行して適用される、大規模オンラインプラットフォーム(VLOP: Very Large Online Platforms)及び大規模検索エンジン(VLOSE: Very Large Online Search Engines)として、2024年1月18日現在までに17の事業者、22のサービスが指定されました。同法は、オンラインプラットフォーム等の仲介サービスを対象として、事業者の違法コンテンツへの対策に関する責任等を定め、ユーザーの保護を強化するとともに、サービスの透明性やアカウンタビリティを高める枠組みを提供するものです。本年2月17日からは、全ての対象事業者に対して適用が開始されます。

(5) サイバーセキュリティ関連の法令改正・立法

① 改正ネットワーク及び情報システム指令、重要事業体のレジリエンスに関する指令

 2023年1月16日に、改正ネットワーク及び情報システム指令(NIS2指令)(Directive on measures for a high common level of cybersecurity across the Union)、及び、重要事業体のレジリエンスに関する指令(CER指令)(Directive on the resilience of critical entities)が発効しました。NIS2指令は、サイバーセキュリティリスクの対策に関する措置及び報告義務のベースラインを定める指令(directive)※4、CER指令は、重要事業体のレジリエンスの強化に関する国家戦略の策定や定期的なリスク評価の実施、重要事業体の特定等の加盟国の義務等を定める指令です。EU加盟国は本年10月18日までにNIS2指令及びCER指令に対応する国内法を制定する必要があります。

② 金融セクターに関するデジタル・オペレーショナル・レジリエンス法

 同じく2023年1月16日に、金融セクターに関するデジタル・オペレーショナル・レジリエンス法(DORA)(Regulation on digital operational resilience for the financial sector)も発効しました。DORAは、金融機関のITセキュリティを強化し、深刻なオペレーション上の障害に対する金融セクターのレジリエンスを確保することを目的とした規則で、2025年1月17日からの適用開始が予定されています。

③ サイバー連帯法案

 2023年4月18日に、欧州委員会によって、サイバー連帯法案(Proposal for a Regulation laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cybersecurity threats and incidents)が公表されました。同法案は、重大で大規模なサイバーセキュリティ上の脅威及び攻撃について検知、準備、対応する能力の強化を目的とした規則案であり、現在、採択に向けて欧州議会及びEU理事会に提出されています。

④ サイバーセキュリティ認証スキーム

 さらに、欧州委員会は、本年1月31日に、EUサイバーセキュリティ認証スキーム(EUCC)に関する執行規則(Commission Implementing Regulation laying down rules for the application of Cybersecurity Act as regards the adoption of the European Common Criteria-based cybersecurity certification scheme)を採択しました。同スキームは、セキュリティ関連部品を含むIT製品を対象として、認証に関する手続や脆弱性開示義務等のルールを定めるものです。

2 法令改正・立法(英国)

 2023年の英国における主な法令改正及び立法に関する動向は以下のとおりです。

(1) UK GDPR関連の法令改正・立法

 2023年3月8日には、データ保護・デジタル情報法案(The Data Protection and Digital Information Bill)が議会に提出されました。同法案については、2022年に第一次案が提出されていたものの立法手続が止まっていたところ、改めて第二次案が提出されたものです。同法案は、書類作成やデータ取得時のポップアップを削減し、英国企業の法令遵守のコスト及び負担を軽減すること等を内容としています。

 2023年10月12日には、英国・米国間のデータ保護(十分性)に関する規則(The Data Protection (Adequacy) (United States of America) Regulations 2023)が発効しました。これにより、英国の事業者は、DPFに参加した上で英国への拡張(UK Extension)をしている米国企業に対し、UK GDPRに定める保護措置を講じることなく、個人データを移転することが可能になりました。

(2) AI関連の法令改正・立法

 2023年11月22日には、AI法案(Artificial Intelligence (Regulation) Bill)が議会に提出されました。同法案は、AIに関する政策の調整等を行う当局の設置や、AIに関する規則を制定する閣内大臣の義務等を定めています。

(3) デジタル市場関連の法令改正・立法

 2023年4月25日には、デジタル市場、競争及び消費者法案(Digital Markets, Competition and Consumers Bill)が議会に提出されました。同法案は、競争・市場庁の権限強化、不公正な商行為やサブスクリプション契約に関する消費者保護等を定めるものです。

 2023年10月26日には、オンライン安全法(Online Safety Act 2023)が成立しました。同法はSNS等を運営する対象事業者に対して、違法コンテンツの削除や子どもが有害ないし不適切なコンテンツにアクセスすることを防止する義務等を負わせるものです。

3 当局ガイダンス

 2023年にEU及び英国で採択又はアップデートされた主なガイダンス(ガイドライン、報告書等を含みます)は以下のとおりです。

(1) EU

No. 採択/公表日 タイトル
1. 2月14日 GDPR3条の適用と5章に基づく越境移転に関する規定との相互作用に関するガイドライン(EDPB)
2. 2月14日 越境移転の手段としての認証に関するガイドライン(EDPB)
3. 2月14日 ソーシャルメディアプラットフォームのインターフェースにおける欺瞞的なデザイン・パターンに関するガイドライン(EDPB)
4. 3月28日 Google Analytics及びFacebook Business Toolsの使用に伴う個人データの処理に関するNOYBによる申立てを踏まえたタスクフォースの報告書(EDPB)
5. 3月28日 GDPRに基づく個人データ侵害の通知に関するガイドライン(EDPB)
6. 3月28日 データ管理者又は処理者の主監督機関の特定に関するガイドライン(EDPB)
7. 3月28日 データ主体の権利(アクセス権)に関するガイドライン(EDPB)
8. 5月24日 GDPR65条1項a号の適用に関するガイドライン(EDPB)
9. 5月24日 GDPRに基づく制裁金の算定に関するガイドライン(EDPB)
10. 6月20日 管理者のBCRの承認申請並びに要素及び原則(GDPR47条)に関するレコメンデーション(EDPB)
11. 7月18日 DPFに関する十分性認定の採択を踏まえた、GDPRに基づく米国へのデータの越境移転に関するインフォメーション・ノート(EDPB)
12. 9月13日 NIS2指令3条4項の適用に関するガイドライン(欧州委員会)
13. 10月11日 AIの責任に関する指令案に対する意見(EDPS)
14. 11月14日 eプライバシー指令5条3項の技術的範囲に関するガイドライン(EDPB)

(2) 英国

(3) AI関連(生成AIを含む)

 欧州では、2023年3月30日にイタリアのデータ保護機関(Garante)がChat GPTを運営するOpen AI社に対してデータ処理の一時的な制限を命じた事例が注目を集めましたが※6、2023年は、上記のとおりAIに関するガイダンスが見られ、この他にも、各国のデータ保護機関がAIの使用に関するガイダンスを公表したり※7、EDPBがChat GPTに関するタスクフォースの立上げを発表するといった動きが見られました※8

4 当局による執行事例等

(1) 主な執行事例及び判断

 2023年のEU及び英国における主な執行事例及び判断は以下のとおりです。

No. 日付 データ保護当局 事業者 処分内容
1. 1月4日 アイルランド Meta Platforms Ireland Ltd. 行動ターゲティング広告に関する個人データ処理が法的根拠を欠くとして3億9,000万ユーロの制裁金。
2. 1月19日 アイルランド WhatsApp Ireland Limited サービス改善及びセキュリティに関する個人データ処理が法的根拠を欠くとして550万ユーロの制裁金。
3. 4月4日 イギリス TikTok Information Technologies UK Limited and TikTok Inc 子どものデータの違法な取扱いについて1,270万ポンドの制裁金。
4. 5月22日 アイルランド Meta Platforms Ireland Limited 米国への違法な個人データの移転について12億ユーロの制裁金。
5. 6月9日 イタリア Tim S.p.A(電気通信事業者) マーケティング方法等複数のGDPR違反について763万1,175ユーロの制裁金。
6. 6月13日 スウェーデン Spotify AB 個人データ処理に関する情報提供の不足等について499万2,038ユーロの制裁金。
7. 6月22日 フランス CRITEO(アドテック企業) リターゲティング広告に伴う個人データの処理に関しデータ主体の同意に関する証拠を欠く等として4,000万ユーロの制裁金。
8. 8月30日 スウェーデン Trygg Hansa Försäkring(保険会社) 安全管理措置義務違反について294万5,632ユーロの制裁金。
9. 9月15日 アイルランド TikTok Technology Limited 子どものデータの違法な取扱いについて3億4,500万ユーロの制裁金。
10. 10月5日 クロアチア EOS Matrix doo(債権回収代行業者) 安全管理措置義務違反等について547万ユーロの制裁金。
11. 10月19日 フランス GROUPE CANAL+(メディア企業) マーケティング方法等に関するGDPR違反について60万ユーロの制裁金。
12. 10月23日 イタリア Axpo Italia Spa(電気・ガス供給事業者) 一方的契約に伴う不正確な個人データの処理について1,000万ユーロの制裁金。
13. 10月27日 EDPB Meta Ireland Limited 行動ターゲティング広告における個人データの処理を禁止する旨の緊急の拘束力ある決定を採択。

(2) 主な裁判例

 2023年のEUにおける主な裁判例は以下のとおりです。

No. 日付 裁判所 判旨
1. 1月12日 欧州司法裁判所 GDPR15条(1)(c)に基づき、管理者はデータ主体からの要求に応じて当該管理者が個人データを開示した取得者の身元の情報を提供する義務を負うが、取得者の特定が不可能である場合や、当該要求が明らかに根拠のない又は過剰な性質のものである場合には、取得者の種類の情報の開示で足りる。
2. 2月9日 欧州司法裁判所 各加盟国は、GDPR38条4項に関して、GDPRと適合する範囲でDPOの解任についてDPOをより保護する条項を定めることができる。また、DPOはDPOとしての義務の執行を妨げるような業務を任せられてはならず、特に、DPOはデータ処理活動の目的や方法を決定することを任せられてはならない。
3. 3月2日 欧州司法裁判所 主として税務調査目的で保有していた個人データを含む証拠を民事訴訟手続で提出する場合にもGDPRの適用があり、国内裁判所は、これらの提出を命ずる場合には比例性や最小化の原則を考慮しなければならない。
4. 5月4日 欧州司法裁判所 GDPR82条に基づく損害賠償請求は、GDPR違反だけではなく、被った損害の存在、損害とGDPR違反との因果関係が要件となる。ただし、非財産的損害については、「深刻」(seriousness)であることは損害賠償請求するための要件とはされていない。
5. 10月26日 欧州司法裁判所 個人データのアクセス権の行使があった場合、管理者はGDPR15条及び12条5項に基づき初回のコピーは無償で提供する義務を負い、国内法において管理者の経済的利益を保護するために初回のコピーの提供についてデータ主体に費用を負担させるように定めることはできない。
6. 12月7日 欧州司法裁判所 信用情報機関の信用スコアリングについて、将来の支払いを履行する確率値に係るスコアを受領した第三者が個人との契約関係の成立、履行又は終了に強く利用する(draws strongly)場合には、GDPR22条で一定の例外を除き禁止されている、個人に対する自動化された意思決定に該当する。
7. 12月14日 欧州司法裁判所 GDPR82条に基づく損害賠償請求において、GDPR違反の結果第三者によって行われうる個人データの不正利用についてデータ主体が経験した「恐れ(fear)」は、同条1項の非財産的損害に該当する。

5 2024年の展望

(1) 米国への越境移転に関する十分性認定に関する動向

 DPFに関する十分性認定により、個人データをEUから米国に移転している企業にとっては、DPFを利用することにより、米国に個人データを適法に移転する新たなルートが追加されたといえます。特に、DPFに依拠してEUから米国へと個人データを適法に移転する場合、SCCに依拠する場合と異なり、事業者において高いコストのかかる移転影響評価を実施する必要がないというメリットがあります。

 もっとも、DPFの前身であるプライバシーシールド及びそのさらに前のセーフハーバールールが欧州司法裁判所の判断によって無効化されてきたこともあり、欧州司法裁判所が今回のDPFを無効と判断する可能性が完全に否定されたわけではないため、動向については引き続き注視が必要です※9

(2) 2024年の法令改正・立法

① AI法案

 2024年に見込まれている立法としては、まず、早ければ本年前半に、AI法(AI Act)案(Proposal for a Regulation laying down harmonized rules on artificial intelligence)が正式に採択されることが予想されています。同法案は、AIに関する横断的な法的枠組みを提供することを目的とし、リスクベースアプローチに従って、提供の禁止や、AIが満たすべき一定の要件、提供者の義務等を定める規則案で、2023年12月8日に、欧州議会及びEU理事会が政治的合意に至ったことが発表されています。また、AIについては、上記のとおり2023年に各国のデータ保護機関がAIの使用に関するガイダンスを公表したことなども踏まえると、2024年も引き続きAIについては執行に向けた動きを含めて各国のデータ保護機関の動向について注視が必要といえます。

② サイバーレジリエンス法案

 また、サイバーレジリエンス法(CRA)案(Proposal for a Regulation on horizontal cybersecurity requirements for products with digital elements)も本年前半に発効することが予想されています。同法案は、デジタル要素を含む製品について、そのライフサイクル全体を通じて満たすべきサイバーセキュリティ上の要件を定める規則案で、2023年11月30日に、欧州委員会、EU理事会及び欧州議会が合意に至ったことが発表されています。

③ その他の法案

 その他にも、全てのプラットフォームに対するDSAの適用開始(2月17日)や、DMA上の義務の適用開始(3月6日)、NIS2指令及びCER指令の国内法制定期限(10月18日)が予定されています。

(3) おわりに

 2023年もデータに関連して多岐にわたる法令改正・立法の動きがあり、また、当局からのガイダンスも数多く公表されると共に執行についても積極的に行われ、さらにはGDPRの解釈についての重要な裁判例も出てきています。そして、近時は、技術の発展に伴う個人の権利利益の保護の必要性がますます高まっていることから、2024年もこれらの傾向は続くことが予想されます。このため、企業としては引き続き欧州の動向について注視していくことが重要といえます。

脚注一覧

※1
EUにおける「規則(regulation)」は、加盟国国内法の立法を待つことなく、加盟国の政府や企業、個人に対して直接適用されるルールを意味するものです。

※2
米欧データ・プライバシー・フレームワークの詳細については、個人情報保護・データプライバシーニュースレター2023年8月No.34・米国最新法律情報No.96・欧州最新法律情報No.23(「EUから米国への個人データ越境移転枠組み(EU-U.S. Data Privacy Framework)に対する十分性認定」)及び個人情報保護・データプライバシーニュースレター2024年2月No.40(「個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ~米国編~」)をご参照ください。

※4
EUにおける「指令(directive)」は、加盟国国内法の立法なしに、加盟国の企業や個人に対して直接適用されず、加盟国の政府に対して当該指令に定める政策目標を期限内に達成するための国内立法等の措置を取ることを義務づけるルールを意味するものです。

※5
英国では、2021年9月2日より、子どもの最善の利益を考慮すべきこと等を定める年齢適正デザインコード(Children’s Code)の適用が開始されています。詳細は、個人情報保護・データプライバシーニュースレター2023年6月No.32・米国最新法律情報No.93・欧州最新法律情報No.21(「子どものデータ保護-欧米における国際的な動向」)をご参照ください。

※6
Open AI社が一定の対策を講じたことを受けて、同年4月28日には、イタリア国民によるChat GPTへのアクセスが容認されました。

※7
例えば、ドイツ・バーデン=ヴュルテンベルク州フランススペインイタリアでガイダンスが公表されました。

※8
この他にも、欧州のみに限られるものではありませんが、OECDにおいても、2023年9月18日に生成AIに関する初期的政策の検討が公表されています。

※9
なお、DPFの前身であるプライバシーシールドに関する十分性認定を無効と判断したShrems II判決の原告である、NOYBが2023年7月10日に訴え提起を示唆したものの、現在の状況は明らかではありません。また、Philippe Latombe氏が申し立てたDPFの差止めは、2023年10月12日に欧州司法裁判所によって却下されました。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

テクノロジーに関連する著書/論文

AI・ロボットに関連する著書/論文

サイバーセキュリティに関連する著書/論文

海外業務に関連する著書/論文

ヨーロッパに関連する著書/論文

決定 業務分野を選択
決定