下記のとおりアナウンスされている。
European Commission adopts adequacy decision on Japan, creating the world's largest area of safe data flows
EU News: 23 January, 2019
http://europa.eu/rapid/press-release_IP-19-421_en.htm
「decision」は,「認定」と訳されることが多いが,正確ではない。
欧州委員会による判断の内容を示す場合には「判定」と訳すのが正しいし,採択される法規範形式としては「決定」と訳すのが正しい。特に法規範形式の訳語として「認定」と訳すことは,EUの基本法制に反することになるので禁忌である。EUにおいては,「認定」は,十分性と関連する判断とは全く異なる法的性質をもつ類型の行政行為に限定して用いられる。
私の従前の参考訳においても,試行錯誤があったけれども,その後の徹底した研究成果に基づき,現時点では,「decision」がその内容を示す場合には「判定」と訳し,法規範形式を示す場合には「決定」と訳すことで確定させている。
***
この決定は,確定的かつ恒久的なものではない。
2年後を目途に見直し(review)が実施される。
現時点において,日本国の法制には十分ではない部分があるが,この2年間は,いわば猶予期間であると理解するのが正しい。
この猶予期間の間に,日本国においては,個人情報保護法令の抜本改正を行わなければならないし,自治体においても個人情報保護条例の抜本改正を行わなければならない。
特に重要な点は,原則として,個人情報の取得の前に十分な説明が行われること,その説明を理解した上で事前の同意を得ること,個人データの第三者提供の場合においても事前の同意を得ること,個人情報の同意に関して撤回の権利を設け,同意が撤回された場合には,原則として,全ての個人データが消去されなければならないこと,ビッグデータ分析のような自動的な分析の場合において,本人に対し,そのメカニズムや論理の説明ができなければならないこと,本人から請求があったときは自動的な分析をやめて人間による分析としなければならないことである。
加えて,監督機関が直接に監督権限を行使できる強固な体制を確立しなければならない。その監督権限の行使は,日本国全体で一貫性のとれたものとしなければならないため,自治体の業務を含め個人情報保護委員会によって完全に統括されなければならないこと,権利侵害があった場合の訴訟上の手段を確保することにも留意しなければならない。
この訴訟上の手段の中で重要なのは,個人データの削除請求のための訴訟手続及び執行手続である。特に,忘れられる権利をEUと同等のものとして導入する場合,その執行方法が明確ではないので,民事訴訟法及び民事執行法のかなり大きな改正が必要となる。また,消費者保護関連の団体訴訟を提起できる団体に対し,個人情報保護の関連でも権利をもつことを明確にする法改正が必要となるであろう。
2年の期間の間にこれらの事項について検討し,必要な法改正が実施されなければならない。
他方において,個人情報保護委員会は,EU域内において事業活動を営む企業を対象として,GDPRの完全遵守が必要であることを周知するための活動を徹底的に行う必要性がある。十分性の決定は,「日本とEUとの間で個人データのやりとりをする場合に個別の手続を必要としない」という点に関する保証を与えるものであり,日本国の個人情報保護法だけが適用されるとういうことを全く意味しない。EUとの間における個々の個人データのやりとりについては,EU域内ではEUの法令が全面的かつ完全に適用される。それゆえ,日本国の企業は,日本国内においては日本国の個人情報保護法令を完全に遵守し,かつ,EU域内においてはEU及び構成国の個人データ保護法令を完全に遵守しなければならない。例えば,FacebookやGoogleのような米国企業が米国のプライバシー保護関連法令と判例法を完全に遵守していたとしても,EU域内においてGDPRに違反していると監督機関が判断すれば,EU及び構成国の法令を適用して制裁金が課されるのは,その具体例の1つである。この場合,EUと米国との間のプライバシーシールド協定は,米国の企業が米国の法令及び判例法のみを遵守すれば足りるということを全く保証しておらず,単に,個別の手続を要しないでEUと米国との間での個人データのやりとりが可能であることを保証しているのに過ぎないという点の理解が重要である。
EU及び構成国の個人データ保護法令に違反した場合,かなり巨額の制裁金が課されることがあり,日本国の普通レベルの企業であれば,その制裁金だけで経営破綻を招く危険性があるので,日本国の全ての企業は,その面における法務管理及び経営管理を徹底しなければならない。
GDPRは,個々の企業がGDPRを遵守していることの認証または証明のための手段も定めているので,さしあたっては,日本国の企業は,十分性の決定とは無関係に,それらの認証または証明手段を全面的に導入しそれを遵守することを検討しなければならなくなるであろう。ただし,これらの認証または証明の手段は,EUまたは構成国の監督機関の直接の監督を受けることを当然の前提としているので,日本国の企業は,日本国の個人情報保護委員会の運用指針だけに従っていれば足りると考えてはならない。特に,当該事業所のある構成国の監督制度及び監督機関に関しては,徹底的な調査・研究を要する。
以上が主要な留意点である。
しかし,それだけではないので,今後,法と情報雑誌等を通じて,問題点の指摘を続けようと思う。
最近のコメント