クライアントアラート
グローバルプライバシー法TOP 5 ―2020年の回顧と2021年の展望
December 18, 2020
By 新井 敏之
2020年の回顧Top 5[1]
1. 新型コロナ対応― 職場、学校等での健康に関するデータのシェアリングなどの取り扱いに新しい問題が集中した。健康に関する要配慮個人情報 (sensitive information) の取り扱い、プライバシーノーティスの記載の十分性、データの保全期間等が論点となる。ポールヘイスティングス執筆のクライアントアラート(「PHアラート」)はこちら。
2. CCPA(California Consumer Privacy Act)の施行 ― 2020年年初より施行され、カリフォルニア州で営業する大企業、中企業に影響を与えている。この法律は同州の居住者にさらなるプライバシー権を付与したため、同州の営業者は個人情報の収集、使用及び移転に関し対応を迫られる。他州で営業するカリフォルニア州の営業者は、CCPAを踏まえた汎複合法域型プライバシーポリシーを制定し、同様の会社規則を整備する傾向が見られる。そこでのポイントは個人情報の収集とシェアリング、消費者にどう情報開示し、選択権を与えるかである。CCPAをめぐる進展についてのPHアラートはこちら。[2]
3. Schrems II 判決とプライバシーシールドの無効化 ― 2020年6月16日、Court of Justice of the European UnionはEU-US間のプライバシーシールド制度を無効と判断した。その理由はプライバシーシールドがEUの個人データを十分に保護していないという評価にある。そのためこの方法を用いてEUから米国に個人データを移転していた当事者は、その代替策を模索し、当面SCC (standard contractual clauses) を締結することで対応している。さらに、European Data Protection Board (EDPB) は2021年前半から施行されるSCCの新雛形を発表した。この判決をめぐるPHアラートはこちら。[3]
4. Brexit 終了 ― 2020 年末をもってブレクジット経過期間は失効する。プライバシーの分野ではそれはEUとの個人データの自由な移転が終焉を迎えることを意味する。GDPRの見地からはUKは第三国になり、データ保護についての十分性認定なく個人データの移転を受けることができなくなるが、十分性認定が円滑になされるかはまだ明らかではない。多国籍企業である我々のクライアントはこの状況を踏まえ、新年度からのSCCによるデータ移転方法を構築中である。ブレクジットとその影響に関するPHアラートはこちら。
5. アジアとラテンアメリカでのプライバシー法制定 ― 世界中の国がデータ保護法を制定しつつある。そのため多国籍企業では、更にデータコンプライアンスの対応が複雑化している。例を挙げると、2020年10月21日、中国の個人情報保護法(PIPL)の草案が中国初の統一的なプライバシー保護法として公表された。これまでサイバーセキュリティ法や個人情報安全指定などに分散していた規定を統一している。その内容は多くがGDPRの影響下にあるとされる。また、ブラジルではGDPRに近似した広汎な個人データ保護法(LGPD)が制定され、来年に施行される(下記参照)。
2021年の展望Top 5
1. 新SCC制定 ― 2020年11月11日EDPBはEEA内から EEA外に対して個人データを移転することについての推奨される方法のドラフトを発表した。これらの方法はクロスボーダーのデータ移転について、移転する当事者が履践すべき手続きを定め、その中には外国への移転に重要な影響のある要件を含んでいる場合がある(例・第三者またはEEA外の国にデータ移転をする際の相手方・相手国へのデューディリジェンスの要件)。このEDPBのガイダンスを受け、European Commissionは新しいSCCと実施細則のドラフトを併せて公表した。両ドラフトには①EU内プロセッサーからEU外プロセッサーへのデータ移転用のもの、及び②EU内プロセッサーからEU外コントローラーへのデータ移転用のものの二つがある。これらの文書ではSCCの語法もGDPRのそれと統一されている。PHアラートはこちら。[4]
2. 米国のプライバシー関連の州法と連邦法の制定 ― カリフォルニア州ではCCPAを改正するCalifornia Privacy Rights Act (CPRA)を住民投票により採択した。この新法の大半は2023年初から施行され、州民のプライバシー権を強化し、事業者の義務を拡大する。その他の州、例えばワシントン州などもかかる法律の制定に動くと言われている。さらに連邦法がプライバシー権について制定される可能性もある。PHアラートはこちら。
3. ブラジルのLGPD法 ― 2018年8月14日にブラジル初の包括的個人データ保護法としてBrazilian General Data Protection Law (LGPD) が制定された。2021年8月からデータ保護庁 (ANPD)による行政監督が開始される。この法律は域外適用があり、ブラジル由来の個人情報のプロセシングに関してデータのプロセシング、保存の場所にかかわらず世界どこにでも規制が及ぶ。営業者の側ではこの遵守のための準備が既に開始されており、グローバルなコンプライアンスをさらに複雑にしている。
4. カナダのDigital Charter Implementation Act (DCIA) 法案 ― 2020年 11月17日に提出された本法案は、Schrems IIの下でどのようにすれば十分性認定が受けられるかを配慮したものと評価される。この法案が可決されれば、その目論見では①Personal Information and Electronic Documents Act (PIPEDA) をConsumer Privacy Protection Act (CPPA) に組み入れ、②個人情報紛争についての審査機関をPersonal Information and Data Protection Tribunal Actにより設立する予定である。法案ではGDPR由来の各種権利も規定(例・データポータビリティ、削除請求権)される。カナダ政府公表のファクトシートはこちら。
5. ブレクジットと英国Age Appropriate Design Code ― 来年年初からは英国はEEAにとって第三国であり、自由な個人データの移転が許容されなくなる。英国では内国法をもって個人データ保護を整備し、European Commissionの十分性認定が受けられるように準備中である。その間、多国籍企業はSCCを締結することでデータの移転が可能なよう準備している。英国ICOによるガイダンスはこちら。
更に国内法として9月2日にAge Appropriate Design Codeを制定し、12か月の準備期間を経てInformation Society Services (法によって定義される、ISS)による遵守が要求される。英国で子供が利用する可能性のある情報サービスを提供するISSはその利用に沿って新設の詳細なコーディング義務を課せられる。その適用のあるサービスは広汎で、各種ストリーミング、アプリ、プログラム、ウェブサイト、SNS, メッセージサービス、ゲーム、インターネット利用玩具などが広く対象となる。この法律は子供の様々なプライバシー保護の見地から高度のプライバシー権をディフォルトとして制度設計されており、親の監督権やプロファイリング、同意権に関する規定も存在する。既にエンターテイメント業界やテクノロジー業界がこの遵守に向けて準備中である。
本稿の内容についてご質問等がございましたら、担当者までお気軽にお問い合わせください
[1] この論考は本法律事務所の以下の弁護士による12月14日付の英文の論考(Top 5 Privacy Developments in 2020 and 5 More to Prepare for in 2021)に基づいているが、筆者の見解を含んでいる点をご注意願いたい。Sherrese Smith, Jacqueline Cooney, Daniel Julian and Brianne Powers.
[2] 更に追加的な情報はこちらのPHアラートを参照:https://www.paulhastings.com/publications-items/blog/ph-privacy/ph-privacy/2020/08/31/ccpa-s-hr-and-b2b-carve-outs-extended-until-january-1-2022
[3] 更に追加的な情報はこちらのPHアラートを参照:https://www.paulhastings.com/publications-items/blog/ph-privacy/ph-privacy/2020/07/23/practical-next-steps-following-invalidation-of-privacy-shield
[4] 更に追加的な情報はこちらのPHアラートを参照:https://www.paulhastings.com/publications-items/blog/ph-privacy/ph-privacy/2020/11/12/european-commission-releases-draft-sccs-for-consultation
Contributors
