英国データ保護法における越境データ流通の問題

EUデータ保護指令の第Ⅳ章  第三国への個人データの移転で、25条 原則は、

1項で

加盟国は、処理されている、又は後に処理される予定の個人データの第三国への移動は、当該第三国が適切なレベルの保護を提供している場合に限られることを規定するものとする。但し、本指令に従って採択された国内規定に対する遵守を害しないことを条件とする。

としています。
これに対応するのが、98年法の第1表、第1部、8文の第8原則で、「国ないし地域においてパーソナル・データの処理に関連してデータ主体の権利および自由についての適切なレベルの保護が確保されないかぎり、パーソナル・データは、ヨーロッパ経済圏外に、移転されない」とされています。

98年法の法案においては、84年法にもEU指令にも定められなかった「移転」の定義が、盛り込まれていました。それによると、データを開示すること、そうであるなければ、データに含まれる情報を利用可能にすることをいうとされていたのです(法案1条)。この定義自体は、電話やインターネットで通信されるときにも適用されるものであり、適切なものであったと考えられています。
もっとも、この定義は、最終的には、定められることがなく、その理由も明らかなものではありません。

コミッショナーのガイドラインのドラフト(1998年11月)においては、「移転」は、一つの場所から他の場所への通信という通常の意味が与えられるべきとされていました。この移転については、コントロールを失うことであるとされることもあったが、契約等によりコントロールを維持した場合でも移転されたとされることがあります。また、移転というのは、積極的なものをいうので、データが盗まれた場合には、移転とはいわないとされています。

「クロスボーダー」という用語の問題としては、特に、クロスボーダーでデータ収集を行っている会社が問題になります。EEA域内において、本店を有している会社においては、その本店を有している国の法に服するのみであるが、域外に本店を有し、英国内において設備を用いてデータ処理を行っている場合は、英国法に従うと解されています。

この原則のポイントは、移転先に対して、パーソナル・データの「適切なレベル」の保護を要求するものです。

この「適切なレベル」かどうかについては、「共同体の認識」に従って決定される事があることが述べられており、また、パーソナル・データの性質、データに含まれる情報の原産国、その情報の目的国、処理の目的、その機関、問題の国ないし地域の実効性を持つ法、その国ないし地域の国際的な義務、関連する強制力を有する行動規範、ルール、データに関するセキュリティ手段などから、判断されます。

くわしく触れると、「データの性質」というのは、センシティブな程度に応じて必要とされるべき保護の程度も変わると言うことが含意されています。
次の「データに含まれる情報の原産国」、「その情報の到達国」についていえば、(到達国の保護のレベルは問題になるとしても、その国自体には)特に意味がないのではないかという立場もある。「処理の目的と期間」については、「データの性質」と対応して問題にされるべき事柄であると考えられる。問題の国ないし地域の実効性を持つ法、その国ないし地域の国際的な義務、関連する強制力を有する行動規範、ルール、データに関するセキュリティ手段については、目的国のデータ保護体制を詳細にデータ管理者が検討することを要求する。

共同体の認識ということですが、第29条データ保護作業部会は、WP12文書(Working Document: Transfers of Personal Data to Third Countries: Applying Articles 25 and 26 of the EU Data Protection Directive (24 July 1998)以下、WP12文書という)を公表しています。この文書については、わが国においては、個人情報保護制度における国際的水準に関する検討委員会・報告書が詳しく検討しています。

また、英国レベルでのガイダンスとしては、情報コミッショナーのガイダンス があります。

ここで、このガイダンスにおいては、データ管理者は、「良き実務のアプローチ」として、(1)共同体の認識(2)移転のタイプの考察に基づく「適切性」の推定(3)「適切性テスト」の採用(4)附則第4条に含まれている規定の適用の検討を検討することが推奨されるとされます(上記ガイダンス9)。(1)については、上述した。(2)は、CBI の6つのリスト分けされたデータ移転の種別ごとにリスクや評価が必要になるにしても「適切性」が推定されることを明らかにしています。もっとも、特に継続的な関係にない販売データの移転については、厳格な判断が必要なことが示唆されています。(3)この「適切性」テストは、一般適切性基準、法的適切性基準の観点から検討され、さらに、契約、行動綱領の利用が加味されることになる。

この第8原則の例外としては、「データ主体の同意のある場合」「契約の実現またはその締結のために必要な場合」「実質的な公共の利益のために必要な場合」「データ主体の生命にかかわる利益を守るために必要な場合」などがあげられています。

この点についてのわが国の報告書としては、国際移転における企業の個人データ保護措置調査報告書が存在しています。