2016年8月1日、EU・米国間において個人情報のやり取りがされる場合における個人情報保護に関する新しいメカニズム「プライバシー・シールド」が施行された。
あらかじめ予定されていたとおり、同日付で欧州委員会はEU市民のためのガイドを公表した(プレスリリース(英語) )。当該ガイドでは、各個人の個人情報がどのように保護され、それが勝手に利用されている、または自身の個人情報保護への権利が尊重されていないと感じた場合にはとることができる是正措置等についての説明がされている。
過去の記事において是正措置の概要について触れたので、本稿ではEU市民の個人情報保護のための保証を概観する。
プライバシー・シールドでは、以下の事項がEU市民個々人に保証される。
- 知らされる権利
プライバシー・シールドの規制を受ける企業は以下の事項を個人に伝えなければならない。
・ 取り扱う個人情報の種類
・ 個人情報を取り扱う理由
・ 個人情報を他社に移転する場合にはその理由
・ 個人情報へのアクセス権がある旨
・ 開示してもよい個人情報の選択権がある旨
・ コンタクトを取る方法
・ 訴えを起こす場合の独立紛争解決機関
・ 米国の政府機関
・ 米国捜査機関から要請があった場合に個人情報を開示する可能性がある旨
また、企業はプライバシー・ポリシーへのリンクを自身のウェブサイト上に掲載しなければならない。
- 利用目的の制限
原則として、プライバシー・シールドの規制を受ける企業は、個人情報を取得した当初の目的以外の目的のために取得した個人情報を使用することはできない。もし当初の目的以外の目的のために使用したい場合には、新しい使用目的が当初の目的とどの程度関連性を有するかによって、結果は異なる。
・当初の使用目的と両立しえない目的のための個人情報の使用は一切認められない。
・新しい使用目的が当初の目的とは異なるが関連性を有する場合は、当該個人情報の提供をした個人が反対しない場合に限り、使用が認められる。
・新しい使用目的が当初の目的とは異なるが十分に類似性が認められる場合は、使用が認められる。
- 取得する個人情報が最低限であること及びその使用期限の制限
プライバシー・シールドの規制を受ける企業は、個人情報の取扱い目的の範囲内においてのみ取得及び取り扱うことができ、使用された個人情報が正確で信頼ができ完全かつ最新のものであることを保証しなければならない。また個人情報の保管はその取扱い目的のために必要と認められる期間に限られる。
- 個人情報保護義務
プライバシー・シールドの規制を受ける企業は、個人情報が安全かつ紛失・誤用・アクセス権のないものによるアクセス、漏洩、改ざん、破壊等の恐れがない状態で保管されることを保証しなければならない。
- 他社へ個人情報を移転する場合における個人情報保護
他者へ個人情報を移転する場合には、移転先の企業においてもプライバシー・シールドで要求されるのと同レベルの個人情報保護が保証されなければならない。また、必ずプライバシー・シールド規制を受ける企業と個人情報移転先の第三者との間で、個人情報の使用及びその保護の責任について明確に定める契約が結ばれなければならない。
- 自身の情報へのアクセス及び修正をする権利
プライバシー・シールド規制を受ける企業に対して、自身の個人情報へのアクセスを要請することができる。
- 異議申立て及び是正措置を受ける権利
もしプライバシー・シールドの規制を受ける企業がその規則に従わない、または個人情報保護義務に違反するような場合には、無償で是正のための申し立てを行う権利が認められる。詳細については、当事務所の過去の記事を参照されたい。
- 米国捜査機関によるアクセスがされる場合の補償
個人情報へのアクセスが米国の公的機関によってなされる可能性があるが、プライバシー・シールドは、個人情報への公的機関からのアクセスは国家の安全や法の執行といった公共の利益の追求を目的とする場合に限られることを保証している。
大友 美加
ヴィラ法律事務所
より詳細な情報につきましては下記までご連絡ください。
2016年8月26日