プライバシー法の研究者として、近年は「忘れられる権利」に関する発信や著作でも目立っていらっしゃった宮下紘先生による、「額に汗」の結晶ともいうべき一冊。





このタイミングで、EU・米国・日本のプライバシー法に詳しい専門家によるGDPRの日本語訳と逐条解説が読めるというだけでもありがたいわけですが、本書の見どころは、これまでに発生したEU各国におけるプライバシー紛争の判決やガイドライン等が徹底的に集められている点にこそあります

GDPRには、約20年にわたり積み重ねられてきたEUデータ保護指令における経験が反映されている。GDPR適用後も、従来通りに個人データの実務を行うに過ぎず、特に国内に大きな変化が生じるわけではないとドイツの専門家がしばしば口にするのはそのことを示している。GDPRを理解し、これに対応するためには、単にGDPRの条文を見るだけでなく、20年間以上にわたり蓄積されたEUと加盟国のデータ保護の実務も同時に理解する必要があろう。（P380-381）

あとがきでもこのように述べられているように、逐条解説部分ではGDPRの翻訳とポイントを適示するにとどめるなど著者独自の解釈は控えめに、



各条文ごとに、EUデータ保護指令時代からの各国での法令、判決、ガイドラインでの言及等が、著者の手によって細やかに収集されています。



上記の同意の条件に関する部分の他にも、何を読んでも抽象的な記述にとどまり要件がはっきりしないDPO選任における専門性要件の水準について、

• ハンガリー　「情報決定権および情報公開に関する法律」第24条
• ルクセンブルク　「個人データの処理に係る個人の保護に関する法律」第40条7項、9項

といったところまで収集し、その基準の参考情報を示してくださっています。ここまで網羅している文献は本書以外には見当たりません。

これまで出版されたGDPR本は、情報の取得→利用→管理→漏洩対応といった企業における実務フローに沿ってGDPRを解説する文献がほとんどでした。これはビジネスを組み立てていくフェーズや各論で緊急を要する場合には大変役に立つものです。一方で、具体的な法的イシューについて深く検討する際のデータベースとしての情報の検索性や網羅性という観点では、やはり本書のような逐条で整理された書籍に軍配が上がります。

言うなればGDPR版の判例六法プロフェッショナル＆コンメンタールであり、結果的にEUプライバシー法全体のリファレンスブックにもなっている本書。GDPRが適用されない限定的な事業を行っている企業に在籍していたとしても、プライバシーに関わる業務を担う法務パーソンには欠かせない一冊となるでしょう。


それにしても、翻訳書を含めた憲法・プライバシー分野の刊行物では、勁草書房さんのご活躍がずば抜けて目立っているように思います。インターネット分野で長年飯を食うものとして大いに助けていただいており、感謝しきりです。
　

　
NBLでクラウドサービスについての法律問題の連載が始まっていますが、977号の第２回 個人情報保護法制の記事で、他のクラウド本ではあまり突っ込んだ言及がされていない「EUデータ保護指令」および規制のさらなる強化を図る「2012/1/25制定新規則案」の域外への情報移転規制がクラウドサービスに及ぼす影響について記述がありました。

他の文献・記事・論稿と併せて整理し、自分の勉強・備忘のためにポイントをメモしておきたいと思います。この辺の日本のクラウド・webサービス事業者さんのスルーっぷりがちょっと気になってたりもするもので・・・。

「EUデータ保護指令」による個人情報移転規制

EU域内の企業がEU域外の国に個人データを移転する際は、移転先の国が欧州委員会の定めるadequate level of protectionを確保していなければならない。

現時点では主要国では以下の国がこのadequate level of protectionを満たしているという十分性認定を受けている。
・スイス
・カナダ
・アルゼンチン
・米国（※セーフハーバールールによる）
※　日本は満たしていない。
※　本稿には言及がないが、その他ガーンジー、マン島、ジャージー、フェロー諸島、オーストラリアの一部が十分性を認定されている。

上記十分性認定国に該当しない国に対しては、以下３つの例外に該当すれば移転が許容される。
１）本人から明確な同意を取得した場合
２）欧州委員会の定める標準契約約款SCC（Standard Contractual Clauses）を利用した場合
３）拘束的企業準則BCR（Binding Corporate Rules）を制定した企業グループ内移転の場合

「2012/1/25制定新規則案」による規制の強化

「EUデータ保護指令」ではEU域内企業が主な対象規制だったのに対し、「2012/1/25制定新規則案」では、域外企業が域内居住者に対し商品やサービスを提供する際にも規制が及ぶことに。

加えて、adequate level of protectionの例外１）〜３）の運用が変更となる。
・１）の同意取得方法について、明確な同意行動を伴うオプトインが必要に。
　「利用規約等に異議が無かったことをもって同意をみなす」規定ではNGであることが明言される。
・その代わりに２）SCC・３）BCRに関する手続きを簡略化。

今後クラウド・webサービス事業者が個人情報の取扱いを含むサービスを提供しようとする場合、EU域内居住者からのアクセスをすべてブロックすることが非現実である以上、そして１）がこれまで以上に厳格になるとすると、上記例外の２）SCC or ３）BCRの活用が必須となりそう。


このブログをよく御覧いただく法務パーソンの皆様は御存知かと思いますが、EUでは、個人情報に対する規制がじわじわと厳格化されています。5月から施行されたEUクッキー法もそのひとつ。その割に、日本企業の反応が鈍いのが気になります。消費者庁のレポート「国際移転における企業の個人データ保護措置調査報告書」P25〜（３）日系企業の対応状況などを見ても、多くの企業が本格的な対応に二の足を踏んでいる（場合によってはEU指令を無視したまま事業を行なっている）ことがわかります。

米国はセーフハーバールールによってadequate level of protectionを満たせているのでまあいいとしても、私達日本国はEUにまだ認められていない国（笑）だということを肝に銘じ、そろそろこのSCC・BCRへの本格対応が必要となるであろうことを、頭の片隅におかれておいたほうが良さそうです。


参考文献：

プライバシー・個人情報保護の新課題
著者：堀部 政男
販売元：商事法務
(2010-04)
販売元：Amazon.co.jp