- 2023年8月21日
CJEUが個人データ保護に関するファクトシートを公開
2021年3月18日、欧州司法裁判所(CJEU)は個人データ保護に関する判例を分析したファクトシート2020年7月版を公開した。本稿では、このファクトシートに掲載された判例を、テーマごとにピックアップして紹介する。
Ⅰ.EU基本権憲章に認められた個人データ保護に対する権利
EU二次法と個人データ保護に対する権利の適合性
- 2010年11月9日 Volker und Markus Schecke, Eifert事件
- 2013年10月17日 Schwarz事件
- 2014年4月8日 Digital Rights Ireland事件
CJEUは、犯罪立証のために捜査機関が通信データを一時的に保持することを認めるデータ保持指令(指令2006/24/EC)を全部無効と判断した。
EU法施行下における個人データ保護に対する権利の尊重
- 2016年12月21日 Tele2事件
CJEUは、ePrivacy指令(指令2002/58/EC)第15条について、重大な犯罪の予防措置としてデータを保持することを認める法律を排除するものではないと判断した。もっとも、保持の対象となるデータのカテゴリ、通信手段、関係者及び保持期間は厳格に必要なものに限定されるとした。
Ⅱ.指令95/46/ECにおける個人データの取扱い
指令95/46/ECが対象としていない個人データ処理
- 2006年5月30日 Parliament v. Council事件
- 2014年12月11日 Ryneš 事件
個人データの概念
- 2016年10月19日 Breyer事件
- 2017年12月20日 Nowak事件
個人データ処理の概念
- 2003年11月6日 Lindqvist事件
- 2014年5月13日 Google Spainの事件(※忘れられる権利の項で掲載)
- 2018年7月10日 Jehovan todistajat事件
- 2019年2月14日 Buivids事件
個人データファイリングシステムの概念
- 2018年7月10日 Jehovan todistajat事件
個人データ処理の管理者の概念
- 2018年7月10日 Jehovan todistajat事件
- 2018年6月5日 Wirtschaftsakademie Schleswig Holstein事件
- 2019年7月29日 Fasion ID事件
指令95/46/EC第7条に照らして個人データを適法に処理する条件
- 2008年12月16日 Huber事件
- 2011年11月24日 ASNEF and FECEMD事件
- 2016年10月19日 Breyer事件
- 2017年5月4日 Rīgas satiksme事件
- 2017年9月27日 Puškár事件
Ⅲ.指令2002/58/ECにおける個人データ処理
- 2018年10月2日 Ministerio Fiscal(検察省)事件
CJEUは、ePrivacy指令(指令2002/58/EC)について、犯罪の抑止・捜査・訴追を目的とする場合、「重大な」犯罪に限定することなく、公的機関が個人データにアクセスすることを認めている、とした。
Ⅳ.欧州域外への個人データ移転
- 2020年7月16日 Facebook Ireland V. Schrems事件
オーストリア在住のマックス・シュレムス氏が、米国における個人データ保護措置が不十分であるとして、Facebookによるアイルランドから米国への個人データ移転を中止するよう訴えた事件。
本件に関連する予備判決において、CJEUは、標準契約条項(SCC)(GDPR第46条)を有効とする一方、EU・米国間のPrivacy Shield(同第45条)は無効と判断した。もっとも、同判決は、SCCに基づく個人データの域外移転であっても、移転先国の個人データ保護レベルは事案ごとに判断されるべきであり、データ移転を中止しなければならない場合もあると指摘している。
Ⅴ.インターネット上の個人データ保護
1.個人データ処理に異議を唱える権利(「忘れられる権利」)
- 2014年5月13日 Google Spainの事件
スペイン在住の男性が、自分の過去の情報に関する検索結果を削除するようGoogleに求めた事件。
本件に関連する予備判決において、CJEUは、第三者がインターネット上に公開した情報を検索し、その情報に自動的にインデックスを作成し、一時的に保存し、最終的に、インターネットユーザーが特定の趣向に従って利用することを可能にする検索エンジンの活動は、その情報に個人データが含まれている場合、個人データの処理に当たるとした。その上で、EU域内に居住する者は、自己の個人データを含むリンクを削除するよう検索エンジンに要求することができると判断した。
※本判決で示された「忘れられる権利(right to be forgotten)」は、GDPR17条で明文化されている。 - 2019年9月24日 Google(忘れられる権利の適用領域)の事件
CJEUは、本判決において、忘れられる権利はEU域外では適用されないと判断した。
2.個人データ処理と知的財産権
- 2008年1月29日 Promusicae V. Telefonica事件
Promusicaeはスペインの音楽制作者を代表してその利益を守ることを目的とする非営利団体、Telefonica de Espana SAUはインターネットアクセスサービス等を行う会社である。
Telefonicaのユーザーが、Peer to Peer(P2P)を使用し、Promusicaeのメンバーが排他権を有するレコードをパソコンの共有ファイルで提供していた。このユーザーに対して民事訴訟を提起するため、Promusicaeは、ユーザーの氏名や住所等の個人データを開示するようTelefonicaに要求した。
この裁判に関連して、EU加盟国が、著作権を保護するため、民事訴訟手続における個人データ開示義務を規定する義務を負うかが問題となった。CJEUは、「EU法は、加盟国に個人データ開示義務を定めることを義務づけていないが、加盟国が著作権保護に関するEU指令を転置(国内法で規定すること)、履行する場合はEU法で認められた基本権との公正なバランスを図らなければならない。」とした。 - 2011年11月24日 Scarlet Extended事件
- 2012年4月19日 Bonnier Audio他数社 V. ePhone事件
Boonier Audio他数社はスウェーデンの出版社、ePhone(Perfect Communication Sweden AB)はインターネットサービスプロバイダである。
Boonier Audioらは、ePhoneのユーザーが、FTP(ファイル転送プロトコル)サーバーを使用して、同社らが複製・出版・一般配布の排他的権利を有する27の作品(オーディオブック)を公開したとして、ePhoneに対し、ユーザーの氏名や住所等の個人データを開示するよう求めた。
問題となったスウェーデンの法律では、①知的財産権侵害の明白な証拠があること、②開示によって明らかになる情報が審理に資するものであること、③開示によって得られる利益が不利益を上回ることを条件として個人データの開示が認められる。CJEUは、「国内裁判所が、比例原則に基づき、関連する利益を事案ごとに比較検討することを可能にする限りにおいて、当該法律は知的財産権に関連するEU指令に違反しない。」と判断した。
3.個人データの参照解除
- 2019年9月24日 GC他(センシティブ・データの参照解除)の事件
4.クッキーに関する同意
- 2019年10月1日 Planet49事件
オンライン懸賞を運営するPlanet49のクッキーに関する同意の取得方法について、その適法性が争われた事件。
CJEUは、①事前にチェックが入ったチェックボックスは、ePrivacy指令(2002/58/EC)第5条3項が定める有効な同意を構成しない、②クッキーに保存される情報に個人データが含まれるかどうかにかかわらず同意は必要となる、③サービスプロバイダは、同条項に基づき、クッキーの利用期間と第三者がクッキーにアクセスできるかどうかに関する情報を利用者に提供しなければならない、と判断した。
Ⅵ.監督機関
1.独立性の要請の範囲
- 2010年3月9日 Comission V. Germany事件
- 2012年10月16日 Comission V. Austria事件
- 2014年4月8日 Comission V. Hungary事件
2.適用法と所轄監督機関の決定
- 2015年10月1日 Weltimmo事件
3.監督機関の権限
- 2015年10月6日 Schrems事件
- 2018年6月5日 Wirtschaftsakademie Schleswig-Holstein事件
Ⅶ.EU法の適用領域
- 2014年5月13日 Google Spain事件
Ⅷ.EU機関の文書への公的アクセスの権利と個人データ保護
- 2010年6月29日 Comission V. Bavarian Lager事件
【CJEUのFact sheet】
https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-10/fiche_thematique_-_donnees_personnelles_-_en.pdf
【2020年7月16日 Facebook Ireland V. Schrems判決】
http://curia.europa.eu/juris/document/document.jsf;jsessionid=57E5E2882434E9352EB26E5030335998?text=&docid=228677&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=9771928
【2014年5月13日 Google Spain判決】
https://curia.europa.eu/juris/document/document.jsf?text=&docid=152065&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=8061394
【2019年9月24日 Google(忘れられる権利の適用領域)判決】
https://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=8062078
【2008年1月29日 Promusicae V. Telefonica判決】
https://curia.europa.eu/juris/document/document.jsf?text=&docid=70107&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=8061435
【2012年4月19日 Bonnier Audio V. ePhone判決】
https://curia.europa.eu/juris/document/document.jsf?text=&docid=121743&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=8061500
【2019年10月1日 Planet49判決】
https://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=8062181