GDPR関連資格をとろう!QAで学ぶGDPRとCookie規制(59):学術研究等・安全保障に係る特例
2022/07/01 情報セキュリティ, 個人情報保護法, 外国法
GDPRには学術研究等に関する特例(適用除外)があります。日本の個人情報保護法でも本年(2022年)4月1日施行の改正で、学術研究の特例が一律適用除外から原則適用・一部除外に大幅改正されましたが、その主な目的はこのGDPRの特例に合わせることでした。また、GDPRでは、国家安全保障等に関する明文の特例規定もあります。今回はこれらの特例に関し解説します。
【目 次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: GDPRの学術研究等の特例が個人情報保護法改正の一原因? |
Q1: GDPRの学術研究等の特例が個人情報保護法改正の一原因?
A1:本年(2022)年4月1日施行の日本の改正個人情報保護法(以下「法」)においては、改正前の法が、学術研究機関が学術研究目的で個人情報を取扱う場合を一律に各種義務の適用除外としていた[1]のに対し、この場合にも、一部の特例を除き、個人情報取扱事業者の各種義務(法第4章)の適用があるものとされました。
この改正は次のような理由によるものです(以下、脚注[2]「一問一答」p24、PPC資料参照より要旨抜粋)。
— EUのGDPRにおいては、上記の場合にも、一部の特例を除き、原則的にはGDPR上の各種義務の適用があるのに対し、法においては一律適用除外されていたことにより、我が国の学術研究機関にEU圏から移転された個人データについては、EUから日本に対する十分性認定の適用対象外とされ[3]、その移転にはSCCの締結等が必要となっていた。
このことは、我が国の学術研究機関がEUの学術研究機関と個人データを用いた共同研究を行う際の支障となり得ることから、改善を求める声が現場の研究者から多数寄せられていた。
そこで、2021年の法改正において、我が国の学術研究機関に移転された個人データについても、将来GDPR十分性認定の効力が及ぶようにするための素地を作る[前提条件を整える]。
Q2: GDPRの学術研究特例とは?
A2: GDPRは、公益的アーカイブ、科学的もしくは歴史的な研究または統計の目的(archiving purposes in the public interest, scientific or historical research purposes or statistical purposes)での個人データの処理に関し、他の処理と同様の規制をした場合に生じ得る弊害を防止するため、規制を軽減する様々な特例規定を置いています。ここでは、これらを総称して、「学術研究等」、「学術研究等の目的」、「学術研究等の特例」と呼びます。
なお、これに関しては、現在も基本的にGDPRと同じデータ保護法令を維持している英国の個人データ保護監督機関機関ICOが、本年(2022年)に“Draft guidance on the research provisions within the UK GDPR and the DPA 2018”(「英国GDPRおよび[英国]データ保護法上の研究関係規定のガイダンス(案)」)(以下「ICOガイダンス案」)を公表し4月22日までの期限で意見募集しました。以下のQ&Aでは、GDPR本文・前文の他、ICOガイダンス案も参考に解説します。
Q3: GDPR上の学術研究等の目的とは?
A3: 以下の通りです。
(1)「公益的アーカイブ目的」(archiving purposes in the public interest)
「アーカイブ」とは文書の保存の意味ですが、「公益的アーカイブ目的」についてはGDPRに定義がありません。
【ICOガイダンス案】 「公益的アーカイブ目的」とは、公益のために、永続的な価値を有する記録を永久的に保存し、[公衆が]研究・調査、教育等のために当該情報に超長期的にアクセスできるようにすることを意味する。
「公益的アーカイブ目的」(の処理)には、公文書館等による文書保存が含まれるが、民間・第三セクター組織による文書保存も該当し得る。一方、単なる一定期間の記録保存、社会的に永続的価値がない記録の保存、単なる法的義務に基づく保存、単なる事業上の理由による保存等は該当しない。アクセスについては、将来当該記録が秘密でなくなった後にアクセス可能とすることでもよく、また、公表に限らず特定利用者に請求に応じ開示することでもよい。
【GDPR前文158に挙げられている具体例】全体主義国家(totalitarian state regime)/ジェノサイド(genocide)/人道に対する罪(crimes against humanity)(特に、ホロコースト(Holocaust))/戦争犯罪(war crimes)に関する情報のアーカイブ
(2)科学的・歴史的研究目的(scientific or historical research purposes)
(a) 「科学的研究」(GDPR前文159の説明)技術の開発・実証、基礎研究、応用研究、民間の研究(technological development and demonstration, fundamental research, applied research and privately funded research)、公衆衛生(public health)分野の研究等が広く含まれる。
(b)「歴史的研究」(GDPR前文160の説明)家系(genealogical)研究を含む。
(3)統計目的(statistical purposes)
【ICOガイダンス案】「統計目的」の処理には、公的統計の作成・公開義務を負う公的機関・団体による処理が含まれるが、民間・第三セクター組織による処理も該当し得る。「統計目的」の処理結果は、データ主体に関する意思決定に利用されてはならず、また、匿名化されもはや個人データに該当しないことを要する。
【GDPR前文162:統計目的の処理の意味】統計目的の処理とは、統計調査のためまたは統計結果を出すために必要な個人データの取得・処理を意味する。
Q4: 学術研究等の目的での処理の共通原則は?
A4: 以下の通りです。
学術研究等の目的での個人データの処理は、適切な保護措置(appropriate safeguards)(例:データ最小化・仮名化・匿名化)(以下単に「適切な保護措置」という)をした上で行われなければならない(89(1))。
学術研究等の目的での処理に関する特例は、いずれも、その処理が適切な保護措置をした上で行われること(89(1))を条件として適用される。
Q5: 学術研究等の目的の特例の具体的内容は?
A5: 個人データが学術研究等の目的で処理される場合、以下の特例が適用されます。
(1)取得目的外である学術研究等の目的での処理の許容
個人データは、当初取得目的と両立しない(incompatible)他の目的のため処理(further processing)(以下「二次的処理」という)されてはならない(5(1)(b)前半)。
但し、この個人データの当初取得目的外である「他の目的」が、学術研究等の目的であり、かつ、これらの目的のため行われる処理が適切な保護措置をした上で行われる場合には、当該学術研究等の目的は当初取得目的と両立するものとみなされ(not be considered to be incompatible with)(5(1)(b)後半)、従って、当該学術研究等の目的での二次的処理は、当初取得目的での処理について管理者の正当利益等の処理の適法性の根拠(6)がある限り、改めてデータ主体の同意を得ること等を要することなく行うことができる(前文50参照)。
但し、個人データの当初取得がデータ主体の同意に基づいて行われた場合は、その際に同意された個人データの利用目的に当該学術研究等の目的が含まれていなければ、当該学術研究等の目的での利用について、改めて同意を取得しなければならない(そうしなければ当初の同意に違反することになるから)(ICOガイダンス案 p18参照)。
(2)保存期間の制限の特例
個人データは、データ主体が識別・特定できる(permits identification)形態では、処理目的達成に必要な期間を超えて保存してはてはならない(5(1)(e)前半)。
但し、処理が学術研究等の目的で適切な保護措置をした上で行われる場合には、その学術研究等の目的に必要な限度でより長期に保存することができる(5(1)(e)後半)。
(3)特別カテゴリーの個人データの処理の許容
特別カテゴリーの個人データの処理は、原則として禁止される(9(1))。
但し、処理が、学術研究等の目的に必要であり、かつ、適切な保護措置をした上で行われる場合には、特別カテゴリーの個人データを特例的に処理することができる(9(2)(j))。
(4)間接取得の場合の情報提供義務の免除
管理者は、個人データをデータ主体からではなく間接的に取得した場合も、GDPR第14条に従い、データ主体に所定の情報を提供しなければならない。
但し、処理が、学術研究等の目的のため適切な保護措置をした上でなされ、かつ、データ主体への情報提供が不可能であるかまたは「不相当な負担」(disproportionate effort) となる可能性が高い場合(14(5)(b))、管理者は、この情報提供義務を負わない(14(5)(b))。
(5)データ主体の消去請求権(忘れられる権利)
管理者は、データ主体から消去請求権(忘れられる権利)を行使された場合でも、処理が、学術研究等の目的の達成のために必要であり適切な保護措置をした上でなされ、かつ、消去によりその目的の達成が不可能または著しく損なわれる(seriously impair)ときは、個人データの消去義務等を負わない(17(3)(d))。
(6) 学術研究等の目的を理由とするEUまたは加盟国の法令によるデータ主体の権利制限の許容
学術研究等の目的が、データ主体のアクセス権(15)、訂正権(16)、消去権(18)または処理禁止権(21)の行使により、達成不能となりまたは著しく損なわれる(render impossible or seriously impair)おそれがある(likely)場合は、適切な保護措置がなされること、および、その目的達成に必要な範囲内に限定することを条件として、EUまたは加盟国の法令により、これら権利を制限(derogations)することができる(89(2))。
Q6: 国家安全保障に関する特例の内容は?
A6:GDPR上、EUの各加盟国が、以下の国家安全保障等の目的のため、その国内法で、GDPR上のデータ主体および管理者等の権利または義務を制限することが、以下の条件のもと、認められています。
(1)制限の目的
次のいずれかを保護する(safeguard)ことを目的とすること(23(1))。
(a)国家安全保障(national security)
(b)防衛(defence)
(c)公共の安全(public security)
(d)公共の安全への脅威(threats)からの保護・防止を含め、犯罪(criminal offences)の防止・捜査・探知・訴追(prosecution)または刑罰の執行(execution of criminal penalties)
(e)その他EU または加盟国の重要な公益的目的、特に、通貨・予算・課税上の事項を含め、EU または加盟国の重要な経済的もしくは財政的事項、公衆衛生、社会保障
(f)司法の独立および司法手続(judicial independence and judicial proceedings)の保障
(g)規制職種(regulated professions)における倫理違反行為の防止・調査・探知・訴追
(h)上記(但しf)を除く)に関する公的権限行使に関連した監視・監督・規制
(i)データ主体の保護またはその他の者の権利・自由の保護。
(j)民事上の権利の執行(enforcement of civil law claims)
(1)制限の対象となる権利・義務
以下の規定に定めるデータ主体の権利または管理者等の義務は、国家安全保障等を理由として、EU法または加盟国国内法により、制限されることがある(23(1))。
(i)第5条(処理の基本原則)
(ii)第12条~第22条(データ主体への情報提供およびデータ主体の権利)
(iii)第34条(データ主体へのデータ侵害通知)
(2)制限を行う上での条件
上記制限は、以下の全ての条件を満たさなければならない(23(1))。
(a)EUまたは加盟国の法令により行われること
(b)基本的権利(fundamental rights)および自由の基本(essence)を尊重するものであること
(c)上記(1)のいずれかの目的を保護するために、民主主義社会において必要かつ比例的(proportionate)であると認められる範囲内のものであること
(4)加盟国国内法で定めるべき事項
上記制限を行うためのEU法または加盟国国内法には、以下に例示する事項に関する規定をおかなければならない(23(2))。
(i)処理の目的またはカテゴリー
(ii)個人データのカテゴリー
(iii)制限の適用範囲
(iv)個人データの不正使用または違法なアクセスもしくは移転を防止するための保護措置
(v)管理者または管理者のカテゴリー
(vi)個人データ保存期間および保護措置(処理の内容、範囲および目的を考慮すること)
(vii)データ主体の権利・自由に対するリスク
(viii)当該制限に関し情報提供を受けるデータ主体の権利(但し、当該権利が当該制限の目的達成を妨げないこと)
今回はここまでです。
【筆者の最近の個人情報保護関連書籍】
「香港からの個人データ越境移転モデル契約条項(改訂版)の概要・全文訳」2022/6/6, 訳PDF
“China Data and Personal Information Laws” 2022/1/31
「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05
『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18
「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24
「中国データ・情報関連法」 2021/9/18
「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10
「中国データセキュリティ法の成立とその概要」2021/06/18
「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月
「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月
「GDPR関連資格CIPP/E準拠 詳説GDPR (上)・ GDPRとCookie規制」 2019年11月
「GDPR関連資格CIPP/E準拠 詳説GDPR (下)・ GDPRとCookie規制」 2019年11月
【注】
[1] 2021年(令和3年)改正前個人情報保護法第76条(適用除外)第1項「個人情報取扱事業者等のうち次の各号に掲げる者については、その個人情報等を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、第4章[個人情報取扱事業者の義務等]の規定は、適用しない。
一(放送機関等)、二(著述を業として行う者)、三 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者 学術研究の用に供する目的、四(宗教団体)、五(政治団体)
[2] (参考) (1) 冨安 泰一郎, 中田 響「一問一答 令和3年改正個人情報保護法」 2021/11/22、商事法務p 24. (2) 令和3年6月23日個人情報保護委員会資料「学術研究分野における個人情報保護の規律の考え方(令和3年個人情報保護法改正関係)」
[3] EUによる日本に対する十分性認定(Commission Implementing Decision (EU) 2019/419 of 23 January 2019 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by Japan under the Act on the Protection of Personal Information (Text with EEA relevance))Article 1(2) "This decision does not cover personal data transferred to recipients falling within one of the following categories, to the extent all or part of the purposes of processing of the personal data corresponds to one of the listed purposes, respectively:
(a) broadcasting institutions, ..., (b)persons engaged in professional writing, ..., (c)universities and any other organisations or groups aimed at academic studies, or any person belonging to such an organisation or group, to the extent they process personal data for the purpose of academic studies; (d) religious bodies ..., (e) political bodies ...
==========
【免責条項】
本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。
【筆者プロフィール】 浅井 敏雄 (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe) 【発表論文・書籍一覧】 |
新着情報
- まとめ
- 中国:AI生成画像の著作権侵害を認めた初の判決~その概要と文化庁「考え方」との比較~2024.4.3
- 「生成AIにより他人著作物の類似物が生成された場合に著作権侵害が認められるか」。この問題に関し...
- 業務効率化
- Lecheck公式資料ダウンロード
- 業務効率化
- クラウドリーガル公式資料ダウンロード
- NEW
- 解説動画
- 加藤 賢弁護士
- 【無料】上場企業・IPO準備企業の会社法務部門・総務部門・経理部門の担当者が知っておきたい金融商品取引法の開示規制の基礎
- 終了
- 視聴時間1時間
- ニュース
- NTTが社名変更へ、NTT法とは2025.1.8
- NEW
- NTTは正式社名の「日本電信電話」を変更する方針を固めていたことがわかりました。新社名は春まで...
- セミナー
- 潮崎明憲 氏(株式会社パソナ 法務専門キャリアアドバイザー)
- 優秀な法務パーソンを自社に迎えるには ~法務専門CAが語るリアル~(アーカイブ)
- 2025/01/22
- 12:00~12:30
- 弁護士
- 髙瀬 政徳弁護士
- オリンピア法律事務所
- 〒460-0002
愛知県名古屋市中区丸の内一丁目17番19号 キリックス丸の内ビル5階
- 弁護士
- 目瀬 健太弁護士
- 弁護士法人かなめ
- 〒530-0047
大阪府大阪市北区西天満4丁目1−15 西天満内藤ビル 602号
- 解説動画
- 岡 伸夫弁護士
- 【無料】監査等委員会設置会社への移行手続きの検討 (最近の法令・他社動向等を踏まえて)
- 終了
- 視聴時間57分