個人データ保護に関するCJEUの判例紹介～CJEUのファクトシートより～

2021.6.7　改訂版SCCに関する解説を公開しました

CJEUが個人データ保護に関するファクトシートを公開

2021年3月18日、欧州司法裁判所（CJEU）は個人データ保護に関する判例を分析したファクトシート2020年7月版を公開した。本稿では、このファクトシートに掲載された判例を、テーマごとにピックアップして紹介する。

Ⅰ．EU基本権憲章に認められた個人データ保護に対する権利

EU二次法と個人データ保護に対する権利の適合性

2010年11月9日　Volker und Markus Schecke, Eifert事件
2013年10月17日　Schwarz事件
2014年4月8日　Digital Rights Ireland事件
CJEUは、犯罪立証のために捜査機関が通信データを一時的に保持することを認めるデータ保持指令（指令2006/24/EC）を全部無効と判断した。

EU法施行下における個人データ保護に対する権利の尊重

2016年12月21日　Tele2事件
CJEUは、ePrivacy指令（指令2002/58/EC）第15条について、重大な犯罪の予防措置としてデータを保持することを認める法律を排除するものではないと判断した。もっとも、保持の対象となるデータのカテゴリ、通信手段、関係者及び保持期間は厳格に必要なものに限定されるとした。

Ⅱ．指令95/46/ECにおける個人データの取扱い

指令95/46/ECが対象としていない個人データ処理

2006年5月30日　Parliament v. Council事件
2014年12月11日　Ryneš 事件

個人データの概念

2016年10月19日　Breyer事件
2017年12月20日　Nowak事件

個人データ処理の概念

2003年11月6日　Lindqvist事件
2014年5月13日　Google Spainの事件（※忘れられる権利の項で掲載）
2018年7月10日　Jehovan todistajat事件
2019年2月14日　Buivids事件

個人データファイリングシステムの概念

2018年7月10日　Jehovan todistajat事件

個人データ処理の管理者の概念

2018年7月10日　Jehovan todistajat事件
2018年6月5日　Wirtschaftsakademie Schleswig Holstein事件
2019年7月29日　Fasion ID事件

指令95/46/EC第7条に照らして個人データを適法に処理する条件

2008年12月16日　Huber事件
2011年11月24日　ASNEF and FECEMD事件
2016年10月19日　Breyer事件
2017年5月4日　Rīgas satiksme事件
2017年9月27日　Puškár事件

Ⅲ．指令2002/58/ECにおける個人データ処理

2018年10月2日　Ministerio Fiscal（検察省）事件
CJEUは、ePrivacy指令（指令2002/58/EC）について、犯罪の抑止・捜査・訴追を目的とする場合、「重大な」犯罪に限定することなく、公的機関が個人データにアクセスすることを認めている、とした。

Ⅳ．欧州域外への個人データ移転

2020年7月16日　Facebook Ireland V. Schrems事件
オーストリア在住のマックス・シュレムス氏が、米国における個人データ保護措置が不十分であるとして、Facebookによるアイルランドから米国への個人データ移転を中止するよう訴えた事件。
本件に関連する予備判決において、CJEUは、標準契約条項（SCC）（GDPR第46条）を有効とする一方、EU・米国間のPrivacy Shield（同第45条）は無効と判断した。もっとも、同判決は、SCCに基づく個人データの域外移転であっても、移転先国の個人データ保護レベルは事案ごとに判断されるべきであり、データ移転を中止しなければならない場合もあると指摘している。

Ⅴ．インターネット上の個人データ保護

１．個人データ処理に異議を唱える権利（「忘れられる権利」）

2014年5月13日　Google Spainの事件
スペイン在住の男性が、自分の過去の情報に関する検索結果を削除するようGoogleに求めた事件。
本件に関連する予備判決において、CJEUは、第三者がインターネット上に公開した情報を検索し、その情報に自動的にインデックスを作成し、一時的に保存し、最終的に、インターネットユーザーが特定の趣向に従って利用することを可能にする検索エンジンの活動は、その情報に個人データが含まれている場合、個人データの処理に当たるとした。その上で、EU域内に居住する者は、自己の個人データを含むリンクを削除するよう検索エンジンに要求することができると判断した。
　※本判決で示された「忘れられる権利（right to be forgotten）」は、GDPR17条で明文化されている。　　
2019年9月24日 Google（忘れられる権利の適用領域）の事件
CJEUは、本判決において、忘れられる権利はEU域外では適用されないと判断した。

２．個人データ処理と知的財産権

2008年1月29日　Promusicae V. Telefonica事件
Promusicaeはスペインの音楽制作者を代表してその利益を守ることを目的とする非営利団体、Telefonica de Espana SAUはインターネットアクセスサービス等を行う会社である。
Telefonicaのユーザーが、Peer to Peer（P２P）を使用し、Promusicaeのメンバーが排他権を有するレコードをパソコンの共有ファイルで提供していた。このユーザーに対して民事訴訟を提起するため、Promusicaeは、ユーザーの氏名や住所等の個人データを開示するようTelefonicaに要求した。
この裁判に関連して、EU加盟国が、著作権を保護するため、民事訴訟手続における個人データ開示義務を規定する義務を負うかが問題となった。CJEUは、「EU法は、加盟国に個人データ開示義務を定めることを義務づけていないが、加盟国が著作権保護に関するEU指令を転置（国内法で規定すること）、履行する場合はEU法で認められた基本権との公正なバランスを図らなければならない。」とした。
2011年11月24日　Scarlet Extended事件
2012年4月19日　Bonnier Audio他数社 V. ePhone事件
Boonier Audio他数社はスウェーデンの出版社、ePhone（Perfect Communication Sweden AB）はインターネットサービスプロバイダである。
Boonier Audioらは、ePhoneのユーザーが、FTP（ファイル転送プロトコル）サーバーを使用して、同社らが複製・出版・一般配布の排他的権利を有する27の作品（オーディオブック）を公開したとして、ePhoneに対し、ユーザーの氏名や住所等の個人データを開示するよう求めた。
問題となったスウェーデンの法律では、①知的財産権侵害の明白な証拠があること、②開示によって明らかになる情報が審理に資するものであること、③開示によって得られる利益が不利益を上回ることを条件として個人データの開示が認められる。CJEUは、「国内裁判所が、比例原則に基づき、関連する利益を事案ごとに比較検討することを可能にする限りにおいて、当該法律は知的財産権に関連するEU指令に違反しない。」と判断した。

３．個人データの参照解除

2019年9月24日　GC他（センシティブ・データの参照解除）の事件

４．クッキーに関する同意

2019年10月1日　Planet49事件
オンライン懸賞を運営するPlanet49のクッキーに関する同意の取得方法について、その適法性が争われた事件。
CJEUは、①事前にチェックが入ったチェックボックスは、ePrivacy指令（2002/58/EC)第5条3項が定める有効な同意を構成しない、②クッキーに保存される情報に個人データが含まれるかどうかにかかわらず同意は必要となる、③サービスプロバイダは、同条項に基づき、クッキーの利用期間と第三者がクッキーにアクセスできるかどうかに関する情報を利用者に提供しなければならない、と判断した。