英国データ保護法98-我が国個人情報保護制度の基本的枠組みへの示唆

高橋郁夫

EUにおいては、1995年に「個人データ処理に係る個人の保護及び当該データの自由な移動に関する19951024日の欧州議会及び理事会の9546E C指令」(以下、EU指令ということがある)が採択、公表され、また、電気通信部門に限るEU指令も公表されている[1]。そして、加盟各国は、これらの指令に適合するように各国内法を整備しなくてはならなかった。ドイツにおいては、1990年連邦データ保護法[2]があり、1997年にマルチメディア法により電気通信セクターにおいてのデータ保護の立法がなされているし、イギリスにおいては、データ保護法1998が成立している[3]

一方、わが国においても、個人情報保護法案が国会に提出されており、国会やマスメディアで議論がなされている。そして、本稿完成時においては、継続審議とされているところである。

現在の我が国における個人情報保護法案についてどのような立場をとるにせよ、具体的に英国[4]のデータ保護法をめぐる制度を詳細に検討し、それと我が国で公表されている個人情報保護立法のしくみとを対応させて、我が国の個人情報保護法案[5]を比較法的に位置づけることは一定の意義を認めることができるものと思われる。個人情報保護の流れを否定しえない以上、さらなる立法作業等への準備資料の収集や将来の運用上の問題点を予測するといった観点から、単なる条文の比較にとどまらず、詳細に運用・判決例等を検討し、英国における議論の到達点を紹介しておくことは、一定の意義を有するものということができるであろう。

 第1章 英国データ保護法制[6]

1 データ保護の必要性と歴史的経緯

1 制定まで[7]

英国においては、1970年代になるとプライバシー権の主張と平行して、個人情報保護がとなえられるようになっていった。1975年には、ヤンガー報告書に対して、政府は「個人情報をコンピューターで取り扱っている者に対して自分たちのシステムがプライバシーに対して十分な保護をなしていると判断する唯一の裁判官であり続けさせることはできない」として、データ保護局の法制化を認めることになった。このデータ保護局の公正等についてリッドップ卿を議長とするデータ保護委員会が構成され、1978年には、データ保護法の立法提案をおこない、この提案は、高価で官僚的であるとして拒絶されたものの、1984年にデータ保護法1984(以下、84年法ともいう)の制定がなされている。そして、前述のような1995年のEU指令により、英国は、1998年にデータ保護法1998(以下、98年法ともいう)を制定した。

2 データ保護法1998の特徴

データ保護法1998は、データ保護法1984と比較した場合に、きわめて大部であり(84年法は、43条と附則4条に対して、98年法は、75条と附則16)、また、データ保護法1998は、フレームワークにすぎずデータ保護法84よりも制定法により決定さるべきところがより多いという特徴がある。その上、データ保護法98は、手作業による記録(マニュアル・データ)にも及ぶなど、明らかにその適用範囲を広げたとされる。そして、法案には、説明および財政的なメモが付されているが、それによれば、新しい体制に適合するために、その開始コストは、民間部門で83600万ポンド、公的部門で、19400万ポンドになると見積もられている。

3  98年法の客観的状況

98年法の状況は、いわば孤立した存在であった84年法とは異なり、同一のフィールドの3部作と見られている。他のふたつとは、人権法(Human Rights Act 1998)[8]と英国における政府の情報自由法制の導入とである。

人権法は、ヨーロッパ議会の「人権および基本的自由条約」を国内法化しなくてはならず、また、同条約の81(「すべての者は、プライベートな生活、家族の生活、家庭および通信を尊敬してもらう権利を有する」)が、個人データへのアクセスを含むと解されている。また、人権法と98年法とは、メディアに対する扱い(データ保護の適用除外)について議論を呼んだところでもある。

また、情報自由法制は、政府に対する情報公開請求の80%は、個人のデータに関連する(諸外国の制度を参考)のであり、この限りで、情報自由法制が98年法を補完することになる。もっとも、請求者以外のものに関する限り、情報自由法制は、その目的と客体においてデータ保護法と衝突を起こしかねないのである。

4  98年法の実装

英国は、他のEU諸国と同様に、98年の1024日までにデータ保護指令を実装しなければならなったが、結局は、間に合わず、2000年3月からの施行となった 。また、マニュアル・データ保護の局面と、現存するユーザーとの関係については経過規定が設けられている。

第2 データ保護法1998の仕組み

1 データ保護法1998の構造

1.1 84年法との変化

84年法のもとでは、データ保護については「データ・ユーザー」「コンピューター・ビューロー」「データ主体」の概念のもとで論じられていた。98年法においては、基本的な構造は、維持されたが、用語法が異なり、また、基本的な定義および要件について変更がなされている。特に84年法では事前に登録局に登録しておかなくてはならず、そして、それが法制の適用の前提条件となっていたが、このリンクは98年法で断ち切られている。

1.2.  98年法の構造

98年法の構造を図示すると、以下のようにまとめることができる。

すなわち、データに関連して、データを管理する者と個別にデータを処理する者は、データ保護8原則に従わなくてはならない。そして、データ主体は、そのデータについてコントロール権限を有することになる。それらを監督するために独立の情報コミッショナーが執行の役割を担い、裁判所が一定の役割のもとそれに関与する。

 


以下において、この仕組みを詳述することとする。

 


なお、98年法は、6(75)16の附則からなり立っている[9]。「序」において、「センシティブ個人データ」「データ保護原則」「法の適用」「コミッショナーおよび審判所」などの基本的な概念が説明され、「データ主体の権利など」(2)において「個人データへのアクセス権」「差止請求権」「訂正・抹消請求権」などがさだめられている。「データ管理者の通知」(3)においては、「登録なしの処理の禁止」「変更の通知義務」「犯罪」「コミッショナーの事前評価」などが定められている。4部は、「例外」規定となり、5部は、「執行」の規定となっている。6部においては、「コミッショナーの機能」「個人データの違法取得」「データ主体のアクセス権のもとで取得された記録」などについての規定がおかれている。

 

2 主体・客体[10]

2.1.主体

98年法に関するデータ保護をめぐる当事者としては、従来の「データ・ユーザー」「コンピューター・ビューロー」「データ主体」の用語に取って代わって「データ管理者」「データ処理者」「データ主体」の用語が用いられることになった。この点について、以下、詳述する。

(1)「データ管理者(data controller)

84年法においては、データの内容及び使用についてコントロールできる当事者を「データ・ユーザー」としていたが、98年法における「データ管理者」は、内容において、ほとんど変化がない。そこでは、データ管理者は、「(単独で、または、共同し、または、他の者と共同して)個人データのあり方、または、処理の目的および手法を決定」するものをいうとされる。具体的には、ビジネスに関するすべての記録を管理しているビジネス人を例にあげることも可能である。彼が、そのデータを会計士にデータを渡して処理を依頼すれば、データ管理者とされるのである。また、会計士自体もデータの管理を維持する点でデータ管理者と考えられる。

(2)「データ処理者(data processor)

84年法における「コンピューター・ビューロー」に代えて「データ処理者」が用語として用いられるようになった。「データ処理者」は、「データ管理者のためにデータを処理するもの(データ管理者の被傭者以外のもの)」をいう(98年法第1(1))

84年法において「コンピューター・ビューロー」は、活動の詳細についての登録をなすことなどが要求される。これに対して、98年法では、適切なセキュリティ要件を満たすためにデータ管理者に対して負担が課せられることになる一方で、「データ管理者」は、通知要件(17)に従うものではない。データ管理者が、セキュリティに関して十分な保証を提供しうる処理者を選択する責任があるのである。そして、この際には、書類による契約がなされなくてはならない。

(3)「データ主体」(data subject)

データ主体という用語は、相変わらずであり、そこでは、「個人データの主体である個人」と定義されている(同法第1(1))。データ主体のもっとも重要な権利は、疑いもなく管理者により保管されているデータに対するアクセス権であり、それらの誤りに対する訂正要求権である。

2.2.客体等

データ保護法における重要な概念としては、「データ」「個人データ」「処理」などがある。それらのうち、特に重要な用語について若干の説明をなすと以下のようになる。

(1)「データ」(data

98年法において、「データ」は、

(a )処理目的の指示に従って自動的に処理する設備の手段によって処理される

(b)上記の設備によって処理される目的をもって記録される

(c)関連するファイルシステムの部分または、それを構成する意図をもって記録される」

情報と定義されている。

ここでは、データが自動的に集積しただけでは、98年法の適用対象にはなるものではなく、自動的に処理する意図を有したときに初めて適用対象となるとされているのである。また、(c)によって、マニュアルレコードに対して適用が拡張されることになったのである。

(2)「個人データ」(Personal data

データから個人が特定さないのであれば、プライバシーに対する侵害や法制化の正当性というのは、考えがたいことになる。そうだとすると、逆にどのような情報をもって個人を特定させる情報というかということが重要である。EU指令では、「(a)『個人データ』とは、特定できる、又は特定できない自然人(データの対象者)に関する全ての情報を意味するものとする。特定できる人物とは、特に身元確認番号の参照によって、又はその人物の肉体的、生理的、精神的、経済的、文化的、経済的アイデンティティーによって、直接又は間接に特定することができるものを意味する。」と定義されている(同第2(a))98年法においては、この実装のために

「『個人データ』は、

(a )それらのデータから

または、

(b)それらのデータおよびデータ管理者の保有する、または、その保有することになるであろう他の情報から

生活する個人を特定することができるのに関連するデータを意味し、個人の意見の表現、個人の観点からするデータ管理者または他の者の何らかの意図の表現を包含する」と定義されている。この概念は、特定可能性と特定性の二つの概念をカバーするとされている。特定可能性については、何人であるか追跡ができうることをいい、特定性は、「日常の用語でいえば、名前と住所を知ることで達成される」とされる。

「何らかの意図の表現を包含する」という部分であるが、84年法においては、データについては、「事実データ」「意見データ」「意図データ」の3種があり、そのうち、データ・ユーザーの意図については、これを除外すると定義されていたが、98年法においては、「意図データ」についても、これを含み、保護の対象とされることになったのである。もっとも、「意図データ」として、従来は、「解雇しようと考える」とか「エクゼクティブの器ではない」などのキャリアについての個人記録があげられていたが98年法においては、「マネジメント予測」の定義のもと例外規定[11]が設けられている。

(3)「センシティブ・データ」(sensitive  data

84年法においては、人種的出自、政治的信条、宗教ないしは信条、肉体的または精神的健康、性生活または刑事宣告に関するデータについてデータ保護原則を強化する規制をなす権能を準備した。しかしながら、この権能は用いられなかった。98年法は、センシティブ・データについての取扱を法制の中心とし、他形式のデータの場合よりも、処理についてさらなる要求に従わせることとした。

98年法におけるセンシティブ・データの定義は、

(a )データ主体の人種的・民族的出自

(b)政治的意見

(c)宗教的信念またはそれに類似する信念

(d)労働組合のメンバーであるか否か

(e)肉体的または精神的健康ないしコンディション

(f)性生活

(g)犯罪についての前科・前歴・容疑

(h)犯罪についての手続き、または、被疑事件についての手続き、その手続きにおける処理または手続きにおける裁判所の宣告

とされている。

これらのセンシティブ・データについては、「明確な同意」「雇用についての必要性」「重大な利益」「特別団体による処理」「パブリック・ドメイン」「法的手続きおよび裁判権の行使」「医学目的のための処理」「民族的モニタリング」「国務大臣の命令」などの場合において、一定の条件のもとに処理が認められているにすぎないのである。

(4)「処理(processing)

EU指令も98年法も、特定の主体に関連して処理することを必要とはしておらず定義としては広いものである。

処理行為は、「情報またはデータの取得、記録、または保持、もしくは、データについての操作の実行または操作のセットをいい、以下の

(a )情報またはデータの組織化、適合、変更

(b)情報またはデータの検索、調査 、使用

(c)送信、拡散、またはその他の利用可能にする行為による情報またはデータの開示

(d)情報またはデータの整列、合成、妨害、消去または破壊を含む」と定義されている(98年法第1(1))。この定義は、きわめて広いもので、すべてのデータに対する操作が含まれるとされている。

 

3 データ保護の原則[12]

3.1.  8つの原則

英国98年法における個人データ保護の原則は、以下のようなものである。

(1)個人データは、公正かつ合法的に処理されるものとし、とくに、個人データは、附則2条の最低でも1つの条件を満たし、かつ、センシティブな個人データの場合には、少なくても附則3条の条件の最低でも1つの条件を満たした場合でなければ処理されない。

(2)個人データは、1つまたは2つ以上の特定された合法的な目的に限り取得されるものであり、かかる目的に矛盾する方法により処理されない。

(3)個人データは、目的に関して、適切、関連するものであり、過度であってはならない。

(4)個人データは正確で、必要な場合は最新のものに更新される。

(5)ある目的のために処理された個人データは、かかる目的のために必要な期間を超過して保存されない。

(6)個人データは、同法に基づくデータ主体の権利に従って処理される。

(7)個人データの無権限または不法な処理、個人データの紛失、破損、損傷に対して、適切な技術的・組織的手段が講じられる。

(8)欧州経済地域以外の国等において、個人データの処理に関してデータ主体の権利及び自由のための適切な保護レベルが保障されていない場合は、係る国等に個人データを移転しないものとする。

なお、84年法においても、8つの原則が定められていたが、処理の概念が広まり、獲得および開示が含まれたために、非開示原則が消えており、その一方で、トランスボーダーへの移転禁止原則が設けられているために原則の数自体は8で変わらないことになっている。また、この二つの違いとしては、84年法の原則が、登録局と登録したデータユーザーの問題であったのに98年法では、このリンクが切れているということと、98年法においては、「公正な処理」についての解釈論が進んできており、それを反映しているということがあげられている[13]

3.2.原則の基本概念と84年法との比較

ドイツにおける「情報の自己決定権」の概念が、98年法の基本的なアプローチになっていると評することができる。84年法においては、処理の実質的な側面については、適法な処理か否かという唯一の判断基準は、データ・ユーザーが、行為の詳細を登録していたかということであった。98年法の附則2条は、この状況を変えており、附則3条は、管理者が、センシティブ・データを処理しようという場合において、より制限的な規定を満たさなければならないという規定を含んでいる。さらに98年法は、個人に特定のデータ処理について、特にダイレクト・マーケッティングの目的のために用いることに対して異議を唱える権利を認めているのである。

3.3. 「公正かつ合法的に処理」 (1原則)

 

附則2条は、「個人データは、公正かつ合法的に処理されるものとし、とくに、個人データは、附則2条の最低でも1つの条件を満たし、かつ、センシティブな個人データの場合には、少なくても附則3条の条件の最低でも1つの条件を満たした場合でなければ処理されない。」として適法な個人データの処理のために必要な条件を述べている。84年法においてはデータ保護の原則の第1原則はデータの取得行為と処理の行為について別々に言及していた。すなわち第1原則はデータの取得についてのみ関するものであり、データ保護審判所は、2つの行為における区別を見出し、行為が適正か否かを決定するのにあたって異なった要因が影響するとしていたのである。これにたいして、98年法とEU指令においては、データは「公正かつ適法に」「処理」されなくてはならないと定めている。

 「適法に」という用語の定義は、「公正に」という用語の含む意味と比較して、定義しやすいといえる。すなわち、制定法に違反してなされる処理は、「適法に」処理されるとはいえないということである[14]。また、「適法性」の問題を惹起するものとして、「コモンロー違反」「機密性(コンフィデンシャリティ)違反」「権限ゆ越(ウルトラ・バイレェス)」「契約違反」などが具体的な例としてあげることができる。

個人データは、適法に取得されたかどうかを基準とするほうが直接的なものであるが、98年法もEU指令も、「公正」基準をも必要であるとして、より主観的な問題を、この点について提起しているということができる。データが公正に取得されたかどうかを決定するために98年法は、「データが取得される方法について、取得される本人が、データ処理の目的について欺罔を受けたり、誤解させられたりすることがないこと」という基準を準備している。「公正に」という意味は、解釈に問題を含みがちであるといえ、そして、98年法において、最も解釈論が発展したところということができよう。コミッショナーのガイドライン(1994)によれば、公正性の判断基準としては、「コモン・マン」の視点に立つのであり、その結果、データ・ユーザーが、不公正な処理をしているつもりがなく、そして、その認識をしていなくても、不公正な処理は起こりうるという。

また、名前を含む情報は、データ主体が、データの使用について十分に情報を得ているときであっても、公正性のためには十分でなく、それに加えて、特定の処理に対して異議を直ちに唱える権利が与えられなくてはならないとされている。

この「公正性」の概念の解釈が、発展していった問題として、信用情報照会における処理原則の公正性の問題があり、我が国でもこの点について注目がなされるべきである。やや詳しくなるが、以下に触れることにする。

3.3.1 信用照会所[15]

信用照会所は、民間部門におけるデータ処理業者としてもっとも高い存在意義を有するものである。登録局の年間報告書によれば、申立についてのかなりの割合がこれらの組織の行動に関するものであることを示している。信用照会所の実務は、消費者信用法1974の施行の時点からその法的コントロールの下に行われている。当該法律の158条は、信用照会機関に対して、個人から文書による要求があった場合にはその保有する情報の写しを提供しなければなならないことを定めている。正確な情報についての訂正に関しての規定や変更についての詳細なその正確な情報を受領していた第三者に対して通知されなければならないなどの規定中同法に含まれている。

現在イギリスの市場においては4つの事業者(CCN、Credit and Data Marketing Service, Equifax, Infolink)がこの市場を独占している。これらの組織はいずれも、登録局からの強制処分通知を終了したことがあることも事実[16]である。

彼らの実務の詳細は、異なるものとしても、信用照会機関のそれぞれは、公表されたソースから以下のデータを保有している。たとえば、Infolink社は、選挙人名簿の形態における選挙登録情報、カウンティー裁判所の判決、裁判所記録における破産情報、販売請求書、郵便局に置いて用いられる手郵便番号と住所のリストから得られる住所情報などを保有していると報告されている。

この公開された情報に加えて、それぞれの機関は、会員から供給された不良債権情報の報告などの情報を保有している。そして、照会所は、情報検索に応え、その数は、1年間に5,000,000サーチを越えるといわれている。信用照会所が保有する、個別の信用供与の申し込みに関連して抽出される情報は種々の形態により用いられる。

3.3.2.照会の実務と事件研究

照会機関の実務に関して重要なポイントは、すべてのケースにおいて照会が名前というよりも住所に関連してなされている点であるとされる。これは同姓のものが多数いることから、名前は、身元照会のためには不十分であると考えられていることによるのである。したがって、住所を基準に処理される結果として、照会が、従来の居住者の情報を検索してしまうことは避けることができないのである。また、家族の情報をも紹介することもあるのである。

個人の信用供与の申し込みに関連して、信用照会所において第3者のデータの抽出がなされた場合、登録局はそれを個人データの処理と考え第1原則に違反するものとしている。この論点に関して、信用照会業界は、登録局と別途の話し合いをもったが、失敗し、1990年8月には大きな機関に対して強制処分通知が送達された。この通知の内容は、1991年7月31日以降については、検索される主体の現在もしくは過去の住所に関連して処理されることが停止されるべきであるという内容のものである。

この通知をめぐって、結局は、審判所における手続きとなった。そして、その手続きの中で、かなりの数の論点について議論がなされた。

CCN事件[17]の手続きにおいて最初に提起された問題は、CCNによってなされる処理、特に抽出行為は、価値から中立であるのではないかという問題である。84年法は、訂正、増大、消去、再整列または情報の抽出は、個人に関する場合において、そのデータ主体に関連する操作をなすことを意味すると定義している。CCNのなしているデータの抽出行為は、この定義には、あてはまないのではないかと主張したのである。この点については、登録局は、特に、情報が信用供与に対する拒絶として用いられる場合について、異議を唱えたのである。CCNのコンピューターによって提供されるデータが、実際の処理に使われるのであれば、そのデータの提供は、データのディスプレイへの照射という形式的なものではなく、実質的なものである。コンピューターのプログラムが、抽出される情報の基準というのを特定しており、1984年法の正式なタイトルとおり、84年法は、技術ではなく管理者個人をコントロールしようと考えているのであるから、その抽出は利益を犯さないというものではなく、その抽出が、公正な基準を満たしているかどうか判断されなくてはならないとされたのである。

Equifax審査申立事件(EquifaxEuropev. Data Protection Registrar,1991)では、データ主体の照会によってなされる処理の要件に関し、会社は、名前よりも住所を参照として、情報を抽出していた点が問題となった。審判所は、この議論において、Equifaxの処理の公平性を否定した。口座処理は、処理の影響された目的のためになされなくてはならず、84年法が適用される。会社の目的のひとつは、個人の経済的な状況に関する情報を提供することであり、消費者が、個人との取引に関連して情報を求めることや処理の結果がそれらの人々に影響を与えるかもしれないことを意識していたのである。審判長は、信用情報機関の運営が、利益を生んでいることを認めており、84年法が「公平に」という用語の定義を与えないでおり、そしてその法律の目的は個人の権利を守ることであるということを述べている。信用機関業界の利益は無視されるべきではないが個人の申立人の利益には優先されなくてはならないとして、審判所は、信用情報機関が、消費者から個人名を基に情報提供するよう要求された際には、情報の抽出用プログラムに与えられた住所と関連したすべての人たち(経済的なリンクをなんら有しない者をも含む)に関する情報を検索するような行為は不公平であると表明したのである。

 

すべての信用情報機関の決定において、審判所は、信用情報機関にデータ保護第1原則の違反があり登録局が強制処分通知を送達したのは適切であるという判断がなされている。

その一方で、審判所は通知の条件が過度に広汎であると考えており、信頼しうる信用の検索および信用記録のシステムの価値は認められ、それらのシステムが債務者の限度額超過を防止し、彼らのためになるものであり、ひいてはよく管理された信用システムを整備するものになると判断されているのである。

 

3.3.3 現在の信用照会の実務

現在、第3当事者に関連する情報が制限なく利用されることは、公正な処理とはいえないと考えられるけれども、審判所は、信用申込者の家族や、共有財産を有する人に関する情報が、信用供与に関する決定に関連性を有するということを認めた。この点において、登録局の強制処分通知の条件は、第3者情報の抽出を許容するものへと変わったのである。

この審判所において許容されるものとなったが第3者情報の抽出について具体的な例外を場合に分けて論じる[18]と以下のようになる。

 

(1)第3者が申請人と同一の姓を有しており、名前ないしはイニシャルが記録されている場合。

 

例えば親と子供が同じ姓を有しており同じ住所に居住している状況において、信用情報機関が、信用申込者以外の情報を抽出することを回避しうるということは非常に困難である。長期間、2人の当事者が存在しているということを合理的に気づきうる情報を保有している場合を除いては、このような抽出は、不公平とはいえないであろう。両親が、信用情報機関に対して、子供の行動からの責任を認めることはできないと通知するような状況の場合は、例外として抽出は回避されるべきである。

 

(2)同一の住所に居住しているという記録がある場合において、第3者が十分類似している名前を有しており情報機関に一定当事者は同一人物であると考えうる場合はどうかという問題がある。これも、上記の例外と同様でありイニシャルのささいな変更や姓にスペルの間違いがある場合には、このような第3者情報の抽出行為が合理的なものとなるであろう。

 

(3)第3者が同一もしくは十分に類似している氏を有しており、情報機関に、同一家族における1つの家計主体のメンバーであると信じるについて合理性がある場合

 

この例外においては、信用申込者の家族に関する情報の抽出は許容されるものである。ここでは第3者が別の住所に居住しているときでさえも適用されるように思われる。これに対して信用申込者と第3当事者が経済的関連性がないと信じることが合理的であるような情報を有する場合には抽出を許されないことになる。

 

(4)第3者が、申請者と同一の氏は共有しているものではない場合において、抽出以前に機関が保有している情報から、第3者が申請人と同一人であると信じるについて合理性がある場合

 

これ以外は、申請者が複数の名前を用いている場合である。これは信用を得るためにある種の詐欺的手段を用いている場合である可能性がある。この申し立ての範囲は限定されなければならないが、一定の例外として許容されるであろう。

 

これらの例外の範囲は全体的に広いものといえる。信用情報機関は、同一の住所に以前居住していた第3者の情報抽出することはなし得ない。しかしながら、なんらかの関連性がある場合には特定の情報がない場合であっても第3者のデータを抽出することが可能になるのである

 

3.4. 「公正かつ適法に取得」 (2原則)

第2原則は、「個人データは、1つまたは2つ以上の特定された合法的な目的に限り取得されるものであり、かかる目的に矛盾する方法により処理されない。」としている。そして、第2原則は、データの処理の目的については、データ主体に対する「適時の通知」ないしはコミッショナーに対する通知によって特定されることになる。この「適時の通知」については、英国では、Innovations (Mail Order)対データ保護登録局事件において、通信販売の業者は、電話などでの販売に際しては、事前にデータ・ブローカーにデータが渡されることについて承諾を得ていない場合には、「適時の通知」とはいえないとされたのである。

データの使用および開示についての特別の規定は、存在しないが、この第2原則が、相当するものと考えられる。というのは、「開示」という概念は、「処理」という概念に包括されると考えられるのである。この原則を解釈する際には、「個人データの開示が、データの取得された目的と両立しうるか否かを決める際には、開示された者により個人データが処理されようと意図された目的に注意が払われなければならない」という点が顧慮されて、合法性が決められることになる。結局、実質的には、84年法の非開示ルールと釣り合うことになる。98年法も、「同意」「重大な利益」「犯罪捜査・課税」などの例外を認めている。

 もっとも、この第2原則については、必要性について疑問があるという見解がある[19]。というのは、第1原則において、すでにデータ管理者が、データ主体に対して、データ処理の目的について、通知していることを要求しているのである。特定された情報の提供なしの処理は、不公正だと認識されるのであり、第2原則に違反するだけではなくて、第1原則にも違反するものと認識されるのである。

3.5. 「取得された情報の関連性およびスケール」 (3原則)

3原則は、「個人データは、目的に関して、適切、関連するものであり、過度であってはならない。」として、データは、「適切、関連あり、過度でない」ことが必要とされている。これは、EU指令において用いられている用語と同一であり、また、84年法にも同様な用語がある。

 84年法のもとでは、人頭税の登録局が、不動産の種別(フラット、バンガロー、キャラバンなど)のデータを保持するのが、妥当かが争われた事案がある[20]

 この原則について、データ管理者が、幾人かにしか関連して用いられず、または有用でないデータを保持しているとしたら、それは、過度で、関連性のないものとなるとされている。また、データがどのように利用されるか審査されず、将来、有用になるかもしれないという根拠でデータを保有する場合も許容さないことになる。それゆえ、データを収集する様式も定期的に見直されなければならず、また、適切な情報の量とタイプが得られる様に必要であれば再構築されなければならないのである。

3.6. 「正確性およびデータの最新性」 (4原則)

4原則は、「個人データは、正確で、最新でなくてはならない」ということである。これは、84年法の第5原則と同じである。情報は、不正確(incorrect)であるか、または、事実について誤解を生じるときに情報は不正確(inaccurate)とされる(第70条2項)。したがって、単なる意見は、事実の叙述を有しない場合には、この不正確さを理由として問題にされることはない。個人データが不正確なときにデータ主体は、訂正を求めることができ、一定の事件においては、与えられた損害または心痛に対して、損害賠償が支払われる。もっとも、何をもって虚偽というかは問題がある。そして、第4原則については「データ管理者が、目的に関連して、データの取得および処理について、データが正確であるように合理的なステップを踏んでいる場合」もしくは、「もし、データ主体がデータ管理者にデータ主体のデータが不正確であるという見解を伝えて、その正確性に関するデータ主体の見解が記録されている場合」において、データ主体もしくは第3者から、正確にデータ管理者が個人データを記録している際は、この正確性の要求に反するものではないと解されている。ようするに、98年法は、管理者に信頼に足りるというソースからデータを確認する義務を課するのみではなく、現実的に情報を検証するための適切なステップを採用するように義務づけているのである。

 また、最新性の要素については、98年法において、特段に拡張されたということはない。この点については、情報の性質とその目的によって、アップデートの必要性が定まってくるとされている。

3.. 「適切な期間」(5原則)

 

5原則は、「データは、目的のために必要な期間以上に保管されない」としている。これも、84年法の第6原則と同じである。EU指令においては、これらに対応する表現があるが、若干異なっている。EU指令の6(1)(e )は、「データが収集された目的、又はそれが処理される目的のために必要なだけの期間、データの対象者の特定が可能な形式で保存すること。」と定めている。この定めは、データ管理者に、より広範な裁量を与えているように思える。この点については、EU指令においても、98年法も拡張をなしていないが、特定の期間にわたり管理をすべき義務があると解されている。

この点については、84年法のもとでデータ保護登録官が、「データユーザーは、個人データを定期的に見直し、もはや必要ではなくなった情報を削除すべきこと」「かなりの量の個人データを保持しているデータユーザーは、データ消去のシステム的な消去ポリシーを採用すること」「個人データが、データ主体とデータユーザーの関係に基づいて記録されたのであれば、その情報を保持する必要性は、その関係が消滅した際に検討されるべきである」という内容のアドバイスをして[21]おり、注目される。

3.. 主体の権利についての原則(第6原則)

第6原則は、「個人データは、同法に基づくデータ主体の権利に従って処理される」というものである。ここでは、この原則が、データ主体の権利として認識されている点が特徴となる。詳細は、4で論じることとする。

3.. データ・セキュリティ(7原則)

7原則は、「個人データの無権限または不法な処理、個人データの紛失、破損、損傷に対して、適切な技術的・組織的手段が講じられる。」というものであるが、EU指令において、これに匹敵するものとして「特に、処理がネットワーク上でのデータの伝送を伴う場合、及びその他の全ての不法な処理形式に対して、管理者が個人データを不慮の又は不法の破壊、不慮の損失及び無許可の変更、開示又はアクセスから保護するために、適切な技術的及び組織的措置を取らなければならない」という同指令17(1)がある。登録官は、物理的セキュリティ、コンピューターシステムのセキュリティ手段、被傭者のトレーニングおよび監視のレベル、データ及び器具の処理方法などのデータ・セキュリティに関連する種々の事情を明らかにしている。ECは、92年に「情報システムセキュリティ分野における決定」[22]を採択しているところである。また、データ登録官は、9711月には、BS7799を特に参照したコンサルテーションペーパーを公表している。

 

3.10 適切なレベルの保護を持たない領域へのデータ移転禁止(8原則)

 

8原則は、個人データは、データ主体の権利および自由についての「適切な」保護のレベルを確保していない限りは、そのような国家または領域に対する個人データの移転を許容しないというものである。

 84年法の第12条は、データ保護原則と衝突する、または、そうなるであろう地域に対するデータの移転に対して、データ保護官が、登録されたデータユーザーに対して、その移転の禁止の通知をなす事ができると定めていた。もっとも、その運用においては、1件の通知がなされたにすぎなかった。98年法の目的も84年法ととても類似しており、その法域をデータが出る際にもデータ保護原則を守るべきであるというものである。しかしながら、その重点は、大変異なっているとされている。

 

98年法の第1表、第1部、8文においては、第8原則は、「国ないし地域においてパーソナル・データの処理に関連してデータ主体の権利および自由についての適切なレベルの保護が確保されないかぎり、パーソナル・データは、ヨーロッパ経済圏外に、移転されない」とされている。

 98年法の法案においては、84年法にもEU指令にも定められなかった「移転」の定義が、盛り込まれていた。それによると、データを開示すること、そうであるなければ、データに含まれる情報を利用可能にすることをいうとされていた(法案1条)。この定義自体は、電話やインターネットで通信されるときにも適用されるものであり、適切なものであったとされる。もっとも、この定義は、最終的には、定められることがなく、その理由も明らかなものではない。

 コミッショナーのガイドラインのドラフト(199811月)においては、「移転」は、一つの場所から他の場所への通信という通常の意味が与えられるべきとされていた。この移転については、コントロールを失うことであるとされることもあったが、契約等によりコントロールを維持した場合でも移転されたとされることがある。また、移転というのは、積極的なものをいうので、データが盗まれた場合には、移転とはいわないとされている。

 「クロスボーダー」という用語の問題としては、特に、クロスボーダーでデータ収集を行っている会社が問題になる。EEA域内において、本店を有している会社においては、その本店を有している国の法に服するのみであるが、域外に本店を有し、英国内において設備を用いてデータ処理を行っている場合は、英国法に従うと解されている。

この原則のポイントは、移転先に対して、パーソナル・データの「適切なレベル」の保護を要求するものである。この「適切なレベル」かどうかについては、「共同体の認識」に従って決定される事があることが述べられており、また、パーソナル・データの性質、データに含まれる情報の原産国、その情報の目的国、処理の目的、その機関、問題の国ないし地域の実効性を持つ法、その国ないし地域の国際的な義務、関連する強制力を有する行動規範、ルール、データに関するセキュリティ手段などから、判断される。 

くわしく触れると、「データの性質」というのは、センシティブな程度に応じて必要とされるべき保護の程度も変わると言うことが含意されている。次の「データに含まれる情報の原産国」、「その情報の到達国」についていえば、(到達国の保護のレベルは問題になるとしても、その国自体には)特に意味がないのではないかという立場もある。「処理の目的と期間」については、「データの性質」と対応して問題にされるべき事柄であると考えられる。問題の国ないし地域の実効性を持つ法、その国ないし地域の国際的な義務、関連する強制力を有する行動規範、ルール、データに関するセキュリティ手段については、目的国のデータ保護体制を詳細にデータ管理者が検討することを要求する。

 この具体的な「適切性」のレベルについては、EUレベルと英国レベルとで、ガイダンスが、なされている。EUレベルについては、「Fifth Annual Report on the situation regarding the protection of individuals with regard to the processing of personal data and privacy in the European Union and in the third countries」という報告書が発表されている[23]ところであり、また、そのホームページにおいて、ハンガリー、スイス、アメリカについて「適切性」のレベルを備えていると「共同体の認識」がなされていることが公表されている[24]

 また、英国レベルでのガイダンスとしては、情報コミッショナーのガイダンス[25]がある。ここで、このガイダンスにおいては、データ管理者は、「良き実務のアプローチ」として、(1)共同体の認識(2)移転のタイプの考察に基づく「適切性」の推定(3)「適切性テスト」の採用(4)附則第4条に含まれている規定の適用の検討を検討することが推奨されるとされる(上記ガイダンス9)(1)については、上述した。(2)は、CBI[26]6つのリスト分けされたデータ移転の種別ごとにリスクや評価が必要になるにしても「適切性」が推定されることを明らかにしている。もっとも、特に継続的な関係にない販売データの移転については、厳格な判断が必要なことが示唆されている。(3)この「適切性」テストは、一般適切性基準、法的適切性基準の観点から検討され、さらに、契約、行動綱領の利用が加味されることになる。

 この第8原則の例外としては、「データ主体の同意のある場合」「契約の実現またはその締結のために必要な場合」「実質的な公共の利益のために必要な場合」「データ主体の生命にかかわる利益を守るために必要な場合」などがあげられている。

4 「主体のアクセス」「個人の権利」および救済方法

4.1. 「主体のアクセス」から「主体の情報」へ

84年法によって定義されたデータ主体の最も輝かしい権利の局面として、保管された情報のコピーを得る権利、誤りを訂正し損害賠償を得る付随的な権利があるといわれる。しかしながら84年法の下においては、データ主体は、データユーザーに対して、データを保有しているかどうかを聞き、保存されている情報のコピーを貰える権利な与えられたにすぎなかった。98年法においては、与えられるべき情報の範囲が拡大され、それに伴い、保管されている情報へのアクセスを意味する「主体アクセス」という用語が拡張され、「主体情報」という用語が用いられるようになった。具体的には、「主体のアクセセス権」「処理の停止権」「ダイレクト・マーケッティング停止権」「自動的意思決定に関する権利」「損害賠償権」「訂正・停止・消去・破棄請求権」「コミッショナーに対する法律違反評価請求権」が定められたのである。

 

4.2. 個別の権利

具体的な権利のうち、重要な点について詳述する。

 

4.2.1「主体のアクセス権」

データ主体について、個人情報が処理されていれば(その処理の確認についても返答の義務がある)、そのデータ処理の性質(目的、開示される人ないしはカテゴリー)、情報源、処理のロジック、データ自体を構成する情報について、その内容が明らかにされる。98年法では、質問しているデータ主体にたいしては、それらのデータの源についてもデータ管理者が利用しうるすべての情報が与えられなくてはないとされている。この規定は、誤りのあるデータの源を追跡するのに有効となるであろうと考えられている。さらに、意思決定に際して、自動的な処理に基づいて決定がなされている場合においては、アクセスを求めているデータ主体は、決定をなしている主体の決定基準などに関する情報も提供されることになっている。

アクセスの手続きについては、84年法の構成と同様である。データ管理者は、要求が書面でなされたときに限り、返答する義務がある(7(2)) もっとも、「国家安全」「第三者のデータ」「犯罪捜査および徴収目的」「健康・社会保障データ」「規制についての行動」「調査、歴史、統計」「その他の例外」などの例外がある。

 

4.2.2.「ダイレクト・マーケッティング停止権」

ダイレクト・マーケッティングは、経済おいて最も急速に進歩しているセクターのひとつである。販売者は、個人に関連する情報を保有しており、賃金の購買活動を刺激しようとしていわゆる販売促進の「クズ・メール」を送付するのである。また、販売店ベースのクレジットカードは、キャッシュポイント付きのものが増大しているが、これは顧客と購買についての情報を販売者に与えていることになる。データの使用者が、個人データを販売とマーケティング目的保有するために処理するつもりがあるとはいうこと登録していたとすれば、そのような処理が不公平ということがいえないかという法的問題について検討しなければならない。

ダイレクトマーケッティング目的のために取得使用されたデータの取扱は、EU指令における最も論争的な局面をなした。もともとは、データ主体に関して、そのような目的にデータが使われる際はいつでもデータ管理者に対し厳格な義務を課そうということになっていたが、結局は、メンバー国家に対してコントロール体制を選択させるということになったのである。データ主体は、データ管理者の、ダイレクトマーケティングのための処理やデータの開示にたいして拒絶する権利が与えられ、ないしは、データがダイレクトマーケティング目的の第三者により、もしくは、そのために用いられる前に具体的な通知をデータ主体になすことが必要とされているのである。

98年法は、データが、ダイレクトマーケティング目的で用いられる場合には、データ主体は、管理者に対して、その形態での処理について異議を唱え停止を要求することができる。この場合において、管理者が、この要求に従わなければ、データ主体は、要求に従いうることを確保するために適切と思われる手段を裁判所に求めることができるのである。

 

4.2.3.「その他の停止権」

ダイレクトマーケッティングに関しては、主体の要求は絶対である。それ以外の処理に関しては、主体は、損害や抑圧を引き起こす可能性があるということを理由にして処理の停止を要求することができる。この権利は、主体が事前にその処理に同意している場合には適用されない。また、他にも適用されない場合がある。データ管理者は、そのような通知を受領した場合に、主体の要求が認められるか、または拒絶をする際にはその理由もしくはその程度を示さなければならない。否定的な対応に際しては、異議が認められ、裁判所は適切な命令を出すことができる。

 

4.3.「救済」

4.3.1.不正確なデータの変更等

データが虚偽であったりと、誤解を招くものであったりした場合にはデータは不正確なものと考えられ、そのような場合には、データ主体は裁判所に対してデータ管理者がその問題のデータを変更、停止、消去または破棄するように求めることができる。これらの権利は、データ主体において損害賠償請求をなしうる場合であっても行使することが妨げられることはないし、さらに管理者はその不正確なデータをベースにしたものと認められる意見の表明について訂正することを命じられることもある。

これらの救済手段は、84年法の下での実務とほとんど同一であるが、98年法は、これに対して重大な拡張を導入している。裁判所は、データが不正確であり訂正、停止、消去または破棄がなされるべきであると決定した際には、合理的なものであると考えられるであれば、管理者が、データがすでに開示されたすべての第三者に対してその変更の詳細を通知すべきであると命令することができるようになった。

 

4.3.2.損害賠償

84年法のもとにおいて、データ主体は、データの正確性や権限なしに行われるデータの廃棄、開示などから損害や心理的圧迫に対する損害賠償請求権が与えられた。しかしながらこれらの権利はめったに用いられなかった。ことさら損害と心理的圧迫を証明することが必要とされたことは実質的な障害となった。98年法は、より拡張されたアプローチを採用している。損害を被ったデータ主体は算定可能な経済的損失の形態をとった損害は証明されるし、さらに関連する心理的抑圧についても損害賠償が認められる。すべての事案について、データ管理者は法律違反を避けるための合理的な注意がとられたという抗弁をなすことができる。

 

4.3.4.「自動的意思決定」

EU指令はフランスの立法例に見られる規定を採用し、個人にとって不利な決定は、日常的なデータ処理のみを理由としてなされてはならないという規定を設け、その問題点を指摘している。98年法にも、データ主体が、データ管理者に対し個人に重要な影響を与える決定は、個人データが自動的な処理手段によって出されるだけではなく例えば、仕事における業績、信頼性信用力ないし行動などのようなその個人に関連する事柄が評価の目的のための観点からなされるべきであるとしている(12)

98年法は、上記の一般ルールに対する例外として、データ主体と契約を締結したり実現したりするのに際して決定が主体にとって望ましいものであるときや、その適切な利益を保護するために手段が取られる場合についての例外を認めている。

データ管理者が自動的意思決定の禁止について違反したと認められる場合には、データ主体は裁判所の命令によってデータ管理者がその意思決定を再度考案し、または自動的処理をベーシスとする以外の新しい決定を出すことを要求することができる。

 

5 コミッショナー

5.1. 概説

 

 情報コミッショナー[27]は、独立した監督期間であり、国内的にも国際的にも重要な役割を果たしている。情報の取扱を促進し、データ管理者における行動指針を推進している。なお、従来は、データ・コミッショナーという名称であったが、現在では、英国における情報の自由法における監督業務をも行うために情報コミッショナーという名称に変更になっている。

EU指令28(3)において、監視機関として、「処理作業の目的物となるデータにアクセスする権限、監視職務の遂行のために必要な全ての情報を収集する権限のような調査権」などの権限を有する独立した機関を加盟国が準備しなければならないと定められている。また、「各監視機関は、個人データの処理に対する個人の権利及び自由に関して、個人又は個人を代表する協会からの請求を受けるものとする。関係個人は、請求の結果に関して通知を受けるものとする。 」「各監視機関は、本EU指令の第13条に従って採択された国内規則が適用される場合には、個人によるデータの処理の合法性に関する調査に対しての請求を受けるものとする。」という定めもなされているところである。

EU指令における上述の権限はすでに、84年法によってデータ保護登録局が有していたものである。登録局は、クラウンによって指名され、スタッフとしておよそ100名を抱えており、データユーザーの登録とデータ保護原則の順守を確保してきたのである。98年法によって、データ保護法1984によって設立されたデータ保護登録局は、データ保護コミッショナーと名前を変えて存在し続けることになった。具体的な任務としては、

()データ管理者によるよい実務慣行を促進すること、特に、データ管理職に法の要求の遵守を促進すること、

()法およびその働きの情報を広めること

()適当なガイダンスのための行動規範の制定

()要求されるデータ管理局の登録簿を維持すること

()法令のもとで犯された犯罪に関し人を告訴すること

などがあげられている。

5.2. 通知システム
5.2.1.登録制度から通知システムへ

84年法のもとでは、コンピュータービューローが登録業への登録をしなければならないという、いわば、大きな義務が定められた。データ保護登録は、この行為の結果であることとなり、インターネットからもアクセスできる公開の書類になった。もっともこのような登録義務については、非常に詳細な説明用ブックレットを読んで理解したということを示しながら署名し得ることが要求されており、異常に煩雑であるという指摘がなされていた。また、この登録義務は周知されておらず、会計検査院長報告書においては約3分の1のデータ利用者が登録をしておらず、その結果、違法に個人データを利用していることになる、ということが報告されていた。

近時の、海外での立法例を見るとき、例えば、90年に施行されたドイツのデータ保護法においては一般的な登録義務というの設けることはしなかった。そして、EU指令もこの通知モデルを採用している(「1.加盟国は、管理者又はその代理人が、1つの目的又は複数の関係する目的を意図した全体的又は部分的に自動的な一連の処理作業を実行する前に、第28条で触れる監視機関に通知しなければならないことを規定するものとする。 」)。

そして、英国の98年法においても、この通知のスキームが採用された。ここで、「通知」とは、データ管理者が、コミッショナーに、個人データの処理の詳細を連絡するという過程である。これらの詳細は、コミッショナーにより利用され、登録簿において、処理の登録がなされるというシステムになっている。

 

5.2.2.通知される情報等

この通知の際にどのような情報が通知さるかという情報は、「登録詳細」と呼ばれており、次のような情報が通知さることになる。

 

(1)通知の取扱

大抵の場合において、データユーザーは、通知を送信するのに継続して操作を開始することができるであろう。登録官は、申請の取扱について裁量を行使しうることを示すが、用いられる用語からいえば、拒絶をする権能は有しないということである。

(2)予備的評価

データ管理者は、コミッショナーに通知をなさない限り処理操作は開始することはできない。にもかかわらず、さらに特定の形態の処理はコントロールの下にある。EU指令の20条は、加盟国にたいして「加盟国は、データの対象者の権利及び自由に特有の危険をもたらすおそれのある処理作業を指定し、かかる処理作業が始められる前に検査が行われることを確保するものとする。 」と定めており。これを実装した98年法は、国務長官に、「評価処理」という、データ主体に対する実質的な損害または実質的な精神的負担を与える、もしくは、データ主体の権利及び自由を実質的に害すると思われる処理のカテゴリーのための特別の措置を定めることとなった。

そのような規制の範疇に処理が及ぶときは、データ管理者は、データ保護原則に対する順守についての評価が、コミッショナーによってなされるまで、そのような処理行為を開始することはできない。

コミッショナーが評価に費やすことのできる時間は非常に限定されており、コミッショナーはデータ管理者から通知を受けた際に評価処理を含むか否か、そして含む際にはその処理が立法の要求を順守しているか否かについて検討しなければならない。コミッショナーは、データ管理者に対しその意見を28日以内に通知することが必要であり、特別の場合に14日間延長されるに過ぎないのである。この期間中は、処理は実行してはならない。コミッショナーの評価において、その処理が強要し得ないものとなった場合には、データ管理者がそのプランを継続するのを妨げるメカニズムがないように思える。

(3)独立的データ保護監督者

ドイツにおけるデータ保護法の下ではデータ管理者が、内部のデータ保護監督者を指名するのが一般の実務となっている。監督者が、十分な独立性を有していれば、管理者は必要事項を連邦データ保護コミッショナーに通知する義務を免除されることになる。EU指令も、このような規定を採用しており18条に 「管理者が、適用される国内法に従って、特に以下の事柄に責任を有するデータ保護職員を指名した場合」として、「他から独立して、本EU指令に基づいて制定される国内規則の適用を確保すること」者を前提として記載をなしている。98年法も国務長官が、管理者が、データ保護監督者を指名することができ、その順守状況をモニターできるようになっているのである(第23条)。コンプライアンスの実効性確保のためにシステム内に独立の監督者を置き、それに監督をさせるという点で、理論的にはきわめて注目すべき規定であると考えられる。しかしながら、この規定については、緊急に利用するというつもり自体はないという制度であるとされている。

 

5.3.  98年法の執行
(1)総論

個人データ処理の登録がなされれば、監督機関がなすべきことは、データの処理が法律の実質的な要求に適合してなされることを確保することとなる。データ管理者における過ちは犯罪を構成するかもしれず、また、コミッショナーは、その裁量で、制裁を課すこともありうるのである。

 

98年法の50条及び附則の9条は、コミッショナーに対し、巡回判事に対して居所への立入および捜索令状を求めることができるとしている。

この令状は、データ管理者がデータ保護原則のいずれかに反している、もしくは98年法に反する犯罪をなしているということに納得し証拠がその居所で見つかるであろうという場合に発行される。附則の9条は添付の令状が、コミッショナーもしくはそのスタッフに対し、用具の検査・検証、捜査およびテストを可能とし、そこで見つかったいかなる書類及び物に対する閲覧または押収の権能を与えているのである。

 

(2)強制処分通知

84年法の下においては、登録局は、強制処分通知、登録取消通知、をよび移転禁止通知をなしうる権能を有していた。98年法の下においては、強制処分通知が定められている。コミッショナーは、データ管理者においてデータ保護原則違反がなされたときに通知を送達し、その違反条項を特定したうえで、状況を改善するための手段が特定されることになる。後の通知を順守しない場合には犯罪を構成することになる。データ管理者はこの通知に不満がある場合には、データ保護審判所に意味を申し立てることができ、この申し立てが認められれば通知の効力は停止されることになる。なお、登録制度が廃止されたことがあり、登録取消通知が廃止されている。

 

(3)情報通知

84年法においては、登録局は捜査令状を求める権能を有していたが、一般的な調査権限はなく、データユーザーは、登録局からの問い合わせに対して何ら協力すべき義務は有しなかった。98年法は、コミッショナーに対して、情報通知、すなわち調査の対象に関する特定の情報を限られた時間内に供給すべきことを要求することができることとなった。この情報通知に対応すること怠った場合には犯罪行為となり、意図的にもしくは重大なる不注意で虚偽の情報を対応した場合についても同様である。

 

(4)処理の評価

98年法の他の新しい権能として、コミッショナーは、処理をよき実務に従っているかどうか評価することができ、その評価の結果をデータ管理者に伝えることができるようになった。これには、データ管理者の同意が必要となる。このような行動により、データ管理者において、処理が法的に適合し、それにより、情報通知又は強制処分通知を受ける可能性を最小限化することができるものと考えられることとなる。

 

5.4. その他のコミッショナーの権限

98年法の42条は、コミッショナーに直接処理によって影響を受ける当事者からの要求を受領した場合にその処理には要求に従っているかを評価する義務を課している。申立人は、評価がなされた事実が、通知され、要求の結果としてなされた見解や処置についても開示されることとなる。

 

(1)啓蒙活動

98年方は、コミッショナーに対して、よき実務慣行についてのガイダンスを与える条項を啓蒙すること求めている。ここで、よき実務慣行というのは、個人データの処理に際して、データ主体の利益などに配慮した望ましいものと手いうことである。これに基づいて、コミッショナーは、上述のHPだとから、数多くの資料が見えるようにと制度を整備している。

 

(2)守秘義務

上述の権限により監督機関として行動するので、コミッショナーには守秘義務が課せられることになる。これは、EU指令における28条7項の「加盟国は、監視機関の構成員及び職員が、雇用が終了した後でも、アクセスした秘密情報に関して職業上の秘密義務を負うことを規定するものとする。」に対応するものである。具体的には、法的な権限なしにコミッショナーないしはそのスタッフが、「特定の、ないしは特定しうる」個人ないしは企業に関して勤務中に得た情報を開示することは犯罪となる(98年法第59条1項)。

 

 

第2章 英国データ保護法制のわが国個人情報保護法制に対する示唆

 

1編において、米国のデータ保護法制についての概要を見てきたが、具体的に英国で実現されている法律及びその運用で明らかになった問題点などはわが国で個人情報保護法制を考えるときにはきわめて参考になるものと思われる。そこでわが国で提案されている個人情報の保護に関する法律(案)と比較しながらわが国の法律の問題点や起こりうる問題について検討していくことにする。

1データの概念について

個人情報保護法はは、第2条において、「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合する ことができ、それにより特定の個人を識別することができることとなるものを含む。)」という定義をなしている。英国法と比較した場合に、いわゆるデータマッチングの場合による識別可能性のある情報まで個人情報として規制の対象となしうるものとにした、また電子計算機を用いない場合でも容易に検索することができるように体系的に構成したものとして政令で定めるものをいわゆるマニュアルデータについても保護を定めている点で同一の保護範囲を志向するものと評価することが出来るであろう。

なお、英国法で見たときにデータについて3種類があるとされていたが98年法においてはそのような区別は消滅し、むしろ職業キャリアに関する情報については特別規定が設けられたというのもすでに見てきたところである。わが国において、このような職業キャリアに関するデータについて、どのように扱われるか否かということは、やや明らかではないといえよう。というのは、個人情報の定義(「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合する)ことができ、それにより特定の個人を識別することができることとなるものを含む。」をいう。法案第2条1項)の射程距離が、そのような評価データに及ぶかどうか論者によって議論されていないように思える。個人に関連した評価について個人情報としての取扱がなされるのか、特にその評価が誤った事実に基づいてなされているとした場合にそれに対しても修正を求めることができるかという問題は、わが国においては、不透明なままで残存するようにも思われる。この点については今後の、検討の課題であるということが言えよう。

また、いわゆるセンシティブデータについて、特別の取扱をするかどうかという点も問題であるように思われる。英国法においてセンシティブデータについて特別の取扱が認められたことは、すでに見てきているところである。また、わが国の個人情報保護法の立法過程においても、センシティブデータについては特別の取扱を必要とするではないかという議論もなされていた。結局、法案の段階では、この特別の取扱が削除された形になったが、これが望ましいかどうかといった問題は存在しうるであろう。

2 データ保護の原則について

わが国において、個人情報保護法はは個人情報保護の基本原則を、利用目的による制限、内容の正確性の確保、適正な方法による秘匿、安全保護措置の実施、透明性の確保の5つの原則にまとめて提案されているところである。

 

1) 利用目的による制限について

わが国の第1原則である利用目的の宣言についてみれば、英国の第1原則のデータが公正かつ適法に処理されなくてはならないという原則に対応するものと思われる。

わが国においてはこの第1原則を処理において制限するものは利用目的だけであるというような観点からとらえられているような懸念があり、EU指令や、英国98年法における「公正かつ適法な処理」の要請という観点が抜け落ちているのではないかという疑問を指摘することができよう。

英国の第1原則については、特に信用照会情報に関連して詳しく見てところであるが、データの取得と処理に別々に言及することがなく論じられるようになった点については注意が必要である。また、英国における信用照会情報の処理に際して家族情報の利用の是非についてかなりの議論があったことは見たとおりである。これらの議論に対して、わが国においては、具体的に情報利用してよいかどうかという情報利用の適正性についての議論はなされていないものということが言えよう。

また、自動的に判断される意思決定について、そのような処理は適正ではないとするのがEU指令および98年法の態度である。しかしながら、わが国においては、利用目的による制限を定めたのみで、その処理の適正性、データのみによる意思決定には個人の情報についての自己決定権の侵害するものであるという認識が完全に抜け落ちているものと評価することが言えよう。

2) 内容の正確性の確保について

これは、わが国の個人情報保護法案では第24条で、「個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。」と述べられているところでもある。そしてこれは、英国の第4原則に対応するものと思われる。また英国法では、これに関連するものとして適切な期間のみの保有であることという第5原則のあることはすでに見てきたところである。わが国においても、この内容の正確性の確保について、保有期間の設定と期間経過後の削除も内容として含んでいると考えることができよう。また、個人情報の正確性という点について英国98年法が、データ管理者に対して、データが正確であるように合理的なステップを踏み、場合によっては修正するようなステップを採用する義務付けがなされていることはすでにみたところである。

わが国においても、個人情報の開示、訂正等利用停止等の手続きが法案に準備されているが、将来においては各事業者においてどのように個人情報の正確性を検証していくかというステップの定め方が具体的に問題になってくるとものと思われる。

3) 適正な方法による取得について

この原則は、英国98年法の第2原則に対応するものであり、またわが国個人情報保護法案第22条及び第23条で不正手段による情報取得の禁止及び利用目的の通知等の規定として具体化されているところである。利用目的の速やかな通知又は公表という23条の規定がある。英国では、問題になった事案において電話などによると通信販売によって得られたデータに対してどのような取扱がなされるべきだということは、わが国でも問題になるように思われる。わが国では、法案23条2項は、書面からの情報取得を当然の前提としているが、通話から得られる情報については、利用目的の明示の条項がカバーしないことになる。この点について、どのように考えるかという問題はこれからの課題であろう。

 

(4)安全保護措置の実施

この原則は英国98年法の、第7原則に対応し、また、わが国保護法案の第25条から27条では、この原則が拡張されているところである。英国においては、BS 7799によるデータセキュリティーの標準が定められてもいるし、ISOにおいては、15408の基準は定められているところである。わが国においてもJISのQ15001が定められており、むしろ、現在は、これらの基準をもとに、いかに情報保護が図られていくかという問題に問題点は移っており、その状況はわが国においても、英国においても変わりはないということがいえるであろう。

 

(5)透明性の確保

 

これは、英国98年法の第6原則であるデータ主体の原理に従って処理されなくてはならないというものに対応し、保護法案第29条以下の公表等 訂正等・利用停止苦情処理等の各規定において個人が自己の情報の取扱状況を把握しうる可能性、及び必要な関与をしうる可能性が確保されることとして展開されているところである。この原則の射程範囲については、むしろ個人の権利の比較として項を変えて行った方がより有効であると考えられる。

 

3個人情報主体の地位-取扱状況の把握及び関与-

 

わが国においては、個人情報保護法法案28条から33条において個人の情報を把握する地位とその情報に関する関与しうる地位とが定められている。この点については、英国98年法においては、「主体情報」という用語のもと種々の権利が認められていることは前述した。わが国の保護法案は、個人の権利という位置づけではなく、事業者の情報管理に関与する地位という観点から認めたにすぎないという点が特徴といえるかもしれない。我が国においても、上記の規定は、裁判規範としても効力を有すると考えられており、英国法と比較した場合に一般的には同等であるとも言えないことはないが、詳細に見ていくと、我が国の解釈は、不十分なところを残しているのではないかと思われる。

以下は、保護法案に定める個別具体的な地位を英国法と比較して論じることとしうる。

 

(1)第三者提供の宣言について

保護法案第28条は第三者提供の宣言と称して、個人情報取扱事業者において本人の同意を得ないで個人データを第三者に提供してはならないと定めている。これは英国98年法におけるダイレクトマーケティング停止権に対応するものである。その範囲等については、英国法とわが国の保護法案との間ではその差異は認められがたいものと考えられる。しかしながら英国法が、これを、個人の請求権として位置づけ、データ管理者がデータ主体からの停止要求に従わない場合にデータ主体が要求に従いうること確保するために適切と思われる手段を裁判所に求めることができるという制度を定めていることに比較すると、位置づけとして不十分であるように思われる。

(2)公表等および開示について

保護法案第29条は個人データに関する事項の公表等を定め、第30条は開示についての定めをなしている。この規定については英国98年法において主体のアクセス権として論じられてきたところである。わが国において個人情報の主体が有している地位という観点から規定されている点が不十分ではないかというのは前述したところである。が、それ以外にも、英国法においては、個人のデータ主体がデータの源についてデータ管理者が利用しうるすべての情報が開示されるてということ、また自動的に処理される決定において、決定をなしうるに際して、どのような判断論理に基づいてなしているかという情報が提供される点で英国法の定めが充実しているということがよく理解されうる。この点についてもわが国の法案の定めについてもさらに検討されるべき状況があるということができる。

(3)訂正・利用停止等について

保護法案31条は、訂正等として「個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。」と定めているし、また第32条は利用停止等として「個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十一条の規定に違反して取り扱われているという理由又は第二十二条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な 限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。」と定めている。これらについて英国においても正確なデータの変更等についてデータ主体がデータ管理者に対してデータの変更、消去または破棄を要求しうることは、すでにふれたとおりである。英国においてこれらの権利が、私的な請求権としても位置づけられている点は注目すべきことであり裁判所に対して一定の行為を要求することができる点は注目に値する。さらに、英国法においては、データ管理者が、それらの不正確なデータに基づいて意見を表明している場合にはその意見の判断自体をも見直すように裁判所から命じられることがある点や、その正確なデータが第三者に対して開示されている場合、その修正がなされたという事実をそれらの第三者に対しても通知なければならないということになっている点などが特徴であり、これらの点についてはわが国においても将来検討されなければならない日が来るものと考えられる。

4 執行体制について

わが国の個人情報保護法はは、個人情報取扱事業者に対して種々の個人情報保護原則を順守させるとともに規定を守るよう定め、主務大臣が、勧告し・個人の重大な権利利益の侵害が切迫している場合には命令をなすことができるという形で執行体制をとっている。このように、いわば各主務大臣の縦割り行政の弊害が、そのまま個人情報保護の制度に導入されたという点でわが国個人情報保護法制の執行の実効性が懸念されるところである。この執行システムについては、英国98年法において一般的通知システムが採用されるとともに、コミッショナーがデータ管理者の居所に対する立入および捜索令状を求める権限が定められている点、また強制処分通知などの通知をなしうる点で、より法執行の実効性が確保されているということが可能であろう。

 また、いうまでもなく企業等におけるコンプライアンス体制の確立こそが、重要な役割を果たしていくであろう。その際に、システムとしての監査の役割が強調されることもいうまでもない。英国法においては、独立したデータ保護監督官がいる場合は、通知の手続きが省略されることを定めているが、わが国においても、そのような内部での独立した監査制度を法的に位置づけるということも考えられてしかるべきように思われる。

その上、英国において情報コミッショナーが、個人情報保護に対して果たしている啓蒙活動も、個人情報保護の重要な現代社会における位置づけを意識させるという点で非常に意義のあることであると思われる。

5 最後に

 執筆している現在、個人情報保護法が、果たして、立法化されるのかきわめて不透明な段階である。しかしながら、上記の具体的な指摘は、わが国での個人情報保護制度の設計・運営に一つの情報を与えることになろう。また、英国のデータ保護法98が、個人情報保護制度の設計にきわめて示唆に富むことが明らかになったといえるのであれば、マスメディアに対する個人情報保護のあり方の検討なども有意義なものとなるであろう。この点は、これからの課題となる。



[1] これらを紹介するものとして國生一彦「我が国の個人情報保護法制」NBL723 p228 (商事法務研究会、2001)

[2] 藤原静雄「ドイツの個人情報保護制度」(ジュリスト増刊「情報公開・個人情報保護」所収・有斐閣1994) 287

[3] 我が国での紹介としては、堀部政男「個人情報の法的保護」法とコンピュータ20巻67頁(法とコンピュータ学会、2002)、飯塚和之「個人情報保護法制化の国際動向・イギリス」法律時報72巻10号所収(法律時報社?、2000)・岡田安巧「イギリスの1998年法」(クレジット研究21号?、1999)など。なお、「イギリスにおける個人情報保護の現状」(前出「情報公開・個人情報保護」)302頁は、データ保護法1984およびその施行状況を説明している。

[4]  諸外国のデータ保護法制を概観するものとして、岡村久道・新保史生共著「電子ネットワークと個人情報保護 オンラインプライバシー法入門」(経済産業調査会2002)、新保史生「プライバシ−の権利の生成と展開」 (成文堂 2000)などがある。

[5]  なお、本稿は、わが国の個人情報保護法案の解釈内容等について一定の知識を前提としている。かかる解説として、藤田康幸 編著「個人情報保護法 Q&A」(中央経済者 2001)など。

[6] なお、本稿はIan Lloyd ”A Guide to The Data Protection Act 1998”(butterworth,1998) の説明によるところが多い。同法の説明としては、情報コミッショナーにおける”Data Protection Act 1998: Legal Guidance”(http://www.dataprotection.gov.uk/dpa98.htm)Rosemary Jay and Angus Hamilton “Data Protection Law and Practice”(Sweet & Maxwell 1999), Peter Carely “Data Protection in the UK”(Blackstone Press 2000)などがある。

[7] Jay And Hamilton前出(注6P1以下。

[8] これについては、Jay and Hamilton前出(注6P15以下が詳細である。

[9] なお、(3)堀部論文は、個々の条文を紹介している。

[10] Jay And Hamilton、前出(注6P27以下

[11] 附則7条(SCH7

[12] 第2回個人情報保護法制化専門委員会資料(http://www.kantei.go.jp/jp/it/privacy/houseika/dai2/siryou1-7.html)にも簡単な訳がある。

[13] Jay and Hamilton 前出(6)p45以下。

[14] もっとも、コンフィデンス違反の場合も適法とはいえないとされているJay and Hamilton 前出(6)p48

[15] 以下は、Ian Lloyd前出(6)p54以下による。

[16] 以下のCCN事件、Equifax事件以外に、Credit & Data Marketing Services Ltd. v. Data Protection Registrar, 1991;Infolink Ltd. v. Data Protection Registrar, 1991がある。

[17] CCN Systems Ltd. v.  Data Protection Registrar, 1991

[18]  情報コミッショナーの”Credit reference”というリーフレット(http://www.dataprotection.gov.uk/dpr/dpdoc.nsf)による。なお、Ian Lloyd 前出(6)p58以下。

[19] Jay and Hamilton 前出(6)p61。これによると第2原則は、84年法と原則の数を合わせようとしたのであろうとか、公正さの「安全ネット」としたのであろうとされるところである。

[20] Community Charge Registration Officer of Runnymede Borough Council v. Data Protection Registrarなど。なお、 Jay and Hamilton  前出(6)p62

[21] Jay and Hamilton  前出(6)p

[22] Council Decision 92/242/EEC in the field of security in information systems; OJ L 123,8.5.92, p 19.

[23] http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp54en_1.pdf69およびhttp://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp54en_2.pdf69

[24] http://europa.eu.int/comm/internal_market/en/dataprot/adequacy/index.htm

[25] タイトルは、「The Eighth Data Protection Principle and Transborder Dataflows」で副題は「The data protection Commissioner’s legal analysis and suggested “Good practice approach” to assessing adequacy including consideration of the issue of contractual solutions」である(http://www.dataprotection.gov.uk/dpr/dpdoc.nsf)参照

[26] Confederation of British Industry。ここでは、データ移転が、@輸出しているデータ管理者の管理下でありうる加工業者へ移転A国際的なまたは多国籍の会社またはグループ内の移転B銀行業または旅行セクターのような、独立の組織のコンソーシアム内の移転C依頼人の事件の範囲で国際的な弁護士または会計士といったプロのサービスの供給者の間での移転Dたとえば、ダイレクト・マーケティングにもちいられるような、使用とレンタルに関する個人データの移転Eデータ主体および購入者も継続的な関係のない第三者に対する販売データの移転に分けられている。

[27] http://www.dataprotection.gov.uk