EU指令

「個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」

ECOMプライバシー問題検討WG訳)


 これは,個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令(95/46/EC)の電子商取引実証推進協議会ECOMのプライバシー問題検討ワーキング・グループ(主査:堀部政男中央大学法学部教授,副主査:佐草 幸一電子商取引実証推進協議会主席研究員 )による翻訳です。元の翻訳文は,同ワーキング・グループの「電子商取引における個人情報の保護に関する中間報告書」の中に含まれておりますが,同ワーキング・グループからの許諾を得て,ここに転載します。同ワーキング・グループとりわけ堀部政男教授及び佐草 幸一主任研究員に対し,深く感謝いたします。

 この翻訳は,このEU指令の翻訳としては最も信頼できるものです。

 なお,このガイドラインのオリジナル・テキスト(各国語版)は,

http://www.privacy.org/pi/intl_orgs/ec/eudp.html

で入手することができます。


個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令

 

第T章 一般条項

第1条 指令の目的

1.本指令に従って、加盟国は個人データの処理に対する自然人の基本的人権及び自由、特にプライバシー権を保護するものとする。

2.加盟国は第1項に従って与えられる保護に関係する理由のために、加盟国問の個人データの自由な流通を規制又は禁止してはならないものとする。

第2条 定  義

本指令の目的のために、以下のように用語の意味を定義する。

(a)「個人データ」とは、特定できる、又は特定できない自然人(データの対象者)に関する全ての情報を意味するものとする。特定できる人物とは、特に身元確認番号の参照によって、又はその人物の肉体的、生理的、精神的、経済的、文化的、経済的アイデンティティーによって、直接又は間接に特定することができる者を意味する。

(b)「個人データの処理」(処理)とは、自動的な手段であるかどうかに関わらず、個人データに対して行われる作業又は一連の作業を意味するものとする。これには、収集、記録、編成、保存、編集、変更、検索、参照、利用、もしくは移転、公開、その他の方法による開示、もしくは連結、ブロック化、消去又は破壊が含まれる。

(c)「個人データのファイリングシステム」(ファイリングシステム)とは集約型であるか分散型であるか、それとも機能又は地理的条件に基づいて分散されているかどうかに関わらず、特定の基準に基づいてアクセスすることのできる個人データの構造を意味する。

(d)「管理者」とは、個人データの処理の目的及び手段を決定する自然人、法人、公的機関、政府機関、又はその他の全ての団体を意味するものとする。処理の目的及び手段が国家の又はECの法律や規則によって決定される場合には、国家又はECの法律は、管理者又はその指名に対する特定の基準を規定することができる。

(e)「処理者」とは、管理者のために個人データの処理を行う自然人、法人、公的機関、政府機関、又はその他の全ての団体を意味するものとする。

(f)「第三者」とは、データの対象者、管理者、処理者、及び管理者又は処理者の直接の管理の下で、データを処理する権利を与えられている人物以外の自然人、法人、公的機関、政府機関、又はその他の全ての団体を意味するものとする。

(g)「受取人」とは、第三者であるかどうかに関わらず、データの開示の対象となる自然人、法人、公的機関、政府機関、又はその他の全ての団体を意味するものとする。しかし、特別な照会によって、データを受け取る監視機関は受取人とは見なされないものとする。

(h)「データの対象者の同意」とは、データの対象者が処理に関する情報を与えられた上で、自分に関する個人データの処理に対する合意を示す特定の自由な意志表示を意味するものとする。

第3条 範  囲

1.本指令は、全部又は部が自動的な手段による個人データの処理、並びに、ファイリングシステムの一部である、又はファイリングシステムの一部とすることを意図している個人データの非自動的な処理に対して適用されるものとする。

2.本指令は、以下の個人データの処理には適用されないものとする。

−欧州統一に関する条約の第5条及び6条に規定されているような、共同体法の範囲外の活動の過程で行われる個人データの処理。また公安、防衛、国家の安全(国家の経済的繁栄を含む)、及び刑法分野での国家活動に関する処理。

−自然人によって、純粋に個人的又は家庭的な活動の過程で行われる個人データの処理。

第4条 適用される国内法

1.各加盟国は、本指令に従って採択した国内規則を以下の場合に個人データの処理に適用するものとする。

(a)管理者が、加盟国の領域内に設立した設備によって処理を行う場合。同じ管理者が複数の加盟国の領域内で設立される場合には、その管理者は、適用される各国内法が定める義務の遵守を確保するために、必要な措置を取らなければならない。

(b)加盟国の領域外ではあるが、国際公法によって国内法が適用される場所に管理者が設立されている場合。

(c)管理者が、EC領域外に位置しているが、加盟国の領域内にある自動又はその他の設備を個人データの処理のために利用する場合。但し、このような設備がEC領域を通過する目的だけのために利用される場合は、この限りではない。

2.第1項(c)の状況の下では、その加盟国の領域内で設立された代理店を指名しなければならない。但しこのことは、管理者自身に対して提起される訴訟活動を妨げない。

第U章 個人データの処理の合法性に関する一般規則

第5条

加盟国は本章の規定の制限内で、個人データの処理が適法となる条件をより正確に定めるものとする。

第T部 データの質に関する原則

第6条

1.加盟国は、個人データが以下の条件を満たすことを確保するものとする。

(a)公正かつ適法に処理されること。

(b)特定、明確、及び合法的な目的のために収集され、このような目的に反した方法で、処理されることのないこと。歴史、統計、又は科学的目的のための、データの処理は、加盟国が適切な保護条項を規定している限り、目的に反しているとは見なされないものとする。

(c)適切、妥当であること。そのデータが収集された目的、及び/又は、それが処理される目的に関して、過度でないこと。

(d)正確であること。必要な場合には、最新の情報を維持すること。データが収集された目的、又はそれが処理される目的に関して不正確又は不完全なデータが消去又は修正されることを確保するために、全ての合理的な手段が取られなければならない。

(e)データが収集された目的、又はそれが処理される目的のために必要なだけの期間、データの対象者の特定が可能な形式で保存すること。加盟国は、歴史、統計、又は科学的利用を目的として、個人データを長期間保存するために、適切な保護条項を規定するものとする。

2.管理者は、第1項の遵守を確保するものとする。

第U部 データ処理の適法性の根拠に関する原則

第7条

加盟国は、個人データが以下の条件を満たす場合にのみ、処理されることを確保するものとする。

(a)データの対象者が明確に合意を与えた場合。

(b)データの対象者が当事者である契約の履行のために、処理が必要な場合、又は、契約を締結する前に、データの対象者の要請による段階的作業のために処理が必要な場合。

(c)管理者が従うべき法的義務のために、処理が必要な場合。

(d)データの対象者の重要な利益を保護するために、処理が必要な場合。

(e)公衆の利益のために、もしくは管理者又はデータの開示の対象となる第三者に与えられている公的権限の行使による業務のために処理が必要である場合。

(f)管理者、データ開示の対象となる第三者、又はその他の当事者の合法的な利益のために、処理が必要である場合。但し、第1条1項に従って保護が要求されるデータ対象者の利益、基本的人権及び自由が上記利益に優先する場合はこの限りではない。

第V部 特別カテゴリーの処理

第8条 特別カテゴリーのデータの処理

1.加盟国は、人種、民族、政治的見解、宗教、思想、信条、労働組合への加盟に関する情報を漏洩する個人データの処理、もしくは健康又は性生活に関するデータの処理を禁止するものとする。

2.第1項は、以下のような場合には適用されない。

(a)データの対象者が、上記のデータの処理に対して明示の同意を与えた場合。但し、加盟国の法律が、データの対象者の同意によって、第1項の禁止を放棄することができないことを規定している場合はこの限りではない。

(b)処理が労働法の分野で、管理者の義務及び特定の権利を遂行する目的のために必要である場合。但し、適切な保護条項を提供している国内法によって、権限を与えられている場合に限られる。

(c)データの対象者が物理的又は法的に同意を与えることができない場合に、データの対象者又はその他の者の重要な権利を保護するために処理が必要である場合。

(d)財団、協会、又はその他の非営利団体によって、政治的、思想的、宗教的、又は労働組合の目的のために、適切な保証を伴う合法的な活動の過程で処理が行われる場合。

但し、その処理は、当該目的に関して団体と定期的に接触している個人又は団体の構成員のみに関係していること、及び、そのデータはデータの対象者の同意なくして第三者に開示されないことを条件とする。

(e)データの対象者によって明示的に公開されたデータ、もしくは司法的請求の提起、行使、又は防御に必要なデータに関する処理。

3.第1項は、データの処理が予防的医療、診断、看護又は治療の提供、医療サービスの管理に必要な場合、並びに、データが、国内の監視機関によって設定された国内法又は規則に基づいて、職業上の秘密の義務を負う医療専門家によって、又は同様の秘密義務を負うその他の者によって処理される場合には適用されない。

4.適切な保養条項の規定に従って、加盟国は重要な公衆の利益を理由として、第2項に規定されているものに加え、国内法又は監視機関の決定により例外を規定することができる。

5.犯罪、刑法上の起訴、又は防衛問題に関するデータの処理は、公的機関の管理の下でのみ行うことができる。但し、国内法に基づいて、適切な特定の保養条項が規定されている場合には、国内規則に基づいて、加盟国はこの規定を軽減することができる。

しかし、刑法上との起訴に関する完全な登録は、公的機関の管理のもとでのみ維持することができる。

加盟国は、行政的制裁又は民事訴訟に関するデータも公的機関の管理の下で処理されるべきことを規定することができる。

6.第4項及び5項に規定されている、第1項の軽減は、委員会に対して通知されるものとする。

加盟国は、国内識別番号又はその他の一般的に適用される識別データを処理することができる条件を定めるものとする。

第9条 個人データの処理と表現の自由

加盟国は、プライバシー権と表現の自由に関する規則とを調和させる必要があると認められるジャーナリズム、芸術、文学のためにのみ行われる個人データの処理に対して、本章、第4章及び第6章からの規定の免除又は軽減を定めるものとする。

第W部 データの対象者に与えられる情報

第10条 データの対象者からデータを収集する場合の情報

加盟国は、データが収集されるデータの対象者に対して、管理者又はその代理人が、少なくとも以下の情報を提供しなければならないことを定めるものとする。但し、すでにデータの対象者が知っている場合はこの限りではない。

(a)管理者及びその代理人がいる場合はその者の氏名。

(b)データが処理される目的。

(c)次に示すような追加情報。

−データの受取人又は受取人の分類。

−質問に対する回答が義務であるのか、任意であるのかに関する情報、及び回答しなかた場合に考えられる結果。

−対象者に関するデータにアクセスし、修正を行う権利の有無。
必要がある限り、データが収集される特別な状況を考慮にいれて、データの対象者に対して、公正な処理を保証すること。

第11条 データが、データの対象者から収集されなかった場合の情報

1.データがデータの対象者から取得されなかった場合には、加盟国は管理者又はその代理人が個人データの記録時、又は第三者に対して開示する予定がある場合には、最初にデータが開示される時より早い時点に、データの対象者に対して少なくとも以下の情報を提供しなければならないことを規定するものとする。但し、データの対象者がすでに知っている場合はこの限りではない。

(a)管理者及びその代理人がいる場合はその者の指名。

(b)データが処理される目的。

(c)次に示すような追加情報。

−関係データの分類。

−受取人又は受取人の分類。

−データの対象者に関するデータにアクセスし、修正を行う権利の有無。

必要がある限り、データが収集される特別な状況を考慮にいれて、データの対象者に対して、公正な処理を保証すること。

2.特に統計、歴史、科学調査のための処理に対して、情報の提供が不可能、又は過度の困難を伴う場合、もしくは記録又は開示が法律によって明示的に規定されている場合は、第1項は適用されないものとする。このような場合に加盟国は、適切な保護条項を規定するものとする。

第X部 データの対象者のデータに対するアクセス権

第12条 アクセス権

加盟国は全てのデータの対象者に対して、管理者から以下のことを取得する権利を保証するものとする。

1.制限なしに、合理的な間隔をおいて、過度の遅れ及び費用を伴うことなく、以下の情報を取得すること。

−データの対象者に関するデータが処理されているのかどうかに関する確認、及び少なくとも処理の目的、関係データの分類、データが開示される受取人又は受取人の分類に関する情報。

−処理されているデータの判読可能な形式での通知、及びデータの収集源に関する入手可能な情報。

−少なくとも第15条1に規定されている自動判断の場合には、データの対象者に関するデータの自動的処理に関わる論理の知識。

2.然るべき場合には、特にデータの不完全又は不正確な性質を理由とする、処理が本指令の規定に従っていないデータの修正、消去又はブロック化。

3.第2項に従って行われた修正、消去又はブロック化のデータが開示された第三者に対する通知。但し、これが不可能又は過度の困難を伴うことが確認された場合はこの限りではない。

第Y部 免除と制限

第13条 免除と制限

1.加盟国は、制限が権利を保護するために適切である場合には、第6条1、10条、11条1、12条及び21条に規定されている義務及び権利の範囲を、以下の事柄を保護するために制限する法的措置を採択することができる。

(a)国家の安全。

(b)防衝。

(c)公安。

(d)刑事的犯罪又は規制されている職業に対する倫理違反の防止、捜査、発見及び起訴。

(e)金融、財政及び税金に関する事柄を含む加盟国及び欧州連合の車要な経済的又は財政的利益。

(f)(c)(d)及び(e)項で触れた場合に関して、公的機関の業務に絶続的又は非維続的に関わる監視、捜査又は規制職務。

(g)データの対象者又はその他の者の権利及び自由の保護。

2.特に、特定のデータの対象者に関する、措置又は決定を目的としない場合は、適切な法的保証に従って、加盟国は法的措置によって第12条に規定されている権利を制限することができる。これには、データが歴史的調査の目的だけのために処理される場合、又は統計を作成する目的だけのために必要な期間の間、個人的な形式で保存される場合などが含まれる。

第Z部 データの対象者の拒否権

第14条 データの対象者の拒否権

加盟国はデータの対象者に以下の権利を付与する。

(a)少なくとも第7条(c)及び(f)条に規定されている場合には、常に対象者に関するデータの処理に対する特別な状況に関して、強制的かつ合法的に、拒絶する権利。但し、国内の法律に、反対の主旨の規定がある場合には、この限りではない。正当な拒絶があった場合には、管理者によって始められた処理に、もはやその個人のデータを含むことができない。

(b)要請によって、管理者が直接的商業目的のために処理する予定のある、対象者に関する個人的データの処理を、費用を払うことなく拒絶する権利。

個人データが最初の第三者に開示される前に、また第三者の直接的商業目的のために利用される前に、通知を受ける権利、及び費用を払うことなく、このような開示及び利用を拒絶する権利が明示的に与えられる。

加盟国は、データの対象者が第(b)項の第1文に規定されている権利の存在を知っていることを確保するために必要な措置を取るものとする。

第15条 個人に関する自動的判断

1.加盟国は、対象者の業務成績、信用度、行為などの対象者に関する個人的な事柄を評価することを意図した、データの自動的な処理のみに基づく、対象者に関して法的な効果を有し、又は対象者に重大な影響を与える決定の対象とならない権利を全ての者に与えるものとする。

2.以下の条件を満たす場合には、加盟国は本指令の他の条文に従って、第1項で触れた判断を行うことができることを規定するものとする。

(a)契約の締結又は履行の過程で行われる決断。但し、データの対象者からの要求が満たされ、またデータの対象者に自らの見解を防衛することを認める措置のような、対象者の法的権利を守るための適切な措置が存在することを条件とする。

(b)法により認められている判断。但し、その法は、データの対家者の正当な権利を保護するための措置を規定している必要がある。

第[部 処理の秘密保持及び安全

第16条 処理の秘密保持

個人データにアクセスすることができる管理者又は処理者の監督の下で働いているものは、処理者自身を含め、管理者からの指示に基づく場合を除き、個人データを処理してはならない。但し、法により処理が要請される場合は、この限りではない。

第17条 処理の安全

1.加盟国は、特に、処理がネットワーク上でのデータの伝送を伴う場合、及びその他の全ての不法な処理形式に対して、管理者が個人データを不慮の又は不法の破壊、不慮の損失及び無許可の変更、開示又はアクセスから保護するために、適切な技術的及び組織的措置を取らなければならないことを規定するものとする。

最新技術及び、その実施の費用を考慮に入れて、かかる措置は、処理によって生じうる危険、及び処理されるデータの性質に対して適切な安全のレベルを確保するものとする。

2.加盟国は、管理者が処理を自らのために行う場合には、実施される処理に関する、技術的安全措置及び組織的措置に対して、十分な保証を提供する処理者を選ぶべきこと、及びこのような措置の遵守を確保しなければならないことを規定するものとする。

3.処理者による処理の実行は、処理者を管理者に対して拘束し、特に、以下の事柄を規定する契約又は法律行為に準拠しなければならない。

−処理者は、管理者の指示のみに基づいて行動すべきこと。

−処理者の所在する加盟国の法律によって定義され、第1項に規定されている義務は処理者にも課せられるべきこと。

4.証拠を維持するために、データの保護に関する契約又は法律行為、及び第1項で触れた措置に関係する条件の一部は、書面又はその他の同等の形式によるものとする。

第\部 通知

第18条 監視機関に通知する義務

1.加盟国は、管理者又はその代理人が、1つの目的又は複数の関係する目的を意図した全体的又は部分的に自動的な一連の処理作業を実行する前に、第28条で触れる監視機関に通知しなければならないことを規定するものとする。

2.加盟国は、以下の場合のみに、以下の条件に基づいて、通知義務の簡略化又は免除を規定することができる。

−処理されるデータを考慮に入れて、データの対象者の権利及び自由を害するおそれの少ないと見なされる処理作業の分類に対して、管理者又はその代理人が、処理の目的、処理されるデータ、データの分類、データの対象者の分類、データが開示される受取人又はその分類、データが保存される期間を指定した場合。

−管理者が、適用される国内法に従って、特に以下の事柄に責任を有するデータ保護職員を指名した場合。

−他から独立して、本指令に基づいて制定される国内規則の適用を確保すること。

−第21条2に掲げられている情報項目を含むデータに関し、管理者が行った処理作業の記録を維持すること。

これによって、処理作業がデータの対象者の権利及び義務を害しないことを確保すること。

3.加盟国は、登録の維持を唯一の目的とする処理作業が、法律又は規則に従って、国民に情報を提供し、国民又は正当な権利を有する全ての者による参照のために開放することを意図している場合には、第1項は適用されないことを規定することができる。

4.加盟国は、第8条2(d)で触れた場合又は処理作業に関して、通知義務の免除又は簡略化を規定することができる。

5.加盟国は、個人データに関するある種の又は全ての自動的でない処理作業に対して、通知義務を課することができる。またこのような作業に対して、通知義務の簡略化を規定することもできる。

第19条 通知の内容

1.加盟国は、通知に含まれるべき情報を指定するものとする。これには少なくとも以下のものが含まれる。

(a)管理者及びその代理人がいる場合には、その者の氏名及び住所。

(b)目的及び処理の目的。

(c)データの対象者の分類、及びデータの対象者に関連するデータ又はデータの分類の記述。

(d)データが開示される予定の受取人又は受取人の分類。

(e)第三国に対するデータの移動の予定。

(f)処理の安全を確保するために、第17条に従って取られた措置の適切性に関する予備査定のための一般的説明。

2.加盟国は、第1項で触れた情報に影響を与える変更を、監視機関に通知しなければならないデータ処理を指定するものとする。

第20条 事前の検査

1.加盟国は、データの対象者の権利及び自由に特有の危険をもたらすおそれのある処理作業を指定し、かかる処理作業が始められる前に検査が行われることを確保するものとする。

2.かかる事前の検査は、管理者からの通知を受けた後に、管理者又はデータ保護職員によって行われる。データ保護職員は、疑問点があれば監視機関に相談しなければならない。

3.加盟国は、国会によって決議された措置の準備段階で、又はかかる決議に基づいて、データ処理作業の性質を定義し、適切な保護集項を規定するために、上記検査を行うことができる。

第21条 処理作業の公開

1.加盟国は、処理作業が公開されることを確保するための措置を取るものとする。

2.加盟国は、第18条に従って通知された処理作業の登録が、監視機関によって維持されるべきことを規定するものとする。

登録には、少なくとも第19条1の(a)から(e)に掲げられている情報が含まれるものとする。

誰でも、この登録を検査することができるものとする。

3.加盟国は、通知義務の対象とならない処理作業に関して、加盟国に指定された管理者又はその他の団体が、少なくとも第19条1の(a)から(e)に掲げられている情報を、あらゆるものに、適切な形式で提供することを規定するものとする。

加盟国は、登録の維持を唯一の目的とする処理作業が、法律又は規則に従って、国民に情報を提供し、国民又は正当な権利を有する全ての者による参照のために開放することを意図している場合には、本条項は適用されないことを規定することができる。

第V章 司法的救済、責任及び罰則

第22条 救 済

司法当局への照会の前に、とりわけ第28条で触れる監視機関によって規定される行政的救済を害することなく、加盟国は、データ処理に適用される国内法が保証する権利の全ての侵害に対して、司法的救済を受ける権利をあらゆる者に与えるものとする。

第23条 責 任

1.加盟国は、遵法な処理作業、又は本指令に従って採択された国内規則に反する行為によって損害を被った全ての者に、管理者から損害賠償を受け取る権限を与えるものとする。

2.管理者は、損害の原因となった事態に対して責任を有しないことを証明すれば、この責任の全部又は一部から免除されることができる。

第24条 制 裁

加盟国は、本指令の条文の完全な実施を確保するために、適切な措置を採択するものとし、特に本指令に従って採択された国内規定の違反に対して課される制裁に関して規定するものとする。

第W章 第三国に対する個人データの移動

第25条 原 則

1.加盟国は、処理されている、又は後に処理される予定の個人データの第三国への移動は、当該第三国が適切なレベルの保護を提供している場合に限られることを規定するものとする。但し、本指令に従って採択された国内規定に対する遵守を害しないことを条件とする。

2.第三国によって提供される保護レベルの適切性は、一連のデータの移転作業を取り巻く全ての環境に照らして査定されるものとする。特にデータの性質、提案された処理作業の目的及び期間、データの移転元の国及び最終目的国、当該第三国で効力を有する一般的な及び分野別の法律、当該第三国で遵守されている職業上の規則、及び防衛上の措置が考慮に入れられるものとする。

3.加盟国及び委員会は、第三国が第2項の意味の枠内で適切な保護のレベルを確保していないと考える場合には、互いに情報を交換するものとする。

4.委員会は、第31条2に規定されている手続きに基づいて、第三国が本条の第2項の意味の枠内で、適切なレベルの保護を確保していないことを認定した場合には、加盟国は当該第三国に同種のデータの移転を妨げるために必要な措置を取るものとする。

5.委員会は適切な時に、第4項に従って行われた認定から生じた状況を修正するために交渉を行うものとする。

6.委員会は第31条2に規定されている手続きに従って、個人のプライバシー権、基本的自由及び権利の保護に対する第三国の国内法、又は委員会が特に第5項で触れた交渉の結果に基づいて実施した国際的介入によって、本条第2項の枠内で適切なレベルの保護を確保していることを認定することができる。

加盟国は、委員会の決定に従うために必要な措置を取るものとする。

第26条 免 除

1.特別な事情に関する国内法に反対の主旨の規定がない限り、第25条からの免除として、加盟国は、第25条2の意味の枠内で、適切な保護レベルを確保していない第三国に対する個人データの一連の移転は、以下の条件に基づいて行うことができることを規定するものとする。

(a)データの対象者が提案された移転に対して、明確な同意を与えること。

(b)その移転がデータの対象者と管理者との問の契約の履行、又はデータの対象者の要請よる契約前の措置の実施のために必要であること。

(c)移転がデータの対象者のために管理者と第三国との問で締結された契約の作成又は履行のために必要であること。

(d)移転が重要な公衆の利益に基づくこと。もしくは、法的請求の提起、行使又は防御のために必要であること。

(e)移転がデータの対象者の重要な権利を保護するために必要であること。

(f)法律又は規則に従って、国民に情報を提供し、国民又は正当な権利を有する全ての者による参照のために開放することを意図している登録から移転が行われること。但し、個々の場合において、参照に関する法律に規定されている条件が満たされていることを条件とする。

2.管理者が、個人のプライバシー権、基本的人権及び自由の保護に関する保証、及び対応する権利の行使に関する十分な保証を提示する場合には、加盟国は第1項の規定を害することなく、第25条2の意味の枠内で適切な保護レベルを確保していない第三国に対する個人データの一連の移転を許可することができる。このような保証は、特に、適切な契約の条文によって設定することができる。

3.加盟国は、第2項に従って与えた許可に関して、委員会及びその他の加盟国に通知するものとする。

いずれかの加盟国又は委員会が個人のプライバシー権、基本的人権及び自由の保護に関する理由に基づいて反対する場合には、委員会は第31条2に規定されている手続きに従って、適切な措置を取るものとする。

加盟国は、委員会の決定に従うために必要な措置を取るものとする。

4.委員会が第31条2に規定されている手続きに従ってある標準的な契約の条文が、第2項によって要求される十分な保証を提供していると決定した場合には、加盟国は委員会の決定に従うために、適切な処置を取るものとする。

第X章 行動規約

第27条

1.加盟国及び委員会は、加盟国が本指令に従って採択する国内規則の適切な実施に役立てるために、様々な分野に特有な特徴を考慮にいれて、行動規約の作成を推進するものとする。

2.加盟国は、監視機関に提出するために、国内規約案を作成し、又は現存する国内規則を修正又は拡張する意思のある貿易協会及びその他の分類の管理者を代表する団体に対して、規則を制定するものとする。

加盟国は、とりわけ、提出された規約案が本指令に基づいて採択された国内規則に従っているかどうかを確認することに関して、監視機関に対して規則を制定するものとする。規約案が適切であるように思われる場合には、監視機関はデータの対象者又はその代理人の意見を求めるものとする。

3.作成委員会の規約及び現存する委員会の規約に対する修正又は拡張は、第29条に規定されている作業部会に提出することができる。この作業部会はとりわけ、提出された規則案が本指令に従って採択された国内規則に従っているかどうかを決定するものとする。規約案が適切に思われる場合には、作業部会はデータの対象者又はその代理人の意見を求めるものとする。委員会は、作業部会によって承認された規約に対して、適切な公開を確保することができる。

第Y章 個人データの処理に対しての個人の保護に関する監視機関及び作業部会

第28条 監視機関

1.各加盟国は、1つ以上の公共機関が、本指令に従って加盟国が採択した規則の国家領域内での適用を監視することに責任を有することを規定するものとする。

このような機関は委任された職務を、完全に独立して遂行するものとする。

2.加盟国は、個人データの処理に対する個人の権利及び自由の保護に関する行政的措置又は規制を作成する場合には、監視機関に相談すべきことを規定するものとする。

3.各監視機関は以下の権限を与えられる。

−処理作業の目的物となるデータにアクセスする権限、監視職務の遂行のために必要な全ての情報を収集する権限のような調査権。

−例えば、処理作業が実施される前に、第20条に従って勧告を行う権限、そのような勧告の適切な公開を確保する権限、データのブロック化、消去又は破壊を命じる権限、処理に対する一時的又は確定的な禁止を命じる権限、管理者に警告又は懲戒を与える権限、問題点を国会又はその他の政治機関に照会する権限などの効果的な介入権。

−本指令に従って採択された国内規則の違反があった場合に、訴訟を起こし、又はこのような違反を司法当局に通知する権限。

不満の対象となった監視機関の決定は、法廷を通じて訴えることができる。

4.各監視機関は、個人データの処理に対する個人の権利及び自由に関して、個人又は個人を代表する協会からの請求を受けるものとする。関係個人は、請求の結果に関して通知を受けるものとする。

各監視機関は、本指令の第13条に従って採択された国内規則が適用される場合には、個人によるデータの処理の合法性に関する調査に対しての請求を受けるものとする。

個人は、少なくとも調査が行われたことの通知を受けるものとする。

5.各監視機関は定期的にその活動に関して、報告書を作成するものとする。その報告書は公開されるものとする

6.各監視機関は、当該処理に対してどの国内法が適用されるかに関わらず、自らの加盟国の領域内において、第3項に従って与えられた権限を行使することができる。各監視機関はその他の加盟国の監視機関によって、その権限の行使を求められることがある。

監視機関は、特に全ての有用な情報を交換することによって、職務の遂行に必要な範囲で、お互いに協力するものとする。

7.加盟国は、監視機関の構成員及び職員が、雇用が終了した後でも、アクセスした秘密情報に関して職業上の秘密義務を負うことを規定するものとする。

第29条 個人データの処理に対しての個人の保護に関する作業部会

1.個人データの処理に対しての個人の保護に関する作業部会がここに設立される。(以下作業部会という)

作業部会は、助言を与える権限及び独立して行動する権限を有するものとする。

2.作業部会は監視機関の代表者又は各加盟国によって指定された1つ以上の監視機関の代表者、ECの機関及び団体のために設立された1つ以上の監視機関の代表者、及び委員会の代表者から構成される。

作業部会の各構成員は、その者が代表する協会又は1つ以上の監視機関から指名されるものとする。加盟国が1つ以上の監視機関を指定している場合には、加盟国は、共同代表を指名するものとする。同様のことがECの機関及び団体に対して設立された監視機関に対しても当てはまるものとする。

3.作業部会は、監視機関の代表者の単純多数決によって決定を行うものとする。

4.作業部会は議長を選任するものとする。議長の任期は2年とする。但し、この任期は更新しうるものとする。

5.作業部会の事務局は、委員会が提供するものとする。

6.作業部会は、独自の手続規則を採択するものとする。

7.作業部会は、議長の独自の判断によって、もしくは監視機関の代表者の要請、又は委員会の要請によって議題に挙げられた事柄を検討するものとする。

第30条

1.作業部会は、以下の事柄を行うものとする。

(a)本指令に基づいて採択された国内措置の統一的な適用に貢献するために、問題点を検討すること。

(b)EC内及び第三国内での保護レベルに関して、委員会に意見を述べること。

(c)本指令に対する修正案、個人データの処理に対しての自然人の権利及び自由を保護するための追加又は特定の措置、及びかかる権利及び自由に影響を与える、提案されたその他のECの措置に関して、委員会に助言を与えること。

(d)ECレベルで作成された行動規約に関して、意見を述べること。

2.作業部会が、EC内での個人データの処理に対しての個人の保護の同等性に影響を与えるおそれのある相違が、加盟国間の法律又は慣習の間で生じていることを確認した場合には、それを委員会に通知するものとする。

3.作業部会は、独自の判断でEC内の個人データの処理に対する個人の保護に関する全ての問題点に関し、勧告を行うことができる。

4.作業部会の意見及び勧告は、委員会及び第31条で触れる専門委員会に通知されるものとする。

5.委員会は作業部会に対して、その意見及び勧告に対応して行った行動を通知するものとする。この通知は報告書によって行い、この報告書は欧州議会及び評議会に対しても提出されるものとする。この報告書は公開されるものとする。

6.作業部会は、EC内及び第三国内での個人データの処理に対しての自然人の保護に関する状況に関して、年次報告書を作成し、それを委員会、欧州議会、欧州評議会に提出するものとする。この報告書は、公開されるものとする。

第Z章 ECが実施する措置

第31条 専門委員会

1.委員会は加盟国の代表者によって構成され、委員会の代表者が議長を務める専門委員会の支援を受けるものとする。

2.委員会の代表者は専門委員会に、措置の草案を提出するものとする。専門委員会はその事柄の緊急性に従って、議長が定めた期限内に、その草案に関する意見を提出するものとする。

その意見は、条約の第148条(2)に規定されている多数決によって決議されるものとする。専門委員会内の加盟国の代表者の議決は、当該条文に規定されている方法によって数えられるものとする。議長は、議決権を有しないものとする。

委員会は、計画された措置が、専門委員会の意見に従っている場合には、それを採択するものとする。

計画された措置が、専門委員会の意見に反しているか、又は専門委員会の意見が提出されなかった場合には、委員会は直ちに、当該措置に関する提案を評議会に提出するものとする。評議会は、定足数によって行動するものとする。

3ヵ月の諮問期間の内に、評議会が行動を起こさなかった場合には、提案された措置は、委員会によって採択されるものとする。

最終条項

第32条

1.加盟国は、本指令の採択から少なくとも3年以内に本指令を遵守するために必要な法律、規則及び行政規定を発効させるものとする。

加盟国は、このような規定を採択する際には、本指令に対する参照を加え、公報を出版する場合には、参照文を添付するものとする。このような参照を作成する方法については、加盟国が規定するものとする。

2.加盟国は、本指令に基づいて採択された国内規定が発効した日にすでに実施されている処理が、その日から3年以内にかかる規定を遵守することを確保するものとする。

上記の副項の軽減として、加盟国は本指令の実施のために採択された発効日にすでに行われている、手作業のファイリングシステムによるデータの処理を、本指令が採択された日から12年以内に第6、7及び8条に従わせるものとする。但し、加盟国は、データの対象者に対して、特にアクセス権を行使する時に、要請によって、不完全、不正確、又は管理者が追求する合法的な目的に反した方法で保存されているデータの修正、消去又はブロック化を行う権利を与えるものとする。

3.第2項の軽減として、加盟国は適切な保護条項に従って、歴史調査の目的だけのために維持されているデータは、本指令の6、7及び8条に従う必要がないことを規定することができる。

4.加盟国は、本指令の対象となる分野において採択した国内法の規定を委員会に対して通知するものとする。

第33条

委員会は第32条1に記載されている日付から3年以内の時点以降、定期的に欧州評議会及び欧州議会に対して、本指令の実施に関し、報告書、及び必要があれば適切な修正案を添付して、報告を行うものをする。この報告は公開されるものとする。

委員会は、特に自然人に関する音響及び画像データの処理に対しての、本指令の適用を調査し、情報技術の発展、及び情報化社会の発展状況を考慮に入れて、必要と見なされる適切な提案を提出するものとする。

第34条

本指令は、各加盟国を対象とし、以下の者によって署名された。

 

欧州議会議長


欧州評議会の論拠声明

T.序

1990年6月18日、委員会は、個人データの処理に対しての個人の保護に関する指令の提案を提出した。この提案は、条約の第100条a及び113条に基づいて作成された。

欧州議会は1992年3月11日に最初のリーディングに基づく見解を発表し、委員会の提案に対する多くの修正を提案した。

経済社会委員会は1991年4月24日に、その見解を発表した。

このような見解を考慮に入れて、委員会は1992年10月15日に、指令に対する修正提案を提出した。

1995年2月20日、欧州評議会は、条約の189条b(2)に従って、共通方針を採択した。

U.目 的

指令に対する提案は、情報化社会が欧州の市民に受け入れられる方法で発展するために不可欠な、明確かつ安定した法的枠組みの一部を形成する。

もっと具体的には、その提案は個人データがEC内で自由に移動できることを確保し、個人データの処理に関して、全ての加盟国で、個人の保護に関する同等のレベルの保護を設定することにより、生じるおそれのある競争の歪み及び企業の移転の危険を防止するために作成された。

高いレベルの保護は、一方では、自らの責任の下で処理作業に携わっている個人、公共機関、企業又は協会に対して義務を課することによって、他方では、データの処理の対象となる自然人の権利を定めることによって達成することができる。

管理者の義務は、とりわけ、データの質、及び特定かつ合法的な目的のための使用に関連する。合法性とは、データの対象者の同意、無許可のアクセスを防止するための技術的安全性、及び国内監視機関に対する処理の通知を含む、処理に対する基礎的事項に関連する。

自然人の権利は、様々な状況の下で、その者に関係するデータが処理される時に通知を受ける権利、何のデータであるかを調べる権利、データが不正確である場合には、それを修正する権利、処理を拒絶する権利などが含まれる。

V.共通方針の分析

A.包括的見解

共通方針は、最初のリーディングに基づいて欧州議会が表明した憂慮を非常に重視している。

特に共通方針は、公共部門及び民間部門に関する規則の間の正式の区別を廃止することに関して、欧州議会が提案した主な修正を検討した。これは、本文の完全な再構成を必要とした(修正7から29、39から41、118から119)。

共通方針はまた、データの様々な使用に関する保護の実施に対して、広義のコンセプトを採択することに関する欧州議会のアイデアを採用することを検討した。この目的のために、「処理」のコンセプトが採用された。「ファイリングシステム」というコンセプトは、今後は手作業によるデータ処理に関してのみ使用されるようになるであろう。欧州議会は、「ファイリングシステム」というコンセプトは時代遅れであり、コンピュータ化及びテレコミュニケーションの発展の文脈にはそぐわないことを示唆した。

また本文の明確化又は簡略化、もしくは加盟国間での同等の保護を保証し、しかも保護レベルの低下につながらない柔軟な措置を導入するために多くの修正がおこなわれた。これによって、効果的で、煩雑でない方法によって、一般的原則を様々な個人データの処理方法に適用することが可能になった。

さらに、欧州評議会及び委員会は、第100a条が指令のための適切な法的基礎であることを認識し、それゆえ、委員会が修正提案の中で、法的基礎として提出した113条を排除した。

欧州評議会は、第三国に対する個人データの移転に関する指令の第25条及び26条は、それ自体が通商政策の目的を追求しているわけではないことを認識した。これらの条文は、第三国に対するデータの移転に関して、水も漏らさないシステムをつくるために、当該条文と一体をなすその他の指令の条項から、当然の結果として生じたものである。

B.個々の条文に対する見解

1.共通見解の中で考慮に入れられた欧州議会の修正案

(a)定義(第2条)

データの収集段階及び様々な形式のデータの移転が処理の定義に含まれた(修正10、15、16及び34)。

個人データがより詳細に定義された(修正12)。

第三国及び処理の定義が加えられた(修正18、134)。

(b)データの質に関する原則(第6条)

処理の目的によるデータの最大保管期間に対する例外が、歴史、統計又は科学的目的のために保管されるデータに対して導入された(修正60)。

データが収集される目的は、収集の前に通知されなければならないとされた(修正59)。

(c)特別なカテゴリーの処理(第8条)

非営利団体による、政治的、思想的、宗教的、又は労働組合の目的のための個人データの処理は、それが構成員に関する機密性の高いデータに関連する場合には、特別の免除が与えられること。但し、その他の場合には、禁じられるべきこと(修正149)。

犯罪及び刑法上の起訴などに関連するデータの処理の柔軟性を求める欧州議会の希望は、本文に具体化された(修正65)。

(d)データの対象者の権利(第10、11及び22条)

データの対象者の権利は、特に以下の点で強化及び簡略化された。

−通知を受ける権利は、データの収集源及び、ある種の処理作業に関する論理にまで拡張された(修正46及び48)。

−アクセス権は第三者からの制約なしに行使できなければならないこと(修正132)。

−特に商業目的の処理に関して、拒否権はいつでも行使することができること(修正30及び145)。

−加盟国によって提供される上訴の機会は、指令によって与えられる全ての権利に拡張された。この点に関して、公共部門に対して責任を有する個人に対しても制裁を適用すべきであるとする欧州議会の要請が前文55に加えられたことを指摘しなければならない(修正52及び77)。

(e)処理の通知及び監視機関による事前の検査(第18、19及び20条)

複雑な手続きを減らし、効率化を進めるために、通知手続きに制限が加えられた。

加盟国は処理がデータの対象者の権利及び自由を損なわない場合、もしくは政治的、思想的、宗教的団体又は労働組合によって行われる場合には、通知義務からの免除又は通知の簡略化を規定することができる。実際上、非常に多くの処理作業が、このような免除又は簡略化の対象となることができる(特に欧州議会の修正23で言及されている処理)。

加えて、個人の権利及び自由に特有の危険をもたらす処理作業は、前もって監視機関の検査を受けるべきであるとする原則が検討された。欧州議会によって提示された、かかる処理作業の例は前文に参考として掲げられた(修正40、42、118及び119)。

このことによって、加盟国は、実務の多様性、及びデータ処理の発展に関する相違を必然的に生じる各国家の特徴に、手続きを適合させることが可能になる。

監視横関が通知を受け、維持している処理作業の登録の国民による調査が採択された(修正37及び39)。

(f)行動規約(第27条)

国家及び欧州レベルでの行動規約の作成は、様々な分野の特徴にあわせた方法で、指令の原則を実施するために推奨される。加えて監視機関、第29条で触れている個人の保護に関する作業部会、データの対象者及びその代理人は、このような規約の作成に関わることができる(修正72及び91)。

(g)監視機関(第28条)

各加盟国は、加盟国の連邦の構成を考慮に入れて、指令に従って採択された規定の適用を監視する1つ以上の監視機関を設立しなければならない(修正84)。監視機関の権限には、データのブロック化、消去又は破壊を命じること、もしくは処理を禁じることが含まれる(修正86)。監視機関は、定期的に報告書を公開しなければならない(修正87)。

(h) 個人の保護に関する作業部会(第29条)

欧州議会によって提案された以下の業務が検討された。

−指令に基づいて採択された国内措置の適用に関する見解の表明。

−EC内及び第三国内での保護レベル、及び個人の権利と自由を保護するための措置に対する見解の表明。

−独自の措置に関する見解の表明。

委員会は、作業部会の意見に基づいて行った措置を作業部会に通知するために、報告書を作成、公開し、欧州議会及び欧州評議会にも提出するものとする(修正90、91及び92)。

(i)最終条項(第36条)

委員会が定期的に欧州議会及び欧州評議会に提出する報告書は公開されなければならない(修正95)。

2.欧州評議会の共通方針による提案に対するその他の修正

(a)定義(第2条)

データの対象者に関して処理の透明性を確保するために有用な受取人の定義が加えられた。

(b)手作業のファイリングシステムによるデータ(第2条及び33条)

これまで手作業によるファイリングシステムを採用していなかった加盟国での、指令の実施を容易にし、指令の一部の条項の適用を促進するために、12年間の移行期間が設けられた。

(c)適用される国内法(第4条)

欧州評議会は、管理者の設立の場所に関して、委員会が提案した統合市場に対する一般的な基準を採用した。又、欧州評議会は、管理者の設立のコンセプト(前文19)、処理者の安全義務(第17条)、領域内で行われる処理作業に対しての監視機関の権限(第28条)に対して、有用な説明を与えた。

(d)機密性の高いデータの処理(第8条)

特に、医療又は雇用分野における重要な必要性に対応するために、適切な保護条項に従って、人種、民族、信条、健康、性生活に関するデータに対する禁止の例外が加えられた。

重要な公衆の利益のために規定された免除、及び刑法に関するデータの処理に対する規則からの免除は、委員会に対して通知しなければならない。

(e)表現の自由(第9条)

欧州評議会は、ジャーナリズムの目的のためのデータの処理を指令の範囲に加えようとする委員会の方針を承認した。このような処理及び芸術又は文学的表現の目的のために行われる処理に対しては、プライバシー権と、この分野で必要な表現の自由とを調和させるために、特別な調整が必要となるであろう。この調整は、加盟国によって実施される。

(f)統計、歴史、又は科学的目的のための処理

指令の「枠組み」的性格を維持する一方で、欧州評議会は、統計、歴史及び料学的利用のためのデータ処理に対して、最大のデータ保管期間に対する免除に関して、有用な説明を加えた(第6条1(e))。特に第6条1(b)では、このような目的のための処理作業と、その他の目的のために収集されたデータとの互換性に関して、第11条では、個人に対する情報の提供に関して規定している。又、このような目的のために処理されるデータに対するアクセス権からの選択的免除の範囲が拡張された(第13条2)。

(g)処理の透明性(第10、11及び21条)

データの対象者に対して、関連するデータの処理に関する情報を提供する義務は、処理が実行される環境の多様性に対応するために、より柔軟なものとなった(第10条及び11条)。さらに、修正前の第10条に規定されていた、自らのデータが処理されていることを知る権利を全てのものに確保する加盟国の義務は、第21条に処理作業の公開を確保する義務として組み込まれた。

(h)免除及び制限(第13条、修正前の14条)

情報の提供及び処理の透明性に関する条項(修正前の第11、12条及び21条、修正後の第10、11及び21条)に規定されている免除及び制限は、アクセス権に対する免除を規定していた修正前の14条に挿入された。

この条文に掲げられている権利を保護するために、免除及び制限の範囲は、第6条に規定されている処理の目的の原則に対して拡張された。

免除及び制限は、立法的措置によって採択されなければならないことが規定された。

アクセス権が規制される場合に、データの対象者の要請によって行われる監視機関による調査の保証措置が、第28条に組み込まれた。

(i)処理の安全(第16条及び17条)

秘密保持に関する条項は、独立の条項(第16条)として規定された。管理者と処理者の双方に影響を与える、安全に関する規定(第17条)は、簡略化された。措置の適切性の査定に対する危険基準を引き続き採用する一方で、措置の費用に対する検討が導入された。

(j)通知及び事前の調査(第18、19及び20条)

データの対象者の権利及び自由を損なうおそれが少ない処理作業の分類に対する通知からの免除(委員会からの提案)に加えて、処理作業を行うために、データ保護職員が任命され、それによって、データの対象者の権利及び自由を損なうおそれが少ないことが確保された場合に対して、通知義務の軽減が規定された。

データの対象者の権利及び自由に特有の危険をもたらすおそれのある処理作業の事前の調査は、監視機関(委員会の提案)又はデータ保護職員が監視機関と共同して行うことができる。国内法に従って、監視械関は、事前調査の後に、意見又は許諾を与えることができる。

通知及び調査に関する規定は、加盟国内で試みられてきた2つの種類の手続きが同等の効力を有するように調整を提供する。

(k)第三国(第25及び26条)

欧州評議会は、委員会によって提案された包括杓方針を承認した。すなわち、第三国に適切な保護レベルが存在しなければならないという原則、及び加盟国がその原則を固守することである。また、これに対して当分野でのECの政策は統一的に実施されることを確保するための規定が加えられた。欧州評議会は、保護レベルの査定及び義務の軽減に関して、検討されるべき局面を列挙した。

(l)監視機関(第28条)

国内行政措置又は規則が作成されるときには、必ず監視機関に助言を求めるべきことを規定した。監視機関の介入権は、暗示的に規定するにとどめ、加盟国に対して、この分野において必要な独自の判断の余地を与えた。国境を越えるデータの流通に関する監視機関の間での協力に関しての条文がより詳細に規定さ.れた。

(m)委員会(第31条)

委員会へ実施権限を付与する必要がある第三国へのデータの移転に関して、欧州評議会は、1987年6月13日の決議87/373/EECの第2条に従って、手続きV(a)を採択した。

(n)最終条項(第32及び33条)

手作業のファイリングシステムを指令に従わせるための前述した移行措置の規定とは別に、指令を国内法に書き換えるための期限を指令の採択された日から3年に延長することが必要であるように思われる。

情報化社会の発展状況の文脈の中で、技術の進歩を考慮に入れるために、委員会は、特に音響及び画像形式の個人データの処理に対する指令の適用に関して調査し、定期的な報告書にその結果をまとめるものとする


Copyright (C) 1997 Takato Natsui, All rights reserved.

最終更新日:1997/12/03

トップ・ページへ