ジョーンズ・デイ・アラート:EUおよび米国によるプライバシー・シールドの内容の公表
プライバシー・シールドは、EUおよび米国の政策立案者間でのパーソナル・データに関するセーフ・ハーバー・プログラム(以下「セーフ・ハーバー」といいます。)に代わる制度をつくるための長期間にわたる交渉の結果、2016年2月29日に、その詳細が公表されました。セーフ・ハーバーは、適法にEUのパーソナル・データを米国へ移動させるための、4000を超える企業が採用する、広く浸透していた制度でしたが、2015年10月、欧州司法裁判所により無効とされました。このため、セーフ・ハーバーに代わる制度を創設することが求められていました。
プライバシー・シールドは、セーフ・ハーバーにおける、毎年の「自己認証」制を維持する一方で、他の多くの点において、旧来の制度とは大きく異なるシステムを採用しています。以下、EUと米国との間でパーソナル・データの移動を行う企業が従うこととなるプライバシー・シールドの重要な点をいくつか紹介します。
プライバシー・シールド遵守の宣言
プライバシー・シールドは、セーフ・ハーバーに規定されていた7つのプライバシー原則を洗練させ、強化しています。プライバシー・シールドに参加する企業は、たとえ、企業内部における従業員のデータの移動のみを予定している場合であったとしても、プライバシーポリシーを改訂してプライバシー原則を反映させ、それを公表しなければなりません。
選択と第三者への開示
企業は、パーソナル・データが第三者に開示され、または、取得時の目的と大きく異なる目的もしくはダイレクトマーケティング目的で使用がされるときは、データ主体がオプト・アウトするための適切な手続きを提供しなければなりません。また、セーフ・ハーバーと同様、参加企業は、機微(センシティブ)情報を第三者と共有し、または収集時と異なった目的で使用するときは、データ主体の明示的同意を取得する必要があります。
第三者への移転
プライバシー・シールドは、企業に対し、限定され、特定された目的のみにデータの処理を制限することを義務付ける契約をパーソナル・データの提供先である受領者(データコントローラまたはデータプロセサーであるかどうかを問わない)と締結することを要求しています。さらに、企業は、プライバシー・シールドで要求されるプライバシー保護と最低限同程度のプライバシー保護をデータ受領者が実行していることを確認し、承認されない処理を是正するためのポリシーを確立する必要があります。プライバシー・シールドが適用される企業は、データ受領者による情報処理に関する潜在的な責任を負うことになります。
セキュリティ
パーソナル・データの紛失、誤用、権限のないアクセス、削除、開示を防止するための、関連するリスクとパーソナル・データの性質を考慮した合理的で適切なデータセキュリティ措置が要求されています。
データの完全性および目的の制限
プライバシー・シールドに参加する企業は、プライバシー・シールドから離脱したか否かに関わらず、パーソナル・データを保有している限り、プライバシー・シールドの原則に従わなければなりません。
アクセス
企業は、パーソナル・データの主体がパーソナル・データにアクセスし、是正、修正、削除の請求をすることができる適切な制度を構築しなければなりません。
不服申立て、実行、責任
企業はパーソナル・データの主体からの不服申立てに対して45日以内に応答する制度を構築し、また、未解決の申立てについて、それらを解決し救済手段を与えるための独立した紛争処理組織を設置しなければなりません。EUにおけるパーソナル・データの主体は、各国のデータ保護当局に対して、自己のデータの処理をしているプライバシー・シールド参加企業について、不服申立てをすることも可能です。各国のデータ保護当局は、それらの請求を調査するために、米国商務省および連邦取引委員会と調整をすることになります。最後の手段として、EUにおけるパーソナル・データの主体は、米国において、参加企業に対し、プライバシー・シールド委員会の面前での拘束力のある仲裁に付託することを要求することができます。委員会は、プライバシー原則違反に対する救済のために非金銭的な救済措置を課す権限を有しています。
プライバシー・シールドは、明らかになった米国政府の行き過ぎた監視への懸念を和らげる旨の米国政府の明文の保証も含んでいます。最も注目すべき点は、プライバシー・シールドが、米国政府がパーソナル・データにアクセスするかもしれないというEU市民の懸念を調査する新たなオンブズマンを米国に設置したことです。
プライバシー・シールドは、未だ法的な強制力や効力はなく、また、現在その施行は法的に確実なものではありません。2016年4月13日、EU の全てのデータ保護当局の代表者で構成するEUデータ保護指令第29条の作業部会がプライバシー・シールドの条項について徹底的に検討したオピニオンを公表しました。企業側の問題としては、作業部会は、データの保持に関する明確な規制の不足を問題視し、また、第三者提供により、EUのパーソナル・データの第三国の受領者がプライバシー・シールドの下で要求されるのと同程度の保護を行うかどうかという点が不確実であると認められることを問題視しました。作業部会は、また、現在EU市民に付与されている多様な是正措置が複雑すぎることに懸念を表明し、代わりに各国のデータ保護当局をEU市民による米国におけるパーソナル・データの処理に関する不服申し立て窓口とすることを提言しました。さらに、米国政府の監視の問題については、作業部会は、米国政府の明文の保証によっても、米国政府によるEUのパーソナル・データの「大量かつ無差別の収集」がなくなるかどうかという点に疑問を有しています。
作業部会のオピニオンに拘束力はありませんが、現在の条件でプライバシー・シールドを確定させ、採用するかについての欧州委員会の決定に大きな影響を与えることになると考えられます。欧州委員会は、6月に最終決定を公表することを予定しています。
プライバシー・シールドは、セーフ・ハーバーにおける、毎年の「自己認証」制を維持する一方で、他の多くの点において、旧来の制度とは大きく異なるシステムを採用しています。以下、EUと米国との間でパーソナル・データの移動を行う企業が従うこととなるプライバシー・シールドの重要な点をいくつか紹介します。
プライバシー・シールド遵守の宣言
プライバシー・シールドは、セーフ・ハーバーに規定されていた7つのプライバシー原則を洗練させ、強化しています。プライバシー・シールドに参加する企業は、たとえ、企業内部における従業員のデータの移動のみを予定している場合であったとしても、プライバシーポリシーを改訂してプライバシー原則を反映させ、それを公表しなければなりません。
選択と第三者への開示
企業は、パーソナル・データが第三者に開示され、または、取得時の目的と大きく異なる目的もしくはダイレクトマーケティング目的で使用がされるときは、データ主体がオプト・アウトするための適切な手続きを提供しなければなりません。また、セーフ・ハーバーと同様、参加企業は、機微(センシティブ)情報を第三者と共有し、または収集時と異なった目的で使用するときは、データ主体の明示的同意を取得する必要があります。
第三者への移転
プライバシー・シールドは、企業に対し、限定され、特定された目的のみにデータの処理を制限することを義務付ける契約をパーソナル・データの提供先である受領者(データコントローラまたはデータプロセサーであるかどうかを問わない)と締結することを要求しています。さらに、企業は、プライバシー・シールドで要求されるプライバシー保護と最低限同程度のプライバシー保護をデータ受領者が実行していることを確認し、承認されない処理を是正するためのポリシーを確立する必要があります。プライバシー・シールドが適用される企業は、データ受領者による情報処理に関する潜在的な責任を負うことになります。
セキュリティ
パーソナル・データの紛失、誤用、権限のないアクセス、削除、開示を防止するための、関連するリスクとパーソナル・データの性質を考慮した合理的で適切なデータセキュリティ措置が要求されています。
データの完全性および目的の制限
プライバシー・シールドに参加する企業は、プライバシー・シールドから離脱したか否かに関わらず、パーソナル・データを保有している限り、プライバシー・シールドの原則に従わなければなりません。
アクセス
企業は、パーソナル・データの主体がパーソナル・データにアクセスし、是正、修正、削除の請求をすることができる適切な制度を構築しなければなりません。
不服申立て、実行、責任
企業はパーソナル・データの主体からの不服申立てに対して45日以内に応答する制度を構築し、また、未解決の申立てについて、それらを解決し救済手段を与えるための独立した紛争処理組織を設置しなければなりません。EUにおけるパーソナル・データの主体は、各国のデータ保護当局に対して、自己のデータの処理をしているプライバシー・シールド参加企業について、不服申立てをすることも可能です。各国のデータ保護当局は、それらの請求を調査するために、米国商務省および連邦取引委員会と調整をすることになります。最後の手段として、EUにおけるパーソナル・データの主体は、米国において、参加企業に対し、プライバシー・シールド委員会の面前での拘束力のある仲裁に付託することを要求することができます。委員会は、プライバシー原則違反に対する救済のために非金銭的な救済措置を課す権限を有しています。
プライバシー・シールドは、明らかになった米国政府の行き過ぎた監視への懸念を和らげる旨の米国政府の明文の保証も含んでいます。最も注目すべき点は、プライバシー・シールドが、米国政府がパーソナル・データにアクセスするかもしれないというEU市民の懸念を調査する新たなオンブズマンを米国に設置したことです。
プライバシー・シールドは、未だ法的な強制力や効力はなく、また、現在その施行は法的に確実なものではありません。2016年4月13日、EU の全てのデータ保護当局の代表者で構成するEUデータ保護指令第29条の作業部会がプライバシー・シールドの条項について徹底的に検討したオピニオンを公表しました。企業側の問題としては、作業部会は、データの保持に関する明確な規制の不足を問題視し、また、第三者提供により、EUのパーソナル・データの第三国の受領者がプライバシー・シールドの下で要求されるのと同程度の保護を行うかどうかという点が不確実であると認められることを問題視しました。作業部会は、また、現在EU市民に付与されている多様な是正措置が複雑すぎることに懸念を表明し、代わりに各国のデータ保護当局をEU市民による米国におけるパーソナル・データの処理に関する不服申し立て窓口とすることを提言しました。さらに、米国政府の監視の問題については、作業部会は、米国政府の明文の保証によっても、米国政府によるEUのパーソナル・データの「大量かつ無差別の収集」がなくなるかどうかという点に疑問を有しています。
作業部会のオピニオンに拘束力はありませんが、現在の条件でプライバシー・シールドを確定させ、採用するかについての欧州委員会の決定に大きな影響を与えることになると考えられます。欧州委員会は、6月に最終決定を公表することを予定しています。
