第54回から企業によるGDPR遵守の監督・遵守に関する以下の事項について解説していますが, 今回は以下の(6)に関し解説します。
(1)自己統制と市民による統制
(2)行動規範およびデータ保護認証
(3)監督機関とその権限
(4)欧州データ保護会議 (EDPB)
(5)欧州データ保護監督官(EDPS)
(6)主任監督機関ガイドライン
【目 次】 (各箇所をクリックすると該当箇所にジャンプします) Q4: 「管理者」が複数の加盟国に拠点を有する場合の主任監督機関は? |
Q1: 主任監督機関, 主任監督機関ガイドラインとは?
A1:「主任監督機関」とは, 管理者または処理者よる複数加盟国に関係する個人データの処理等に関し, その管理者・処理者に対する直接の窓口となる監督機関を意味します。「主任監督機関ガイドライン」はその「主任監督機関」を決定する基準等に関し, 監督機関の連合体が定めたガイドラインを意味します。【解 説】
GDPR上, 管理者または処理者(以下「管理者等」)は, 次のように, 監督機関に対する義務を負い, また, 監督機関による措置を受けます。 -管理者の個人データ侵害発生の通知義務(33(1)) -管理者, 処理者, それらの代理人およびDPOの協力義務 (31, 39(1)(d)) -管理者の, データ保護影響評価により高度のリスクが判明した場合の協議義務(36(1))。 -管理者および処理者の, データ保護監督者(DPO)への連絡方法(contact details)の通知義務(37(7)) -監督機関による管理者・処理者に対する制裁金の賦課(83) これらに関し, 監督機関は, それぞれ自国(加盟国)において管轄権を有しています(56(1))。 しかし, 「越境処理」(“cross-border processing”)(4(23)), すなわち, (i) 複数加盟国での処理 または (ii) 複数加盟国に影響が及ぶ処理に関しては, 一定条件の下で, 一つの監督機関が主任監督機関(lead supervisory authority)(56(1))として, 管理者等と直接対応する唯一の担当窓口(sole interlocutor)となります(56(6))。 この場合, 他の関係監督機関(concerned supervisory)(4(22))は主任監督機関の調整のもとで必要な調査等に協力します(60)。 従って, この場合, 管理者等は, 原則として, 上記の義務を主任監督機関に対して履行することになり, 管理者等としても全ての関係監督機関に対応する必要がありません。これをGDPRでは, 「one-stop-shop mechanism」と呼んでいます(前文127)。 この主任監督機関は一定の基準により決定されますが, その基準については, WP29が2016年12月13日に採択し2017年4月5日に最終版が確定した“Guidelines for identifying a controller or processor’s lead supervisory authority”(「管理者又は処理者の主監督機関を特定するためのガイドライン」)(「主任監督機関ガイドライン」)(日本の個情委の原文併記和訳はこちら)が公表されています。Q2: 「越境処理」とは?
A2:以下のいずれかを意味します(4(23))。 (a)管理者または処理者が複数のEU加盟国に拠点(establishments)を有する場合における, 当該複数拠点で行われる個人データの処理。 (b)管理者または処理者のEU域内の唯一の拠点における個人データの処理であるが複数のEU加盟国のデータ主体に実質的影響を及ぼし(substantially affect)または及ぼす可能性がある(likely)場合における当該処理。【解 説】
上記の通り, 管理者等がEU域内に一または複数の拠点を有していることが前提となります。 従って, EU域内に拠点はないが, (i) EU域内の個人向けの商品・サービスの提供 または (ii) EU域内の個人の行動監視によりGDPRの域外適用を受ける場合(3(2))には, 主任監督機関による「ワンストップ・ショップ・メカニズム」(one-stop-shop mechanism)の恩恵を受けることはできません。 この場合, 管理者等は原則としてEU域内の代理人を選任する必要があります(27)が, EU域内に拠点がない以上, 主任監督機関によるワンストップ・ショップ・メカニズムの恩恵を受けることはできず, 全ての関係監督機関に対し対応しなければなりません。 従って, 例えば, EU域内に拠点がない日本企業がEU域内の個人向けに商品・サービスの提供をしている場合, その個人データが漏えいしたときは, 全ての関係加盟国の監督機関に個人データ侵害通知をし, その後の対応も各機関と行う必要があります。Q3: 主任監督機関の決定基準は?
A3: 原則として, 次の各場合に応じ, 次のいずれかの拠点のある加盟国の監督機関が越境処理に関する主任監督機関となります(56(1))。 (i)管理者等がEU域内に複数の拠点を有する場合にはその中で「主たる拠点」(main establishment)に該当する拠点 (ii)管理者等がEU域内に一つの拠点しか有しない場合には その唯一の(single)拠点【解 説】
従って, 例えば, 日本企業のEU域内の拠点が一つしかなければ, その唯一の拠点がある加盟国の監督機関が, その日本企業による, 複数加盟国に関係するデータ保護影響評価(DPIA)や個人データ侵害等に関し協議先, 通知先等となる主任監督機関となります。 EU域内の拠点が複数ある場合は, 「主たる拠点」がある国の監督機関が主任監督機関となりますが, この「主たる拠点」とは, 場合に応じ次のQ4の通りとなります(4(16))。Q4: 「管理者」が複数の加盟国に拠点を有する場合の主任監督機関は?
A4:以下の「主たる拠点」を管轄する監督機関が主任監督機関となります(4(16(a)) (原則)管理者のEU域内の「統括拠点」(central administration)が「主たる拠点」となります。 (例外)上記の統括拠点以外の他のEU域内の拠点が個人データの処理の目的および手段の決定および実施の権限を有する場合は, 当該他の拠点が管理者の「主たる拠点」となります。【解 説】
(i)(原則)管理者のEU域内の統括拠点が「主たる拠点」となる場合 例えば, 日本企業の欧州子会社の事業所, 工場等が複数ある場合, 通常, その本社部門のある国の監督機関が主任監督機関となります。 (ii)(例外)統括拠点以外の他のEU域内の拠点が処理の目的・手段の決定・実施権限を有する場合 本ガイドラインには, 以下のような例が記載されています。 【例】フランクフルト(独)に本社がある銀行が, ウィーン(墺)に保険部門を有しており, 「保険業務」に関してはウィーンの保険部門がEU全体のデータ処理業務の決定およびその実施に関する全権限を有している場合, 保険に係る個人データの処理に関しては, 本社[統括拠点]があるドイツではなく保険部門[その処理の目的・手段の決定・実施権限を有する]があるオーストリアの監督機関が主任監督機関となります。 【統括拠点以外のEU域内のどの拠点が「主たる拠点」に該当するか不明な場合】この場合, 本ガイドラインでは, 「主たる拠点」を決定する判断要素として, 処理の目的および手段についての最終決定(final ‘sign off’)等がどこでなされているかを挙げています。 【処理に関する決定がEU域外でなされている場合】EU域内拠点のいずれも処理に関する決定をしていない(すなわち, 決定が全てEU域外で行われている)場合, 主任監督機関によるワンストップ・ショップ・メカニズムの恩恵を受けることはできません。この恩恵を受けるためには, いずれかの拠点を, 当該決定の実施(implementation)権限を有しかつ当該処理に対して責任を有する「主たる拠点」として指名しなければなりません。 【2019年1月の仏監督機関CNILによる米Googleに対する制裁金決定[1]における主任監督機関に関する判断】 本件では, EU域内向けサービスに関連して行われる個人データ処理について, その目的と方法を決定しているのは, 米Googleであって, その欧州統括拠点たるGoogleアイルランドではないと認定されましました。従って, 米Googleは, 「ワンストップ・ショップ・メカニズム」が適用されるための「主たる拠点」をEU加盟国内に有していないことになります。その結果, 本件処理については関係加盟国の監督機関全てがそれぞれ管轄権を有し(55, 57(1)(f)), 本件のCNILに対する苦情申立についてはCNILに管轄権があるとされましました。なお, この決定は, 2020年6月19日に, フランス最高行政裁判所(Conseil d'Etat)に支持され最終確定しています[2]。 【企業実務への示唆】日本の会社(親会社)がEU域内に一または複数の子会社を有しその内1社を欧州統括子会社としていても, 問題の個人データの処理の目的と方法を決定しているのが親会社であれば, ワンストップ・ショップ・メカニズムの恩恵を受けることはできません。この場合, この恩恵を受けるためには次のいずれかを行わなければなりません。 (i)本ガイドラインに書かれているように当該「決定の実施」権限と当該処理に対する責任をいずれかのEU子会社に移管すること。 (ii)当該「決定」権限自体をEU子会社に移管すること。Q5: 「処理者」が複数の加盟国に拠点を有する場合の主任監督機関は?
A5: 処理者については, そのEU域内の「統括拠点」(central administration)が「主たる拠点」となります。 但し, 処理者が EU域内に統括拠点を有しない場合には, 主な処理業務(main processing activities)が行われるEU域内の拠点が処理者の「主たる拠点」となります。【解 説】
他の者(「管理者」)から処理の委託を受け「処理者」となる場合, その処理の目的等を決定するのは管理者です。従って, 処理者について「主たる拠点」を判断する場合, 上記の管理者の「主たる拠点」の判断基準をそのまま用いることはできないのでGDPR第4条16項(b)で上記の基準が定められています。Q6: 「共同管理者」に関する主任監督機関は?
A6: GDPR上共同管理者の主任監督機関に関する直接的な規定はありません。しかし, 本ガイドラインによれば, 共同管理者(joint controllers)が, 主任監督機関によるone-stop-shop mechanismの恩恵を受けるためには, 共同管理者間の合意で, 共同管理者のいずれが, 共同管理する個人データについて「主たる拠点」としての決定権限を有するかを合意するべきであり, その場合にはその合意された拠点が「主たる拠点」として取り扱われるであろうとされています。【解 説】
複数の管理者が共同して処理の目的および方法を決定する場合, これら管理者を共同管理者(joint controllers)といい, 共同管理者間の合意により各自の責任を定めなければなりません(26)。 GDPR上共同管理者の主任監督機関に関する直接的な規定はありません。しかし, 本ガイドラインによれば, 共同管理者が, 主任監督機関によるone-stop-shop mechanismの恩恵を受けるためには, 共同管理者間の合意で, 共同管理者のいずれが, 共同管理する個人データについて「主たる拠点」としての決定権限を有するかを合意するべきであり, その場合にはその合意された拠点が「主たる拠点」として取り扱われるであろうとされています。[この合意は, 第26条第1項に従い共同管理者間で行われるべき共同管理に関する取決め(arrangement)(一般的には契約)の一項目として行ってもよいでしょう。] 日本企業のEU域内の複数のグループ企業が個人データを一元処理している場合は相互に共同管理者に該当すると思われますが, この場合には, 関係企業間の一元処理に関する契約中で「主たる拠点」となる企業を合意しておく必要があるでしょう。 【(参考)2019年7月:Facebook「いいね(Like)」ボタン事件2019年CJEU先決裁定】 CJEUは, 2019年7月29日の先決裁定[3]で, Webサイト運営者(Fashion ID社)がそのサイトにFacebookの「いいね(Like)」ボタンを埋め込んだ(embed)場合, そのことにより, 次の(i),(ii)のような結果になるようにしただけで, この(i), (ii)のデータの取得・送信について, 両者が共同で処理の目的および手段を決定したものとみなしました。 (i)サイト訪問者のIPアドレスが, その訪問者がFacebookユーザか否かを問わず, 訪問者の知らないままに, 自動的に取得されFacebookに送信されるようにすること。 (ii)サイト訪問者がFacebookユーザで「いいね」ボタンをクリックすると自動的にそのデータがFacebookに送信されること。 その結果, CJEUは, 両者はこの取得・送信について, サイト運営者およびFacebookは「共同管理者」であると認定しました。一方, Facebookが受信した後の処理に関しては, サイト運営者はFacebookと「共同管理者」の関係にないとしました。更に, CJEUは, 次の問題に関し, いずれもサイト運営者が行うべきであるとしました。 (i)サイト運営者またはFacebookのいずれがこの個人データ取得・送信についてデータ主体に情報提供を行うべきか。 (ii)データ主体の同意を処理の根拠をとする場合, いずれがデータ主体から同意を得るべきか。 GDPR第26条により, 共同管理者は, GDPR上の管理者の義務に関し, 各管理者の責任を「取決め」("arrangement")により定めなければなりません。本事件は, データ保護指令時代の違反が問題となった事件であり, 同指令には, GDPR第26条のような明文の規定はなかったものの, 同指令第17条(処理のセキュリティー)等から同様の取決め義務は導き出せたものと思われます。上記のCJEU先決裁定の内容から推測すれば, 本件においては, サイト運営者およびFacebook間で, 上記の個人データの処理についてどちらが「主たる拠点」としての決定権限を有するかは, GDPR施行後も定められていなかったと思われます。そうだとすれば, 本件をGDPR上の事件と仮定した場合には, サイト運営者およびFacebook, いずれも, one-stop-shop mechanism(この制度もデータ保護指令にはなかった)の恩恵を受けることはできなかったものと思われます。Q7: 「管理者」・「処理者」双方が関係する場合の主任監督機関は?
A7: この場合は, 処理者についても, 管理者の主任監督機関が主任監督機関となります。この場合, 処理者の本来の主任監督機関は「関係監督機関」として協力等を行うことになります(前文36)。【解 説】
従って, 処理者が, クラウド・サービス等, 異なる加盟国の複数管理者(ユーザ)にサービスを提供している場合, 処理者の主任監督機関は各管理者の主任監督機関となり, 処理者はこれら全ての管理者の主任監督機関に対応しなければなりません。 例えば, 日本企業のEU域内の複数のグループ企業(委託元)が, その内一社(X社)に個人データ処理を委託していたところ, X社の処理システムがハッキング等された場合には, X社についても, X社のある加盟国の監督機関ではなく委託元各社にとっての主任監督機関が主任監督機関となり, X社はこれら全ての委託元各社の主任監督機関に対応しなければなりません。 今回はここまでです。【筆者の最近の個人情報保護関連書籍】
“China Data and Personal Information Laws” 2022/1/31
「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05
『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18
「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24
「中国データ・情報関連法」 2021/9/18
「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10
「中国データセキュリティ法の成立とその概要」2021/06/18
「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月
「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月
「GDPR関連資格CIPP/E準拠 詳説GDPR (上)・ GDPRとCookie規制」 2019年11月
「GDPR関連資格CIPP/E準拠 詳説GDPR (下)・ GDPRとCookie規制」 2019年11月
[4] 【注】 [1] 【仏CNILによる米Googleへの制裁金決定(2019年1月)】 2019年1月21日, フランスの個人データ保護監督機関CNILは, Google LLC(「米Google」)に対し, GDPR上に基づく(i)透明性(情報提供)要件違反および (ii) ターゲティング広告に関する同意要件違反を認定し, 5,000万ユーロ(約60億円)の制裁金を課す決定をした。(CNILサイト) "The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC" 21 January 2019. (概要)浅井敏雄 「GDPRに基づく米Googleへの制裁金決定 (2019年1月)の概要」 『国際商事法務』 2019年4月号(Vol. 47, No.4) 参照 [2] DÉCISION 19 JUIN 2020 "Conseil d'État, 19 juin 2020, Sanction infligée à Google par la CNIL"(仏語のみ). (英語解説)Hunton Andrews Kurth LLP "French Highest Administrative Court Upholds 50 Million Euro Fine against Google for Alleged GDPR Violations" June 23, 2020 [3] 【Facebook「いいね(Like)」ボタン事件2019年CJEU先決裁定】 決定本文 CJEUのプレスリリース [4]==========
【免責条項】
本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。
【筆者プロフィール】 浅井 敏雄 (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)【発表論文・書籍一覧】 |