今回は、GDPR違反に対する制裁・損害賠償等について解説します。
【目 次】 (各箇所をクリックすると該当箇所にジャンプします) |
Q1: 違反に対する制裁は?
A1: GDPRには、その違反に対し非常に高額になる可能性がある制裁金(行政制裁金:administrative fines)を課す制度があります。【解 説】
GDPRでは行政制裁金(以下単に「制裁金」という)について以下のように定めています。 監督機関は、管理者または処理者(以下「管理者等」)に対し、GDPRの違反類型に応じ以下の金額を上限とする行政制裁金を課すことができる(58(2)(i), 83)。 (a)1,000万ユーロまたは前会計年度の全世界売上高の2%のいずれか大きい額 (b)2,000万ユーロまたは前会計年度の全世界売上高の4%のいずれか大きい額 (参考) 1,000万ユーロ、2,000万ユーロは、2022年5月29日時点の換算レートで、それぞれ、約13.6億円、約27.3億円。 上記違反類型(関係条文)を含む詳細は後述(Q4)の制裁金ガイドラインに関する解説を参照。 なお、公的機関(public authorities)を制裁金の対象とすべきか否か、および、対象とする場合の範囲は、各加盟国が決定しなければならない(前文150)とされています。Q2: GDPR違反に対するデータ主体の権利は?
A2: 管理者等によるGDPR違反に関しデータ主体は以下のような権利を有しています。 (a)監督機関に苦情を申立てる権利 (b)監督機関の決定または対応に関し法的救済を受ける権利(不服申立) (c)管理者等のGDPR違反に関し法的救済を受ける権利(提訴権) (d)自己の権限行使を団体に委任する権利および同団体独自の権利 (e)損害賠償請求権 以下、各権利に関し解説します。 (a)監督機関に苦情を申立てる権利 (77) データ主体は、自己の個人データの処理がGDPRに違反すると判断(consider)した場合、次のいずれかがある加盟国等の監督機関に対し苦情を申立てる(lodge a complaint )権利を有する(77(1))。 (i)データ主体の常居所(habitual residence)[通常居住している場所] (ii)データ主体の勤務地 (iii)データ主体が、違反行為がなされたと主張する場所 この場合、申立を受けた監督機関は、申立者に対し、次の事項に関し情報提供しなければならない(77(2))。 (i)当該苦情申立への対応の進捗状況(progress)およびその結果 (ii)次の(b)の法的救済 (b)監督機関の決定または対応に関し法的救済を受ける権利 (78) 個人または法人は、自己に関する、監督機関の法的拘束力ある決定(legally binding decision)(*)に不服がある場合、実効性ある法的救済(an effective judicial remedy)を受ける権利を有する(78(1))。 (*) (例)監督機関による、調査、苦情申立の棄却・却下(dismissal or rejection)等(前文143)。 データ主体は、管轄監督機関(55, 56)が、上記(a)の苦情申立に、(i) 対応しない場合、または、(ii) 対応の進捗状況・結果に関しデータ主体に3 か月以内に情報提供しない場合、EU基本権憲章第47条[1]に従い(前文141)実効性(effective)ある法的救済(judicial remedy)を受けることができる(78(2))。 監督機関に対する訴訟は、当該監督機関の所属加盟国の裁判所に提起されなければならない(78(3))。 (c)管理者等のGDPR違反に関し法的救済を受ける権利 (79) データ主体は、管理者等により自己の個人データがGDPRに違反して処理され自己のGDPR上の権利が侵害(infringe)されたと判断する場合、監督機関への苦情申立権を含め、実効性ある法的救済を受ける権利を有する(79(1))。 データ主体は、管理者等に対する訴訟を次のいずれかの裁判所に提起することができる(79(2))。 (i)管理者等が拠点を有する加盟国の裁判所 (ii)データ主体が常居所を有する加盟国の裁判所。但し、管理者等が加盟国の公的機関(public authority)であって処理がその公権力行使に関するものである場合を除く。 (d)権限行使を団体に委任する権利および同団体独自の権利 (80) データ主体は、次の組織・団体または協会(以下「個人データ保護団体」という)に、自己に代わり、上記(a)~(c)の権利行使および次の(e)の損害賠償請求を委任(mandate)することができる(80(1))。 (個人データ保護団体) 加盟国国内法に従い適切に組織され、法令上の公益目的を有し、かつ、個人データ保護に関するデータ主体の権利・自由の保護のため活動する非営利(not-for-profit)組織・団体または協会。 データ主体が個人データ保護団体に委任できる事項には、加盟国国内法で定める場合、データ主体に代わり損害賠償金を受領することが含まれる(前文142)。 加盟国は、個人データ保護団体が、GDPR上のデータ主体の権利がその個人データ処理の結果侵害されたと判断する場合、データ主体からの委任とは別個独立して、当該加盟国内において次の各権利を有することを規定することができる(80(2))。 (i)上記(a)の管轄監督機関に苦情を申し立てる権利 (ii)上記(b)および(c)の権利を行使する権利。 但し、個人データ保護団体は、データ主体に代わり損害賠償金を受領するにはデータ主体の委任を受けなければならない(前文142)。 (e)損害賠償請求権 (82) 何人(any person)も、管理者等によるGDPR違反の結果、物的損害または非物的損害(non-material damage) [精神的損害を含む]を蒙った場合、当該管理者等からその損害の賠償を受ける(receive compensation ...for the damage)権利を有する(82(1))。 管理者は、自己が関与した、GDPR違反の処理から生じた損害を賠償する責任を負う(82(2)第一文)。 処理者は、(i) GDPR上の処理者としての義務 または (ii) 管理者の適法な指示に違反しもしくはその指示範囲外の行為をした場合に限り、自己が関与した、GDPRに違反する処理から生じた損害を賠償する責任を負う(82(2)第二文)。 管理者等は、上記損害の発生に何ら責任がないことを証明(prove)した場合に限り、上記損害賠償責任を免れるものとする(82(3))。 複数の管理者等が同一の処理に関し損害賠償責任を負う場合、各管理者等は、データ主体に対しては、当該損害の全部(entire damage)を賠償する責任を負う(82(4))。 いずれかの管理者等が、データ主体が蒙った損害の全額を賠償した場合、当該管理者等は、同一の処理に関与した他の管理者等に対し、各自の責任に応じ求償する(claim back)権利を有する(82(5))。 損害賠償請求訴訟は、上記(c)のいずれかの裁判所に提起しなければならない(82(6))。Q3: 加盟国独自の制裁は?
A3: GDPRは、加盟国は、第83条の行政制裁金の対象とならない違反行為等、GDPRの違反に対する効果的制裁を法律で定めなければならない(84(1))と定めており、例としては、以下のような加盟国独自の制裁制度があります。 【加盟国独自の制裁の例】 (a)行政的制裁(administrative penalties) :スペイン等 (b)違反行為を犯罪(criminal offences)として刑事処罰: ドイツ、イタリア、英国等 (例)英国の2018年データ保護法(Data Protection Act 2018):データ主体のアクセス権に関し、その対象個人データを故意に改ざん・消去等する行為が犯罪とされている(173)。会社が、その取締役の同意もしくは黙認(connivance)によりまたはその取締役の過失により罪を犯したことが証明された場合、当該取締役の責任も問われる。Q4.制裁金に関するガイドラインは?
A4: 行政制裁金に関しては、制裁金の賦課基準に関して以下のガイドラインがあります。 Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679 )(2017年10月3日最終版確定)(日本の個人情報保護委員会による訳はこちら) 以下に、本ガイドラインの概要を示します。 (1).制裁金賦課の原則 制裁金は、各違反事案に応じ、実効性(effective)、比例性(proportionate)および抑止力(dissuasive)があるものでなければならない(83(1))。 制裁金は、各事案の事情に応じ、警告(warning)、戒告処分(reprimands)、各種命令(order)(58)に加えまたはこれらに代わり課すことができる(83(2)第一文)。 制裁金の賦課の決定およびその金額決定に当たっては、以下の事項を考慮しなければならない(83(2)第二文)(p9~)。 (a)違反の内容、重大性(gravity)および期間:- この場合、処理の内容、範囲または目的ならびに被害を受けたデータ主体の人数およびその被害の程度を考慮する。 (b)軽微な侵害(minor infringement)の場合、制裁金に代え戒告処分(reprimand)を課すことができる(前文148)。 (c)故意による違反かまたは過失による違反か(intentional/willful or negligent)。 (d)データ主体の損害を防止・軽減(mitigate)するために管理者または処理者が講じた措置。 (e)被害軽減のため可能な全ての措置をとるべきであり、そのような責任ある行動(responsible behaviour)(またはその欠如)は、制裁金額の決定上考慮される。 (f)管理者等が講じていた技術的・組織的措置(25,32) (g)過去の違反 (h)被害防止・軽減のための監督機関との協力の度合。 (i)影響を受ける個人データのカテゴリー。 (j)監督機関が違反を知った事情(特に、管理者等からの個人データ侵害通知の有無・内容)。 (k)管理者等が過去に同じ問題で監督機関から処分を受けていた場合、当該処分に対する遵守状況。 (l)監督機関からの報告、是正命令等(58(2))の遵守状況 (m)行動規範(40)または認証メカニズム(42)の遵守状況。 (n)その他当該事案の事情に応じた加重または軽減要素(例:違反から得た経済的利益または回避できた損失)。 [企業のGDPR対策として重要なことは、管理者等が講じていた技術的・組織的措置や、違反発生後の対応・監督機関への協力等の事情が制裁金の金額を左右し得ることであろう。] (2).制裁金の上限 違反した規定(以下の【該当規定】)に応じ、以下の額を上限とする。 なお、以下において、「一事業体」("an undertaking")とは、EU運営条約(Treaty on the Functioning of the European Union)(TFEU)の以下の規定 [EU競争法の主たる根拠規定] に関し、EU司法裁判所(CJEU)が採用する「一事業体」("an undertaking")の概念、すなわち、親会社および関連する全ての子会社から構成される「一経済単位」("an economic unit")を意味する(前文150)。 -TFEU第101条:競争制限的協定および協調的行為 -TFEU第102条:市場支配的地位の濫用 (a)1千万ユーロまたは「一事業体」の場合前会計年度の全世界年間売上高の2%、いずれか高い金額 (83(4)) 【該当規定】 8(情報社会サービス提供に対する子供の同意)/11(識別を要しない処理)/25(バイデザインおよびバイデフォルト)/26(共同管理者)/27(EU域内の代理人)/28(処理者)/29(管理者等の下での処理)/30(処理の記録)/31(監督機関への協力)/32(処理のセキュリティー)/33・34(個人データ侵害通知)/35・36(データ保護影響評価)/37~39(データ保護者)/42・43(データ保護認証) (b) 2千万ユーロまたは「一事業体」の場合前会計年度の全世界年間売上高の4%、いずれか高い金額 (83(5)) 【該当規定】 5(処理の原則:適法性・公正性・透明性、目的による制限、データ最小化、正確性、保存の制限、完全性および秘密性、説明責任)/6(処理の適法性)/7(同意の条件)/9(特別カテゴリーの個人データ)/12~22(データ主体の権利)/44~49(第三国への個人データ移転)/第9章(加盟国国内法上の義務)/58(監督機関の命令不遵守、調査不協力) [ここで、注意を要することは、上記(b) に挙げた条項の対象範囲は非常に広いことである。従って、上記(a)に挙げた条項が問題になる場合は、以下の例のように、同時に上記(b)に挙げた条項も問題になることが多いと思われ、その場合には、結局、次の(4)の通り、(b)のより高い上限が適用される可能性がある。 -(a)の第8条(情報社会サービス提供に対する子供の同意):(b)の第7条(同意の条件) -(a)の第32条(処理のセキュリティー):(b)の第5条(処理の原則:完全性および秘密性、説明責任) ] (3).複数規定に違反した場合の制裁金 管理者等が、故意または過失により、個人データの同一の処理または相互に関連する(linked)処理に関し、GDPRの複数の条項に違反した場合、これに対する行政制裁金の総額は、最も重い(gravest)違反に関し定められる額を上限とする(83(3))。 今回はここまでです。【筆者の最近の個人情報保護関連書籍】
“China Data and Personal Information Laws” 2022/1/31
「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05
『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18
「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24
「中国データ・情報関連法」 2021/9/18
「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10
「中国データセキュリティ法の成立とその概要」2021/06/18
「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月
「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月
「GDPR関連資格CIPP/E準拠 詳説GDPR (上)・ GDPRとCookie規制」 2019年11月
「GDPR関連資格CIPP/E準拠 詳説GDPR (下)・ GDPRとCookie規制」 2019年11月
[2] 【注】 [1] 【EU基本権憲章第47条(実効的な救済と公正な裁判(fair trial)を受ける権利)】 (著者訳) 1. 何人もEU法により保障されている権利および自由が侵害された場合、本条に定める条件に従い、裁判所(tribunal)[CJEUまたは加盟国裁判所]において実効的な(effective)な救済(remedy)を受ける権利を有する。2. 何人も、法により既に設置されている独立した公平な裁判所(an independent and impartial tribunal)により、合理的期間内に公正かつ公開の審理(a fair and public hearing)を受ける権利を有する。何人も、助言、弁護および代理される(advised, defended and represented)権利を有する。3. 司法への実効的アクセスを確保するために必要な範囲内で、十分なリソースを持たない者が法的支援(legal aid)を受けられるようにしなければならない。(参考:EU基本権憲章の原文と解説) 入稲福 智 https://eu-info.jp/r/charter-art47.html [2] ==========【免責条項】
本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。
【筆者プロフィール】 浅井 敏雄 (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)【発表論文・書籍一覧】 |