欧州連合理事会がGDPR評価・見直し意見、EU代理人設置義務不履行の指摘も


欧州連合理事会がEU一般データ保護規則(GDPR)評価・見直し意見、EU代理人設置義務不履行の指摘も

2019年12月19日、欧州連合理事会は欧州委員会に対し、同委員会が欧州議会に提出するGDPRの評価・見直しに関する理事会採択意見を公式レターで通知した。

欧州連合理事会は、欧州連合加盟各国の閣僚級の代表により構成される欧州連合の内部組織で、EU加盟国間の国益調整、ヨーロッパの立法や政策の調整・決定の中心的機関である。欧州委員会はヨーロッパの政策立案や政策執行を担当する。GDPR第97条は、2020年5月25日までに(以後4年毎)欧州委員会が欧州議会に対して、GDPRの評価及び見直しに関する報告書を提出することを定めている。同条では、特に第5章(データの第三国・国際機関への移転)と第7章(加盟国感の協力及び一貫性)について、特にその適用と有効性を検討するとしている。

欧州連合理事会意見の中で、欧州域外の管理者・処理者に関連する部分の概要を以下に示す。

1 全般意見
GDPR第40条により、産業セクターに特化した行動指針を作成することは、GDPRの適切な適用に貢献する。このような行動指針は、子供の個人データの保護や、健康情報の処理などの課題に特に注意が向けられるものになる。行動指針の作成を促す手段がより多く、より広範囲に開発されるべきである。
新技術の出現が、データ保護だけでなく他の基本的権利の保護にとって新しい課題を提示している。それらは特にビッグデータ、人工知能とそのアルゴリズム、IoT、ブロックチェーン技術に関連するものである。また、顔認証技術、新しいプロファイリング技術、ディープフェイク技術(注:一見して情報改ざんとは認知できないフェイク技術)も該当する。技術の進歩とGDPRの関係について、ヨーロッパ全体で向上的に監視・評価することが必要である。

2 第三国を含む個人データの国際移転
世界レベルで新たなデータ保護のフレームワークが整備されていることに留意する。
十分性認定は個人データの国際移転における重要な要素であるが、定期的な見直しが求められる。
GDPR第5章で定められる個人データの国際移転の安全措置に加え、企業拘束規則(BCR)や、監督機関等の承認を受けた行動指針など、各産業セクターの個別ニーズを満たす安全確保措置も有効である。
SCCは旧データ保護指令時から内容が変更されておらず、近い将来にその見直しと改訂が求められる。

3 協力と一貫性
GDPRは加盟国に対し、一定の範囲でGDPRの施行を補完するための国内法制定の余地を認めている。例えばGDPR第8条で、子供を対象とした情報社会サービスの提供のための個人データの処理について、親権者の同意を伴った子供の同意が有効とされる年齢は、加盟各国が13歳から16歳の範囲で設定できる。
加盟各国の国内法の相違について決定的な結論を出すのは時期尚早であるが、複数の加盟各国の国内法がGDPR遵守上、管理者や処理者にどのように影響するかを理解することは有意義である。

4 民間セクターのための新たな義務
GDPRは、中小企業(SME)に対して一定の適用緩和条件(従業員数制限など)を規定しているが、実際にその条件が適用できるケースは少ない。
GDPR遵守は中小企業にとって大きな行政上の負担となっており、加盟国からは中小企業事業者の不満が伝えられている。
GDPR第33条が規定する、データ侵害発生時の監督機関への報告義務についても、ヨーロッパ全体で報告数が膨大になっており、これが管理者と監督機関の双方にとって業務の増加を引き起こしている。
中小事業者がより実践的にGDPR遵守対応できる手段を整備する必要がある。

5 EU域内に拠点を有しない管理者及び処理者の義務
EU域内に拠点を持たない管理者及び処理者はヨーロッパ代理人を設置する義務があるが、それが十分に果たされていない。代理人設置義務に該当する管理者や処理者でも、設置していないケースが存在する。
EU代理人の個人データ処理記録の整備義務や、管理者等がGDPRを遵守しない場合のEU代理人の責任について、EDPBによるガイダンスを歓迎する。

今回提示された意見は、欧州委員会による評価・見直し報告書作成準備のための事前的なものであり、その内容全てが採用されるとは限らないものの、政策決定機関からの意見提示であることから、その多くが反映されると考えられる。特にSCCの見直しや、EU代理人の設置義務、EU代理人の義務の明確化は、将来的な義務の厳格化や、これまで整備した業務プロセスや法定書類の見直しに繋がる可能性があるため、今後のGDPR見直しの議論を注視する必要がある。また、行動指針に関する言及が多いことから、行動指針を通じて管理者と処理者が積極的にGDPRを遵守する態勢を整備することが、今後重視される可能性がある。

Council position and findings on the application of the General Data Protection Regulation (GDPR) – Adoption
https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-1/en/pdf

関連記事