2018年の幕開けとともに、GDPRはもはや必須のものと思われていました。誰もがその4文字を口にし、Facebookとケンブリッジ・アナリティカの後押しもあり、プライバシーの世界に火がつきました。
今年、データ保護の専門家たちは、より不確実な問題、すなわち、かつて EU の一般データ保護規則の立法上の兄弟として意図されていた ePrivacy 規則、そしてもちろん Brexit に再び焦点を当てることになるだろう。
欧州連合は、個人データの保護を対象とする一般データ保護規則と同時に、電子通信のプライバシー規則を定めたeプライバシー規則を実施する予定だった。
しかし、2018年5月が近づき、そして過ぎ去るにつれ、その望みは消え去ったことが明らかになった。それどころか、過去1年間は加盟国間の意見の相違と激しいロビー活動によって法案成立の可能性が脅かされ、膠着状態に陥っていた。
加盟国が2018年にグループ合意に達するという構想さえも、もはや夢物語であることが証明された。EUの三機関(委員会、議会、理事会)による三者協議を開始するには、グループ合意が必要となる。
現在、観測者たちは期待を調整しており、5月の欧州議会選挙前に合意に達するという見通しに期待が移っている。
規制がそれまでに三国間協議に入っていなければ、混乱により議題から完全に外れてしまうのではないかと懸念される。もしそうなれば、妥協点を見出せるという良い兆候となるだろうが、それでも2020年まで施行される可能性は低い。
この規則はeプライバシー指令に代わるもので、欧州連合全体での一貫性を確保することを目的としています。現在、eプライバシー指令は加盟国ごとに大きく異なる方法で実施されています。この規則は、通信の場所、タイミング、期間、種類に関するメタデータなど、個人情報として分類されない通信データに関する規則を定めます。
誰が反発しているのか?
しかし、この規則により、ウェブサイトの使用時に追跡されることに異議を申し立てる権利がユーザーに与えられ、クッキーを拒否した場合でもサイトへのアクセスが許可されることになるなど、広告業界との厳しい戦いに直面している。
最初の提案は2017年1月に公表され、同年10月に欧州議会を通過しました。その後、欧州理事会による一連の改訂が進められてきました。今年7月には改訂案が公表され、10月には新たな修正案が公表されました。
当初の提案にあった規則の一部は、オーストリア議長国による修正によって骨抜きにされた。同国は2018年7月から6カ月間、この立場を維持していた。
大統領府はまた、ポリシーが変更されるたびにユーザーにプライバシー設定の見直しを求めるという当初の提案が「同意疲れ」につながる可能性があると警告した。
しかし、ブラウザのプライバシー設定方法を詳述した第10条の削除を含む今回の変更は、クッキーに関する問題が不明確になるなど、事態を混乱させていると警告する声もある。
法律事務所テイラー・ウェッシングのデビー・ヘイウッド氏は、不確実性は企業にとって対処が最も難しい問題だと述べた。
「規則の最終版で明確にする必要がある最も差し迫った問題は、B2Bの電子迷惑メールやダイレクトマーケティング通信へのアプローチと、ブラウザがクッキーの同意要件を実際にどの程度満たせるかということだ」と彼女はブログ投稿で述べた。
Brexit は... Brexit を意味するのでしょうか?
UK.govは、企業がブレグジットで失敗した場合に備えて、データフローに関する契約書を作成するよう指示している。
続きを読む
2019 年に向けて企業が直面するもう一つの大きな不確実性は Brexit であり、それが英国とヨーロッパ間のデータの流れにどのような影響を与えるかは、海峡両岸の企業に影響を及ぼすでしょう。
英国では、政府と情報コミッショナー事務局が、出発予定日のわずか100日前に組織が準備するためのガイダンスを公開し、ようやく9月に発行された技術通知よりも詳しい内容を提供した。
このガイダンスでは、英国が合意なくEUを離脱した場合(この場合、データの流れに対する暫定的な保護はないため)企業はデータガバナンスの緊急時対応策を準備し、欧州での事業を見直す必要があると警告している。
英国はEUから十分性認定(英国の保護基準が基準を満たしているというお墨付き)を求めているが、企業はこれがすぐに得られるとは期待できない。
代替案の一つとして、標準契約条項(SCC)が挙げられます。これは、欧州経済領域(EEA)内の組織が遵守しなければならない標準的な契約条件です。政府は、既存のSCCが合意なき離脱の際の国際送金の有効な根拠となり、ICOはブレグジット後もSCCを発行できることを確認しました。
decoded: Legalの技術弁護士、ニール・ブラウン氏は、条項を必要としない企業にとっては追加の作業が発生するだろうが、「これは契約に条項を追加するための単純な契約変更にすぎないはずだ」と述べた。
企業に SCC を使用するようアドバイスすることは、現在、活動家で弁護士のマックス・シュレムス氏によって欧州裁判所で争われているため、多少物議を醸している。
「データ保護の観点から、標準契約条項が本当に『適切』であるかどうかという、より大きな疑問があります」とブラウン氏は述べた。「しかし、ICOの現時点の指針は、有効な間はそれを活用するというものです。」
しかし、複雑なケースや特殊なケースでは、SCCは適切ではない可能性が高いため、企業は、多国籍企業がEEA域外に個人データを移転できるように設計された拘束的企業準則(BCR)などの別の役割を活用する必要があります。先月、離脱協定が公表された際には、ICOによって付与されたBCRがブレグジット後も引き続き機能するかどうかについて疑問が提起されました。
ICOの最新のガイダンスでは、企業が英国を第三国として示すために適切な変更を加える限り、既存のBCRは「EEAから英国への移転を許可する可能性が高い」と述べられています。これは欧州データ保護委員会(EDPB)の確認を条件としており、ICOは6項目の計画の中で、EU離脱後も「引き続き国内法に基づいて新たなBCRを承認できる」としています。
さらに、ICOは、GDPRの規定は技術的な修正を加えて英国の法律に書き込まれ、英国のみで適用されるため、データ管理者の責任は変わらないと強調した。
しかし、英国とEEA諸国の両方で事業を展開している企業は、他の変更を加える必要があるかもしれません。たとえば、現在英国が企業の主導監督機関である場合、それを別の加盟国に切り替えることが必要になるかもしれません。
これは、「ワンストップショップ」原則によるもので、この原則により、企業は影響を受ける加盟国のすべてのDPAからの規制や執行措置に対処するのではなく、単一の主導機関を指定できることになります。
「英国がEUを離脱した後、主導機関がなくなり、ワンストップショップの恩恵を受けられなくなると、事業や、欧州のさまざまなデータ保護機関からの問い合わせに対応するために必要なリソースに重大な影響を与える可能性がある」とICOは警告した。
一方、EEA内の人々に商品やサービスを販売し、英国のみに拠点を置き、他の加盟国には拠点を置いていない企業は、EUの制度に従い、EEA内に代表者を任命する必要がある。
シュレムスのフェイスブック訴訟、EUと米国のデータの流れをめぐる判決に近づく
続きを読む
この人物は、企業のデータ保護責任者またはその処理者のいずれかであってはなりません。また、低リスクのデータを処理するか、たまにしか処理しない公的機関または組織については例外となります。
すべての企業が踏む必要があるもう 1 つの基本的なステップは、プライバシー ポリシーやその他の文書が最新のものであることを確認することです。特に、それらが EU 法に言及しており、英国が EU に対して第三国であることを反映しているかどうかが重要です。
ブラウン氏は、6項目の計画(PDF)と一連のFAQを含むこのガイドラインは「実用的で実際的」だと述べた。
しかし、テクノロジストでインターネット規制の専門家であるヘザー・バーンズ氏は、この法律は「ノイズには対処しているが、信号には対処していない」と述べた。
彼女にとって、このガイダンスは「中小企業や零細企業が、事業を以前と全く同じように運営し続けるために必要な作業を行うための時間、労力、そして契約条項の場合は弁護士費用をどこで調達するのか」という重要な疑問に答えていない。
実際、企業はクリスマス直前に、企業が導入を余儀なくされている緊急時対応計画は「時間と資金の大きな無駄」であると厳しい警告を発した。
また、ビジネスリーダーが人員配置や移民問題に取り組んだり、サプライチェーンの問題に備えて製品の備蓄を検討したりする中で、データフローが彼らの頭の中の最優先事項ではない可能性があることも注目に値します。
現時点で、2019 年について確実に言えることは、テクノロジー ビジネスにとって多くの不確実性を伴う年になるということです。®
