個人情報保護法:施行規則等の改正②ガバメントアクセス関係(OECD宣言2022-2023)
本稿のねらい
筆者は気付かなかったが、2023年9月14日、個人情報保護委員会が個人情報保護法施行規則等を改正する案(本改正案)についてパブコメを実施していた。
このパブコメの意見募集期間は2023年9月14日から同年10月13日までの1か月間とされており、したがって本稿執筆時点では既に意見を伝えることはできない。
それはともかく、本改正案は、大きく次の2つの内容を改正するものであり、本稿は特に2つ目について扱うものである。
昨今の個人情報漏えい等事案を踏まえ、個人情報保護法施行規則第7条第3号を一部改正(追記)し、それに伴い個人情報保護法ガイドライン(通則編)等も所要の改正を行う
個人情報保護法ガイドライン(外国にある第三者への提供編)に、事業者が保有する個人情報について政府による情報収集が可能となる制度(ガバメントアクセス)が、本人の権利利益に重大な影響を及ぼす可能性(個人情報保護法施行規則第17条第2項第2号関係)について事業者が判断するに当たっては、OECD「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」(2022年)を参照することが考えられる旨を追記する
この2つ目については、外国にある第三者への個人データの提供に際し本人の同意を得る場合、あらかじめ、外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならないとされており(個人情報保護法第28条第2項)、これを受けた同法施行規則第17条第2項は次の3つの事項について本人に情報を提供することを定めている。
当該外国の名称(第1号)
適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報(第2号)
当該第三者が講ずる個人情報の保護のための措置に関する情報(第3号)
本改正案は、個人情報保護法施行規則第17条第2項第2号に関するガイドラインの記載を改正(追記)することを意図するものである。
なお、本改正案の前から、個人情報保護法施行規則第17条第2項第2号に関して「本人の権利利益に重大な影響を及ぼす可能性のある制度の存在」について本人に情報提供しなければならないことになっており(個人情報保護法ガイドライン(外国にある第三者への提供編)5-2(2)②(エ)(事例1)43頁)、そこでは次のような事例が挙げられている。
【本人の権利利益に重大な影響を及ぼす可能性のある制度に該当する事例】 事例1)事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度
つまり、本改正案は、この事例1の内容を充実化させること、つまり事業者が「本人の権利利益に重大な影響を及ぼす可能性のある制度の存在」について検討する際の参考資料としてOECD「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」(2022年)を明記するものである。
【本改正案〜本稿に関係する部分〜】
以下では、OECD「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」(2022年)、つまり"OECD, Declaration on Government Access to Personal Data Held by Private Sector Entities, OECD/LEGAL/0487"を和訳しているため参考にされたい。
(個人情報保護委員会の仮訳はこちら)
ガバメントアクセスについて、より学問的にというか深いところまで知りたい場合は、西村高等法務研究所の「CLOUD Act(クラウド法)研究会報告書Ver.2.0」を参照のこと。
Background Information
The Declaration on Government Access to Personal Data Held by Private Sector Entities was adopted by Ministers and high-level representatives of OECD Members and the European Union on 14 December 2022, on the occasion of the Ministerial meeting of the Committee on Digital Economy Policy (CDEP) held in the island of Gran Canaria, Spain.
As the first intergovernmental agreement on common approaches to safeguard privacy and other human rights and freedoms when accessing personal data for national security and law enforcement purposes, it seeks to promote trust in cross-border data flows, a critical enabler of the global economy.
民間企業が保有する個人データへのガバメントアクセスに関する宣言は、OECD加盟国と欧州連合(EU)の閣僚や高官によって、2022年12月14日に採択され、スペインのグラン・カナリア島で開催されたデジタル経済政策委員会(CDEP)の閣僚会議の際に採択された。
この宣言は、国家安全保障や法執行目的で個人データにアクセスする際のプライバシーやその他人権と自由を保護する共通のアプローチに関する初の政府間合意として、国際経済の重要な鍵である国境を越えてデータが行き交うことに対する信頼を向上させることを目的としている。
▶OECD work on cross-border data flows
▶国境を越えるデータの流れに対するOECDの取組み
The review of the implementation of the 1980 Recommendation concerning OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data [OECD/LEGAL/0188], completed in 2021, identified policy gaps affecting the cross-border flow of personal data, which are essential for business transactions and operations as well as for social interactions online. A critical gap identified was the lack of a common articulation at the international level of the safeguards that countries put in place to protect privacy and other human rights and freedoms when they access personal data held by private entities in the course of fulfilling their sovereign responsibilities related to national security and law enforcement.
The importance of such an articulation is two-fold: i) increase trust among rule-of-law democratic systems that, while not identical, share significant commonalities in order to support cross-border flows of personal data between them; ii) and provide a standard for how democratic, rule-of-law based systems limit and constrain government power in contrast with approaches that are unconstrained, unreasonable, arbitrary or disproportionate, in violation of human rights and in breach of international obligations.
OECDの「プライバシー保護と国境を越えた個人データの流れに関するガイドラインに関する1980年の勧告」(OECD/LEGAL/0188)にかかる実施調査は、2021年に完了した。その実施調査は、オンラインでの社会的相互作用のほか商取引や企業活動にとって不可欠な個人データの国境を越えた流れに影響を与える政策的な空白を特定した。特に、各国が国家安全保障や法執行に関連する統治責任を遂行する過程において、民間企業が保有する個人データにアクセスする際のプライバシーや他の人権と自由を保護するために導入する措置に関して、国際的な共通表現が不足しているという重要な問題が浮き彫りにした。
上記国際的な共通表現の重要性は、2つの要素から成り立っている。
1)法の支配における民主的なシステム間における相互信頼性を高めること。これらのシステムは同一ではないものの、国境を越える個人データの流れを支援するための重要な特徴を共有している。
2)無制約・不合理・恣意的な人権侵害や国際的な義務へ違反するアプローチとは対照的に、民主的で法の支配に基づいたシステムが政府の権力をどのように制限し抑制するかの基準を提供する。
▶Process for developing the Declaration
▶宣言の策定プロセス
The CDEP began work on this topic in February 2021 following discussions at its November 2020 meeting and building on prior work and discussions of the Working Party on Data Governance and Privacy (WPDGP) in the context of the Report on implementation, dissemination and continued relevance of the Privacy Guidelines [C(2021)42].
To this end, an informal drafting group of experts, ultimately consisting of experts from 33 OECD Members and the European Union, was convened. The drafting group met 18 times in 2021-2022. Drawing on these sessions, expert and stakeholder input and two fact-finding surveys, the OECD identified seven common principles that reflect OECD Members’ existing laws and practices, and are at the heart of this Declaration.
2020年11月の会議の議論を受け、プライバシーガイドラインの開始、普及、継続的な妥当性に関する報告書(C(2021)42)にかかるデータガバナンスとプライバシーに関する作業部会(WPDGP)における事前の作業と議論に基づき、2021年2月、CDEPはこのテーマへの取組みを開始した。
この取組みのため、最終的には33のOECD加盟国と欧州連合(EU)の専門家で構成する非公式な草案作成グループが招集された。この草案作成グループは2021年から2022年にかけて18回会合を行った。これらの会合、専門家や利害関係者の意見、そして2つの実態調査を踏まえ、OECDは、OECD加盟国の既存の法律や実務を反映する7つの共通原則を特定した。この7つの共通原則はこの宣言の中核をなす。
▶Scope of the Declaration
▶宣言の範囲
The Declaration consists of three main sections:
1. “Legitimate government access on the basis of common values,” recognising the important role data transfers play in the global economy and recalling the rationale for government access to personal data, the importance of safeguards to protect privacy and other human rights and freedoms, and the existence of commonalities between OECD Members in this regard;
2.“Promoting trust in cross-border data flows,” reaffirming countries’ commitment to data free flow with trust, considering the principles in section three of the Declaration as an expression of their democratic values, and recognising their effective implementation by a destination country as a positive contribution towards facilitating cross-border data flows;
3.“Principles for government access to personal data held by private sector entities,” listing seven principles which reflect commonalities across OECD Members based on their existing laws and practices, and complement each other in protecting privacy and other human rights and freedoms: legal basis; legitimate aims; approvals; data handling; transparency; oversight; redress. This section further includes definition and scope for the application of these principles.
この宣言は、3つの主要なセクションにより構成されている。
1.「共通の価値観に基づく正当なガバメントアクセス」
国際経済においてデータ移転が果たす重要な役割を認識し、政府が個人データにアクセスする根拠、プライバシーやその他人権と自由を保護するためのセーフガードの重要性、そして、この点に関するOECD加盟国間の共通点の存在を想起する。
2.「国境を越えるデータの流通への信頼の促進」
信頼ある自由なデータの流通に対して各国が取り組むべき事項を再確認し、この宣言の第3セクションの原則を民主的価値観が表現されたものとし、相手国による効果的な実施を国境を越えるデータの流通の促進に向けた積極的な貢献として認識する。
3.「民間企業が保有する個人データへのガバメントアクセスに関する原則」
この原則は、 OECD 加盟国の既存の法律と実務に基づく共通点を反映し、プライバシーやその他人権と自由を保護する上で互いに補完しあう 7 つの原則を挙げている。つまり、①法的根拠、②正当な目的、③承認、④データ処理、⑤透明性、⑥監視/監督、⑦救済の7つの原則である。
このセクションには、さらに、これらの原則の定義と適用範囲が含まれる。
Declaration on Government Access to Personal Data Held by Private Sector Entities
WE THE MINISTERS AND REPRESENTATIVES OF Australia, Austria, Belgium, Canada, Chile, Colombia, Costa Rica, the Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland, Ireland, Israel, Italy, Japan, Korea, Latvia, Lithuania, Luxembourg, Mexico, the Netherlands, New Zealand, Norway, Poland, Portugal, the Slovak Republic, Slovenia, Spain, Sweden, Switzerland, Türkiye, the United Kingdom, the United States, and the European Union, met in the Island of Gran Canaria in Spain, on 14-15 December 2022, under the leadership of Spain as Ministerial Chair and with Denmark, Japan, Türkiye, the United Kingdom and the United States as Vice-Chairs, for the meeting of the Committee on Digital Economy Policy (CDEP) at Ministerial level under the theme “driving long-term recovery and economic growth by building a trusted, sustainable, and inclusive digital future”.
我々、オーストラリア、オーストリア、ベルギー、カナダ、チリ、コロンビア、コスタリカ、チェコ共和国、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、アイスランド、アイルランド、イスラエル、イタリア、日本、韓国、ラトビア、リトアニア、ルクセンブルク、メキシコ、オランダ、ニュージーランド、ノルウェー、ポーランド、ポルトガル、スロバキア共和国、スロベニア、スペイン、スウェーデン、スイス、トルコ、英国、米国、そして欧州連合(EU)の閣僚や代表は、スペインを閣僚会議の議長、デンマーク、日本、トルコ、英国、米国、欧州連合(EU)を副議長とし、2022年12月14日から15日にかけて、スペインのグラン・カナリア島において、デジタル経済政策委員会(CDEP)のための閣僚級の会合を行った。そこでは、「信頼のある持続可能で包括的なデジタルの未来を構築することで、長期的な回復と経済成長を促進する」というテーマについて議論がされた。
▶Legitimate government access on the basis of common values
▶共通の価値観に基づく正当なガバメントアクセス
WE RECALL our shared commitment to upholding democracy and the rule of law, protecting privacy and other human rights and freedoms, promoting data free flow with trust in the digital economy, and maintaining a global, open, accessible, interconnected, interoperable, reliable and secure Internet.
WE RECOGNISE that ongoing digital transformation is creating more data, including personal data, as digital technologies are used across all sectors of the global economy.
WE FURTHER RECOGNISE the central role of data in the functioning of our societies and economies, and that cross-border data flows underpin international trade and global commerce and economic co-operation and development; greatly contribute to innovation and research and development across sectors; and are necessary to conduct business and to advance economic and societal goals.
WE RECALL the 1980 Recommendation concerning OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, last revised in 2013 [OECD/LEGAL/0188] (hereafter, “OECD Privacy Guidelines”), which provides a basic common reference point for the protection of personal data, whether in the public or private sector, and promotes and facilitates the transborder flows of personal data while upholding democratic values, the rule of law and the protection of privacy and other human rights and freedoms.
WE RECOGNISE the sovereign duty and responsibility of every country to protect the safety of its population by preventing, detecting and confronting criminal activity and threats to public order and national security, in adherence to democratic values, the rule of law, and the protection of privacy and other human rights and freedoms.
WE ACKNOWLEDGE that government access to personal data held by private sector entities is recognised in our national legal frameworks as essential to meeting these sovereign duties and responsibilities, and that law enforcement and national security authorities are therefore vested with powers to lawfully access such data.
WE REJECT any approach to government access to personal data held by private sector entities that, regardless of the context, is inconsistent with democratic values and the rule of law, and is unconstrained, unreasonable, arbitrary or disproportionate. Such approaches violate privacy and other human rights and freedoms, breach international obligations, undermine trust and create a serious impediment to data flows to the detriment of the global economy. By contrast, our countries’ approach to government access is in accordance with democratic values; safeguards for privacy and other human rights and freedoms; and the rule of law including an independent judiciary. These protections also contribute to promoting trust by private sector entities in meeting their responsibilities in this context.
WE EMPHASISE, taking into account the justified exceptions to the OECD Privacy Guidelines on grounds of law enforcement and national security, the importance of enhancing trust based on a common understanding of the protections that our countries apply when accessing personal data held by private sector entities in these circumstances.
WE RECOGNISE that our existing practices and safeguards, in this regard, while not identical to one another, are founded upon similar principles that reflect a shared commitment to protecting privacy and other human rights and freedoms.
WE NOTE stakeholders’ calls for additional work and engagement to identify existing common safeguards in OECD Member countries to protect privacy and freedom of expression, and therefore promote trust, in the context of purchasing commercially available personal data, accessing publicly available personal data, and receiving voluntary disclosures of personal data by law enforcement and national security authorities.
WE REITERATE our ambition to build a shared understanding among like-minded democracies of protections for privacy and other human rights and freedoms in place for law enforcement and national security access to personal data held by private sector entities in order to better inform efforts to promote data free flow with trust.
我々は、民主主義と法の支配を支持し、プライバシーやその他人権と自由を保護し、デジタル経済における信頼ある自由なデータの流通を促進し、グローバルかつオープン、アクセス・相互接続・相互運用が可能で、信頼性が高く安全なインターネット環境を維持するという、我々の共通の取組みを想起する。
我々は、デジタル技術が国際経済のあらゆる分野で使用されるにつれて、個人データを含むより多くのデータが進行中のデジタル変革により生成されていることを認識する。
さらに、我々は、我々の社会や経済の機能においてデータが中心的な役割を担っていること、国境を越えたデータの流通が、国際貿易、国際商取引、そして経済協力と経済発展を支えていることを認識する。つまり、国境を越えたデータの流通は、分野を越えたイノベーションと研究開発に大きく貢献し、事業活動を行い、経済的・社会的目標を推進するために必要である。
我々は、2013年に最終改訂された「プライバシー保護と国境を越えた個人データの流れに関するガイドラインに関する1980年の勧告」(OECD/LEGAL/0188)(以下「OECDプライバシーガイドライン」)を想起する。このOECDプライバシーガイドラインは、官民を問わず、個人データの保護に関する基本的な共通の参照点を提供するものである。また、民主的な価値観、法の支配、そしてプライバシーやその他人権と自由の保護を支持しつつ行われる国境を越えた個人データの流通を促進する。
我々は、民主的な価値観、法の支配、プライバシーやその他人権と自由の保護を遵守しつつ、犯罪活動や公共の秩序と国家安全保障に対する脅威を防止し、発見し、対処ことをもって国民の安全を守ることが、すべての国の統治責任であり義務であることを認識する。
我々は、民間企業が保有する個人データへの政府のアクセスは、これらの統治責任と義務を果たすために不可欠であると国内法制において認識されており、それゆえ法執行機関や国家安全保障当局に対して民間企業が保有する個人データに合法的にアクセスする権限が付与されていることを認識する。
我々は、その文脈にかかわらず、民主的な価値観や法の支配と矛盾し、無制約・不合理・恣意的・過度な、民間企業が保有する個人データへのガバメントアクセスについては、そのいかなるアプローチも拒絶する。このようなアプローチは、プライバシーやその他人権と自由を侵害し、国際的な義務に違反し、信頼を損ない、データの流通に重大な障害を引き起こし、ひいては国際経済に障害をもたらすことになる。これとは対照的に、我々のガバメントアクセスに関するアプローチは、民主的な価値観、プライバシーやその他人権と自由の保護、独立した司法を含む法の支配に従っている。これらの保護は、この文脈において責任を果たすべき民間企業の信頼を高めることにも寄与する。
我々は、法執行や国家安全保障を根拠とするOECDプライバシーガイドラインの正当な例外を考慮しつつ、このような法執行や国家安全保障上の必要がある状況において、民間企業が保有する個人データにアクセスする際に、我々(各国)が適用する保護についての共通の理解に基づき信頼を高めることの重要性を強調する。
我々は、この点に関する我々の既存の実務と保護措置は、互いに同一ではないものの、プライバシーやその他人権と自由を保護するという共通の取組みを反映する同様の原則に基づいていることを認識する。
我々は、法執行機関や国家安全保障当局が、商業的に入手可能な個人データを購入する、公開されているなどして一般に入手可能な個人データへアクセスする、個人データの自発的な開示を受けるという文脈において、プライバシーや表現の自由を保護し、それにより信頼を高めるため、OECD加盟国における既存の共通の保護措置を特定するための追加的な作業と関与を求める利害関係者の要請に留意する。
我々は、信頼ある自由なデータの流通を促進するための努力をより適切に知らせるため、民間企業が保有する個人データへの法執行機関や国家安全保障当局によるアクセスにおけるプライバシーやその他人権と自由の保護について、志を同じくする民主主義国の間で共通の理解を構築する決意を改めてここに表明する。
▶Promoting trust in cross-border data flows
▶国境を越えるデータ流通の信頼を促進
WE REAFFIRM our commitment to data free flow with trust as a means of providing confidence to individuals and businesses when transferring personal data internationally.
WE REGARD the below principles as an important expression of our shared democratic values and commitment to the rule of law, which distinguishes our countries from other countries whose law enforcement or national security access to personal data are inconsistent with democratic values and the rule of law, are unconstrained, unreasonable, arbitrary or disproportionate, or amount to violations of human rights.
WE RECOGNISE that where our legal frameworks require that transborder data flows are subject to safeguards, our countries take into account a destination country’s effective implementation of the principles as a positive contribution towards facilitating transborder data flows in the application of those rules.
我々は、個人や企業が国際的に個人データを移転する際に、それらに信頼性を提供する手段としての、信頼ある自由なデータの流通に対する我々の取組みを再確認する。
我々は、以下の原則を、我々が共有する民主的な価値観や法の支配に対する取組みに関する重要な表現として尊重する。これにより、法執行機関や国家安全保障による個人データへのアクセスが、民主的な価値観や法の支配と矛盾し、無制約・不合理・恣意的・過度なものであり、人権侵害に相当する他の国々と我々を区別することができる。
我々は、我々の法的枠組みが、国境を越えたデータの流通が保護措置の対象となることを我々の法的枠組みが要求している場合、それらのルールの適用において、国境を越えたデータの流通を促進するために積極的に寄与するものとして、相手国が原則を効果的に実施することを考慮することを認める。
▶Principles for government access to personal data held by private sector entities
▶民間企業が保有する個人データへのガバメントアクセスにかかる原則
WE DECLARE the following shared principles as reflecting commonalities drawn from OECD Members’ existing laws and practices. These principles:
●complement each other in protecting privacy and other human rights and freedoms;
●apply to government access to and processing of personal data in the possession or control of private sector entities when governments are pursuing law enforcement and national security purposes within their respective territories in accordance with their national legal framework, including situations where countries have the authority under their national legal framework to mandate that private sector entities provide data to the government when the private sector entity or data are not located within their territory (hereafter referred to as “government access”);
●are interpreted subject to national legal frameworks and may be applied by countries in different manners, depending on the specific context and circumstances, such as the type of access sought;
●should be read in light of the following definitions:
a)“Personal data” refers to any information relating to an identified or identifiable individual.
b)“Legal framework” for government access to personal data refers to national laws, executive or judicial orders, administrative regulations, case law, and other legally binding instruments or requirements, including legal obligations arising from international and supranational law as applicable in the country.
c)“Private sector entities” refers to individuals and any non-governmental for-profit and not-for-profit organisations.
我々は、OECD加盟国の既存の法律と実務から引き出された共通点を反映する、以下の原則を宣言する。
これらの原則は、
プライバシーやその他の人権と自由を保護する上で、相互に補完し合う
政府が、自国の法的枠組みに従いその領域内で法執行や国家安全保障の目的を追求している場合において、民間企業が保有・管理する個人データへのアクセスし処理するときに適用される(自国の法的枠組みにおいて民間企業がその領域内に存在しない場合でも、当該民間企業に対し、政府へ個人データを提供するよう義務付ける権限を認めているときも含まれる)(以下「ガバメントアクセス」)
各国の法的枠組みにより解釈され、例えば求められるアクセスの種類など個別具体的な文脈や状況ごとに、各国が異なる方法で適用することが可能
以下の定義に従う
a) 「個人データ」とは、特定の個人又は特定可能な個人に関するあらゆる情報を指す
b) 個人データへのガバメントアクセスにかかる「法的枠組み」とは、国内法、行政命令または司法命令、行政規則、判例法、その他法的拘束力のある文書または要件を指し、その国で適用のある国際法や超国家法から生じる法的義務を含む
c)「民間企業」とは、個人と非政府の営利組織や非営利組織を指す
These principles are:
I.Legal basis
Government access to personal data held by private sector entities is provided for and regulated by the country’s legal framework, which is binding on government authorities and is adopted and implemented by democratically established institutions operating under the rule of law. The legal framework sets out purposes, conditions, limitations and safeguards concerning government access, so that individuals have sufficient guarantees against the risk of misuse and abuse.
II.Legitimate aims
Government access supports the pursuit of specified and legitimate aims. Governments seek access only for such aims, in conformity with the rule of law. Government access is carried out in a manner that is not excessive in relation to the legitimate aims and in accordance with legal standards of necessity, proportionality, reasonableness and other standards that protect against the risk of misuse and abuse, as set out in and interpreted within the country’s legal framework.
Governments do not seek access to personal data for the purpose of suppressing or burdening criticism or dissent; or disadvantaging persons or groups solely on the basis of characteristics including, but not limited to: age, mental or physical disability, ethnicity, indigenous status, gender identity or expression, sexual orientation, or political or religious affiliation.
III.Approvals
Prior approval (“approval”) requirements for government access are established in the legal framework to ensure that access is conducted in accordance with applicable standards, rules and processes. They are commensurate with the degree of interference with privacy and other human rights and freedoms that will occur as a result of government access. Such requirements specify the criteria for seeking and granting approval, the procedure to be followed, and the entity providing the approval.
Stricter approval requirements are in place for cases of more serious interference, and may include seeking approval from judicial or impartial non-judicial authorities. Emergency exceptions to approval requirements are provided for in the legal framework, and are clearly defined, including justifications, conditions, and duration.
Decisions on approvals are appropriately documented. They are made objectively, on a factual basis in pursuit of a specified and legitimate aim and upon satisfaction that the approval requirements are met.
In situations where approval is not required, other safeguards established in the legal framework apply to protect against misuse and abuse, including clear rules that impose conditions or limitations on the access, as well as effective oversight.
IV.Data handling
Personal data acquired through government access can be processed and handled only by authorised personnel. Such processing and handling is subject to requirements provided for in the legal framework that include putting in place physical, technical and administrative measures to maintain privacy, security, confidentiality, and integrity. They also include mechanisms to ensure that personal data are processed lawfully, are retained only for as long as authorised in the legal framework in view of the purpose and taking into account the sensitivity of the data, and are kept accurate and up to date to the extent appropriate having regard to the context.
Internal controls are put in place to detect, prevent and remedy data loss or unauthorised or accidental data access, destruction, use, modification, or disclosure, and to report such instances to oversight bodies.
V.Transparency
The general legal framework for government access is clear and easily accessible to the public so that individuals are able to consider the potential impact of government access on their privacy and other human rights and freedoms.
Mechanisms exist for providing transparency about government access to personal data that balance the interest of individuals and the public to be informed with the need to prevent the disclosure of information that would harm national security or law enforcement activities.
These mechanisms include public reporting by oversight bodies on government compliance with legal requirements as well as procedures for requesting access to government records. Other measures include, for instance, regular reporting by governments and, where applicable, individual notification.
Private sector entities are allowed to issue aggregate statistical reports regarding government access requests in conformity with the legal framework.
VI.Oversight
Mechanisms exist for effective and impartial oversight to ensure that government access complies with the legal framework.
Oversight is provided through bodies including internal compliance offices, courts, parliamentary or legislative committees and independent administrative authorities.
Countries’ oversight systems are comprised of such bodies acting according to their individual mandates and that have powers that include the ability to obtain and review relevant information, conduct investigations or inquiries, execute audits, engage with government entities on compliance and mitigation, and address non-compliance. In addition, such bodies receive and respond to reports of non-compliance to ensure that government entities are accountable, and may also exercise redress functions in response to individuals’ complaints.
In the exercise of their functions, oversight bodies are protected from interference and have the financial, human and technical resources to effectively carry out their mandate. They document their findings, produce reports, and make recommendations, which are made publicly available to the greatest extent possible.
VII.Redress
The legal framework provides individuals with effective judicial and non-judicial redress to identify and remedy violations of the national legal framework.
Such redress mechanisms take into account the need to preserve confidentiality of national security and law enforcement activities. This may include limitations on the ability to inform individuals whether their data were accessed or whether a violation occurred.
Available remedies include, subject to applicable conditions, terminating access, deleting improperly accessed or retained data, restoring the integrity of data and the cessation of unlawful processing. They may also include, depending on the circumstances, compensation for damages suffered by an individual.
WE WELCOME the work of the OECD on data free flow with trust and WE CALL on the Organisation to support countries in their promotion of this Declaration.
これらの原則は以下のとおりである。
Ⅰ.法的根拠
民間企業が保有する個人データへのガバメントアクセスは、その国の法的枠組みによって規定・規制される。法的枠組みは、政府機関を拘束し、民主的に設立され法の支配の下で運営される機関によって採択・実施される。法的枠組みは、ガバメントアクセスに関する目的・条件・制約・保護措置を規定し、個人がガバメントアクセスの誤用や乱用のリスクから十分な保証を得られるようにする。
II.正当な目的
ガバメントアクセスは、特定の正当な目的を追求することを支援するものである。政府は、法の支配に従い、そのような目的のためにのみアクセスを求めるものとする。ガバメントアクセスは、その国の法的枠組みに規定され、その法的枠組みの中で解釈されるとおり、正当な目的に照らして過剰でない方法で、かつ、必要性・比例性(相当性)・合理性に関する法的基準、その他悪用・濫用のリスクから保護する基準に従って実施される。
政府は、批判や反対意見を抑圧したり、単に年齢、精神的・身体的障害、民族性、先住民族の地位、性自認や性表現、性的指向、政治的・宗教的所属を含むがこれらに限定されない特徴にのみ基づいて個人や集団に不利益を与えることを目的として、個人データへのアクセスを求めてはならない。
III.承認
ガバメントアクセスに対する事前承認(「承認」)の要件は、ガバメントアクセスが、適用される基準・ルール・手続に従って実施されることを確保するため、法的枠組みの中で定められている。これらの要件は、ガバメントアクセスの結果として生じるプライバシーやその他人権と自由に対する干渉の程度に見合ったものとする。このような要件は、承認の要請と付与の基準、従うべき手続、承認を行う主体を規定する。
より深刻な干渉が生じる場合は、より厳格な承認要件が設けられ、司法当局又は公平な非司法当局の承認を求めることが含まれ得る。法的枠組みには承認要件に対する緊急例外が規定されており、正当理由・条件・期間を含め明確に定義されている。
承認に関する決定は適切に文書化される。承認は、具体的かつ正当な目的を追求し、かつ、承認要件が満たされていることを確認した上で、事実に基づき客観的に行われる。
承認が必要でない場合、ガバメントアクセスの不正使用や濫用から保護するために、アクセスに条件や制限を課す明確なルールや効果的な監視など、法的枠組みに定められた他の保護措置が適用される。
IV.データの取り扱い
ガバメントアクセスを通じて取得される個人データは、権限を与えられた担当者によってのみ処理・取扱いが行われる。このような処理と取扱いは、プライバシー・セキュリ ティ・機密性・完全性を維持するための物理的・技術的・管理的措置を講じることを含む法的枠組みに規定された要件に従う。また、個人データが適法に処理され、目的やデータの機密性を考慮して法的枠組みで認められる期間のみ保持され、状況に応じて適切な範囲で正確かつ最新の状態に保持されることを保証する仕組も含まれる。
データの紛失、不正・偶発的なデータアクセス、破壊、使用、変更、又は開示を検出・防止・是正し、そのような事例を監督機関に報告するために内部統制が実施される。
V.透明性
ガバメントアクセスに関する一般的な法的枠組みは、明確であり、かつ、一般人が容易にアクセスできるため、個人はガバナンスアクセスがプライバシーやその他人権と自由に及ぼす潜在的な影響を検討することができる。
個人データへのガバメントアクセスに関する透明性を提供する仕組みは存在する。その仕組みは、個人や一般人がガバメントアクセスに関する情報を知ることの利益と国家安全保障や法執行活動に害を及ぼす可能性のある情報の開示を防止する必要性との間でバランスをとる、
このような仕組みには、政府記録へのアクセスを要求するための手続のほか、政府の法的要件の遵守に関する監督機関による公的報告が含まれる。その他、例えば、政府による定期的な報告や、(該当する場合には)個人への個別通知などがある。
民間企業は、法的枠組みに従い、ガバナンスアクセス要求に関する統計的な報告書を発行することが認められている。
[筆者注:透明性レポート/"Transparency Report"]
VI.監視/監督
ガバナンスアクセスが法的枠組みを遵守していることを確保するため、効果的かつ公平な監視/監督に関する仕組みが存在する。
監視/監督は、内部のコンプライアンスオフィス(コンプライアンス部門)、裁判所、議会、立法委員会や独立行政当局を含む機関を通じて行われる。
各国の監視/監督の仕組みは、各々の権限に従って活動するこれらの機関によって構成され、関連情報の入手とレビュー、調査や照会の実施、監査の実施、コンプライアンスと緩和に関する政府組織との関わり、コンプライアンス違反への対処権限を含む様々な権限を有している。さらに、これらの機関は、政府機関の説明責任を確保するため、コンプライアンス違反の報告を受け対応するとともに、個人の苦情に対して救済機能を行使することもあり得る。
監視/監督機関は、その任務を遂行するにあたり、干渉から保護され、その権限を効果的に遂行するための財政的・人的・技術的資源を備える。監視/監督機関は、調査結果を文書化し、報告書を作成し、勧告を行う。それらは、極力、一般に公開される。
VII.救済
法的枠組みは、個人に対し、その国の法的枠組みへの違反を特定・是正するための効果的な司法的・非司法的救済を提供する。
このような救済の仕組みは、国家安全保障や法執行活動の秘密保持の必要性を考慮に入れている。つまり、これには、個人のデータがアクセスされたかどうか、又は違反が発生したかどうかを個人に通知することの制限が含まれ得る。
利用可能な救済措置には、適用される条件に従い、アクセスの打切り、不適切にアクセスされたデータ又は不適切に保持されたデータの削除、データの完全性の回復、そして違法な処理の停止が含まれる。また、状況によっては、個人が被った損害の賠償も含まれ得る。
我々は、信頼ある自由なデータの流通に関するOECDの取組みを歓迎し、この宣言を促進する国々を支援するようOECDに要求する。
以上
この記事が気に入ったらサポートをしてみませんか?