現行のOECDプライバシーガイドラインは、2013年7月11日の「プライバシーの保護および個人データの国境を越えた移転に関するガイドラインについての理事会の勧告」(C(2013)79)1の附属書です。その中の「第 2 部 国内適用における基本原則」はいわゆる「OECD8原則」として特に有名です。附属書の仮訳は、堀部先生、新保先生、野村さん(JIPDEC)の翻訳でこちらから読むことができます。なので、それを紹介するのが良いとも思ったのですが、いかんせん本体である勧告自身が無いのです。加えて言うと、「背景情報」の章も省略されています。(附属書部分に関しても新たに訳出する後述の理由があります。)
勧告自身は、「〜を考慮し」「〜を認識し」「〜勧告する」という、西洋のいわゆる決議文の形をとっています。(実はGDPR2もそのような構造になっていて、その部分が39ページもあります。)このような文を読むときに、この部分も結構重要だったりします。そこで、Claude.aiの助力を得て、この勧告の本文の仮訳を作ってみました。
また、ついでに附属書部分も訳出してあります。これは、JIPDEC仮訳とは異なるところが多々あります。主なところで言うと、”should” を”べき”に統一、”data subject”を”データ主体”ではなく”データ対象者”に3、省略されている単語を訳出(例:relevant to、いわゆる最近話題の「関連性」)、などです。できるだけ原文の雰囲気がでるように、日本語であまりに不自然にならない範囲で直訳調にしてあります。お役に立てば幸いです。
「プライバシーの保護および個人データの国境を越えた移転に関するガイドラインについての理事会の勧告」
理事会は、
1960年12月14日の経済協力開発機構条約第5条b)を考慮し、
グローバルネットワーク上のプライバシー保護に関する閣僚宣言〔C(98)177附属書1〕、情報システム及びネットワークのセキュリティに関するガイドラインについての理事会勧告〔C(2002)131/FINAL〕、プライバシー保護法の執行における国境を越えた協力に関する理事会勧告〔C(2007)67〕、インターネット経済の将来に向けた宣言(ソウル宣言)〔C(2008)99〕、インターネット政策立案の原則に関する理事会勧告〔C(2011)154〕、子どものオンライン保護に関する理事会勧告〔C(2011)155〕及び規制政策とガバナンスに関する理事会勧告〔C(2012)37〕を考慮し、
加盟国が、プライバシー、個人の自由及び情報のグローバルな自由な流通という基本的価値の促進と保護において共通の利益を有することを認識し、
個人データのより広範かつ革新的な利用が大きな経済的・社会的便益をもたらす一方、プライバシーリスクをも高めることを認識し、
グローバルネットワークを通じた個人データの継続的な流通が、プライバシーの枠組み間の相互運用性の向上と、プライバシー執行当局間における国境を越えた協力の強化の必要性を高めていることを認識し、
プライバシーを保護するための政策及び安全措置の策定においてリスク評価が重要であることを認識し、
個人データがますます価値ある資産となっているオープンで相互接続された環境における個人データのセキュリティへの課題を認識し、
加盟国間における情報の自由な流通をさらに推進し、加盟国間の経済的・社会的関係の発展に対する不当な障壁の創出を回避することを決意し、
情報・コンピュータ・通信政策委員会の提案に基づき、
I.加盟国に対し以下を勧告する:
- 政府の最高レベルにおいて、プライバシー保護及び情報の自由な流通への取組みとコミットメントを示すこと;
- すべての関連するステークホルダーを含むプロセスを通じて、本勧告の不可分の一部を構成する附属書に含まれるガイドラインを実施すること;
- 本勧告を公共部門及び民間部門全体に周知すること;
II.理事会は、非加盟国に対し、本勧告に参加し、国境を越えたその実施において加盟国と協力するよう求める。
III.理事会は、情報・コンピュータ・通信政策委員会に対し、本勧告の実施状況を監視し、当該情報を検討し、採択から5年以内及びその後適宜、理事会に報告するよう指示する。
本勧告は、1980年9月23日のプライバシーの保護及び個人データの越境流通に関するガイドラインについての理事会勧告〔C(80)58/FINAL〕を改訂するものである。
附属書
プライバシーの保護及び個人データの越境流通に関するガイドライン
第一部 総則
定義
1.本ガイドラインにおいて:
a)「データ管理者」とは、国内法によって個人データの内容及び利用に関して 決定権限を有する者を意味し、当該管理者又はその代理人が、当該データを 収集、保有、処理若しくは提供するか否かは問わない;
b)「個人データ」とは、識別された又は識別可能な個人(データ対象者)に関するすべての情報をいう;
c)「プライバシー保護法」とは、その執行が本ガイドラインに沿った個人データの保護に効果をもたらす国内の法律又は規則をいう;
d)「プライバシー執行当局」とは、各加盟国が定める公的機関であって、プライバシー保護法の執行に責任を有し、調査の実施又は執行手続を遂行する権限を有するものをいう;
e)「個人データの越境流通」とは、国境を越えた個人データの移転をいう。
ガイドラインの適用範囲
2.本ガイドラインは、公的部門及び民間部門を問わず、その処理の方法、性質又は利用される文脈に照らし、プライバシー及び個人の自由にリスクをもたらす個人データに適用される。
3.本ガイドラインに定める原則は相互補完的であり、全体として読まれるべきである。これらの原則は、以下のように解釈されてはならない:
a)個人データの性質及びその収集、保存、処理又は配布の文脈に応じて、異なるカテゴリーの個人データに対して異なる保護措置を適用することを妨げるもの;又は
b)表現の自由を不当に制限するもの。
4.国家主権、国家安全保障及び公の秩序(「ordre public」)に関するものを含む本ガイドラインの例外は:
a)できる限り少なくすること、及び、
b)公衆に対して開示されるべきである。
5.連邦国家のような特別な場合には、連邦における権力の分立が本ガイドラインの遵守に影響を及ぼすことがある。
6.本ガイドラインは最低基準として位置付けられるべきであり、プライバシー及び個人の自由の保護のための、個人データの越境流通に影響を及ぼし得る追加的措置によって補完することができる。
第二部 国内適用の基本原則
収集制限の原則
7.個人データの収集には制限が設けられるべきであり、当該データは適法かつ公正な手段により、かつ適切な場合にはデータ対象者の知識又は同意を得て収集されるべきである。
データ品質の原則
8.個人データは、利用目的との関連性を有すものであるべきであり、当該目的に必要な範囲において、正確、完全かつ最新の状態に保たれるべきである。
目的明確化の原則
9.個人データを収集する目的は、遅くともデータ収集時までに特定されるべきであり、その後の利用は当該目的の達成、又は当該目的と矛盾せず目的変更の都度特定されるその他の目的の達成に限定されるべきである。
利用制限の原則
10.個人データは、第9項に従い特定された目的以外の目的のために開示、提供その他の方法により利用されるべきではない。ただし、以下の場合を除く:
a)データ対象者の同意がある場合;または
b)法律の権限による場合。
安全保護措置の原則
11.個人データは、データの紛失若しくは不正アクセス、破壊、利用、改変又は開示等のリスクに対して、合理的な安全保護措置により保護されるべきである。
公開性の原則
12.個人データに関する開発、実務及び方針については、一般的な公開の方針が設けられるべきである。個人データの存在及び性質、その主要な利用目的、並びにデータ管理者の身元及び通常の居所を確認するための手段が容易に利用可能であるべきである。
個人参加の原則
13.個人は以下の権利を有するべきである:
a)データ管理者又はその他の者に対して、当該データ管理者が自己に関するデータを保有しているか否かの確認を求めること;
b)自己に関するデータについて、
ⅰ.合理的な期間内に;
ⅱ.無料または過大でない手数料で;
ⅲ.合理的な方法で;かつ
ⅳ.容易に理解可能な形式で;
知らしめられること;
c)a)及びb)に基づく請求が拒否された場合にその理由の説明されること及び、そのような拒否に対して異議を申し立てることができること;並びに
d)自己に関するデータに異議を申し立てができること及び、異議申立てが認められた場合には当該データが消去、訂正、補完又は修正されること。
責任の原則
14.データ管理者は、上記の諸原則を実効化する措置の遵守について責任を負うべきである。
第三部 責任の履行
15.データ管理者は以下を行うべきである:
a)以下を満たすプライバシーマネジメントプログラムを整備すること:
ⅰ.管理下にあるすべての個人データについて本ガイドラインを実効化すること;
ⅱ.その業務の構造、規模、量及び機微性に応じて適切に設計されていること;
ⅲ.プライバシーリスク評価に基づく適切な安全保護措置を講じること;
ⅳ.ガバナンス構造に組み入れ、内部統制メカニズムを確立すること;
ⅴ.問い合わせ及びインシデントへの対応計画を含むこと;
ⅵ.継続的なモニタリング及び定期的な評価を踏まえて更新されること;
b)特に管轄するプライバシー執行当局又は本ガイドラインに拘束力を付与する行動規範その他類似の取決めへの遵守の促進を担う機関の求めに応じて、当該プライバシーマネジメントプログラムが適切に実施されていることを証 明する準備を行うこと;並びに
c)個人データに影響を及ぼす重大なセキュリティ侵害が生じた場合、必要に応じて、プライバシー執行当局又はその他の関連当局に通知すること。当該侵害がデータ対象者に悪影響を及ぼすおそれがある場合、データ管理者は影響を受けるデータ対象者に通知すべきである。
第四部 国際適用の基本原則:自由な流通と正当な制限
16.データ管理者は、データの所在地にかかわらず、管理下にある個人データについて責任を負い続ける。
17.加盟国は、(a)相手国が本ガイドラインを実質的に遵守している場合、又は(b)実効的な執行メカニズム及びデータ管理者が講じた適切な措置を含む十分な安全保護措置が存在し、本ガイドラインに沿った継続的な保護水準が確保される場合には、自国と当該相手国との間の個人データの越境流通を制限することを差し控えるべきである。
18.個人データの越境流通に対するいかなる制限も、データの機微性並びに処理の目的及び文脈を考慮した上で、提示されるリスクに比例したものであるべきである。
第五部 国内実施
19.本ガイドラインを実施するにあたり、加盟国は以下を行うべきである:
a)政府機関横断的な協調アプローチを反映した国家プライバシー戦略を策定すること;
b)プライバシー保護法を採択すること;
c)その権限を実効的に行使し、客観的、公平かつ一貫した基準に基づいて決定を行うために必要なガバナンス、資源及び技術的専門知識を備えたプライバシー執行当局を設立し維持すること;
d)行動規範またはその他の形式によるか否かを問わず、自主規制を奨励し支援すること;
e)個人がその権利を行使するための合理的な手段を提供すること;
f)プライバシー保護法の不遵守の場合に備えて、適切な制裁及び救済措置を設けること;
g)教育及び意識向上、能力開発、並びにプライバシー保護に資する技術的措置の促進を含む補完的措置の採択を検討すること;
h)データ管理者以外のアクターの役割を、その個別の役割に応じた適切な方法で検討すること;並びに
i)データ対象者に対する不当な差別が生じないよう確保すること。
第六部 国際協力と相互運用性
20.加盟国は、特にプライバシー執行当局間の情報共有を強化することにより、プライバシー法の越境執行協力を促進するための適切な措置を講じるべきである。
21.加盟国は、本ガイドラインを実際に実効化するプライバシーフレームワーク間の相互運用性を促進する国際的取決めの発展を奨励し支援すべきである。
22.加盟国は、プライバシー及び個人データの越境流通に関する政策立案プロセスに資する国際的に比較可能な指標の開発を奨励すべきである。
23.加盟国は、本ガイドラインの遵守状況の詳細を公開すべきである。
背景情報
プライバシーの保護及び個人データの越境流通に関するガイドラインについての勧告は、情報・コンピュータ・通信政策委員会(現・デジタル政策委員会〔DPC〕)の提案に基づき、OECDの理事会によって1980年9月23日に採択され、2013年7月11日に改訂された。本勧告は、参加国に対し、勧告の不可分の一部を構成する附属書に含まれるガイドライン(一般に「OECDプライバシーガイドライン」と呼ばれる)を実施するよう勧告するものである。
OECDプライバシーガイドラインは、国際的に合意された最初のプライバシー原則の体系であり、個人データの利用の増大に伴うプライバシー及び個人の自由(日常語では利便性のため「プライバシー」として一括されることが多い)の保護に関する懸念、並びに国境を越えた個人データの流通への制限がもたらすグローバル経済へのリスクに対処するために策定された。採択以来、OECD加盟国及びその他の国々における立法と政策に広く影響を与えてきた。
プライバシー及び越境データ流通に関するOECDの取組み
OECDは数十年にわたり、基本的価値としてのプライバシーの尊重と、信頼に基づく個人データの国境を越えた自由な流通を促進する上で重要な役割を果たしてきた。OECDプライバシーガイドラインはこの取組みの礎石であり、プライバシー及びデータ保護に関するグローバルな最低基準と位置付けられている。簡潔かつ技術中立的な文言で構成されており、技術的・社会的変化に対して卓越した適応性を発揮してきた。
OECDは、DPC及びその下部組織であるデータガバナンス・プライバシー作業部会(DGP)を通じて、各国及び専門家と連携しながらプライバシー及びデータ保護の動向を検討し、絶えず変化するデジタル環境においてプライバシーガイドラインを実施するための実践的な指針を提供している。
OECDプライバシーガイドラインの策定及び改訂における包括的プロセス
情報通信技術及び越境データ流通の重要性とそのプライバシーへの含意がOECDの注目を集めたのは1969年のことであり、1980年のOECDプライバシーガイドラインは数年にわたる分析・協議作業の成果である。1974年には、市民による個人データへのアクセス権や越境データ流通のルールといった論点を検討するセミナーが開催された。1977年の大規模シンポジウムを経て、オーストラリアの名誉あるマイケル・カービー判事を議長とする専門家グループが招集され、ガイドラインの策定作業に当たった。その成果は、個人データの取扱いと保護に関するOECD加盟国のコンセンサスを体現するものとなった。
2013年の改訂もまた、数年にわたる分析作業の成果である。改訂プロセスを支援するため、政府、プライバシー執行当局(PEA)、学術界、産業界、市民社会及びインターネット技術コミュニティの専門家から構成されるボランティアの専門家グループが組織された。この作業の結果、1980年ガイドラインの基本原則を根本的に見直す必要はないとされたが、OECDプライバシーガイドラインを更新することが適切と判断された。2013年の改訂は、リスク管理に基づくアプローチによるプライバシー保護の実践的な実施と、プライバシーのグローバルな側面への対応強化の必要性に重点を置いた。国家プライバシー戦略、プライバシー管理プログラム、個人データに関するセキュリティ侵害の通知といった新たな概念が導入されたほか、責任の強化とプライバシー執行の強化を中心に、データ流通に対するOECDのアプローチの現代化を図る改訂も行われた。
1980年の原典OECDプライバシーガイドラインには説明覚書が付されており、2013年には改訂部分の実施を支援するための補足説明覚書が作成された。
OECDプライバシーガイドラインの適用範囲
OECDプライバシーガイドラインは、公的部門及び民間部門を問わず、その処理の方法、性質又は利用の文脈に照らしてプライバシー及び個人の自由にリスクをもたらす個人データに適用される。本勧告は、プライバシー、個人の自由及び個人データのグローバルな自由な流通という基本的価値を促進・保護し、OECD加盟国間の経済的・社会的関係の発展を促すことを目的とする。
OECDプライバシーガイドラインは、第二部において国内適用の8つの基本原則、すなわち収集制限、データ品質、目的明確化、利用制限、安全保護措置、公開性、個人参加及び責任を定めている。これらの基本原則の妥当性と適切性は、2013年の改訂及び2021年の実施状況に関する報告書の双方において再確認されている。2013年の改訂で追加された第三部は、責任の原則の実施に関する指針を提供している。さらにOECDプライバシーガイドラインは、国際的適用及び個人データの自由な流通に対する正当な制限(第四部)、基本原則の国内実施手段(第五部)、並びに国際協力と相互運用性(第六部)に関する各節を含んでいる。
詳細については、https://www.oecd.org/sti/ieconomy/privacy.htm を参照されたい。問合せ先:dataandprivacy@oecd.org
脚注
- OECD. (2013). Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. C(2013)79. https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0188
- EU. (2016). Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016R0679
- subjectに主体の意味はありません。主体であればprincipalを使うところです。