昨日のGDPR6条1項(b)「契約の履行等に必要な場合」根拠のEDPBガイドラインが面白かったので、まだちゃんと読めていなかった、2月に出されていた同40条・41条「行動準則とモニタリング主体」ガイドライン案、フルで言うと40条「行動規範(Codes of conduct)」ならびに41条「承認された行動規範の監視(Monitoring of approved codes of conduct)」についてのガイドライン案についても一通り読んでみました。

 日本でいう認定個人情報保護団体のような仕組みで、共同規制的に重要なところなので前から注目していた条文です。ただ、全体としては行動規範のドラフト提出〜審査〜承認(各国・EUレベル)を進めやすくするために条文の内容を詳しく説明したという感じが強く、詳細はやはりこれからの運用次第という感じで、ガイドライン自体からはそれほど新しい発見というのはなかったのですが、こちらも備忘メモレベルながら個人的関心を中心に簡単にご紹介致します。

 

Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679 Adopted on 12 February 2019 Version for public consultation

 

●まず5p、パラ5に「Guidance on codes of conduct as a tool for transfers of data as per Article 40(3) of the GDPR will be considered in separate guidelines to be issued by the EDPB.」ということで、一部で注目されてた行動規範による域外移転はここで扱わず別のガイドラインを予定しているとのこと。ちょっと残念ですが域外移転GL自体がまだですから仕方ない。日本の場合十分性認定が出ましたから相対的には重要度は減ったところでもございます。

●8p、パラ13に「Codes can provide a degree of co-regulation and they could decrease the level of reliance that controllers and processors may sometimes place upon data protection supervisory authorities to provide more granular guidance for their specific processing activities.」という形で明確にco-regulationという言葉が出てくる。「a degree of」の意味するところは何たるや。

●10p〜「5 ADMISSIBILITY OF A DRAFT CODE」、行動規範の要件について細かく。提出する団体は当該分野を効果的に代表していなければならず、「Number or percentage of members from the relevant controllers or processors in that sector that have subscribed to comply with the code」を言う必要があるとのこと。ドラフトの作成にあたっては、前文99に従い、必要な場合にはデータ主体を含むステイクホルダーから意見を聞かなければならない。パラ30、言語については国内レベルである場合には担当当局国の言語で、トランスナショナルである場合はそれに加えて英語で作らなければならない。ご参考までに、GDPRで関連する前文98と99を引用しておきます。

(98) 一定の部門において行われる取扱いの特殊性並びに中小零細企業の特殊事情を考慮に入れた上で、本規則の効果的な適用を促進するために、様々な種類の管理者又は処理者を代表する団体その他の組織は、本規則の 制限内で、行動準則を作成することが奨励されなければならない。特に、そのような行動準則は、取扱いの結果として発生するおそれのある自然人の権利及び自由に対するリスクを考慮に入れた上で、管理者及び処理者の義務を調整しうる。

(99) 行動準則を作成する際、又は、その準則を改正又は追補する際、様々な種類の管理者又は処理者を代表す る団体その他の組織は、それが有用であるときはデータ主体を含め、関係する利害関係者と協議し、そして、 そのような協議に応じて申し出や表明された意見を考慮しなければならない。

出典:GDPR前文98・99(個人情報保護委員会訳)

●13p「6.3 Specifies the application of the GDPR」のところ、ベストプラクティスおよび受け入れられないプラクティス(unacceptable practices)を書くことが望ましいとされる他、パラ38では先日のデータ処理根拠との関連で「For example, codes containing specifications with regard to processing activities, might also facilitate the identification of adequate legal grounds for these processing activities in the Member States to which they intend to apply.」ということが示される。行動規範によって特定分野で望ましい法的根拠が整理されるだけでも事業者さんはだいぶやり易苦なると思います。

●20p〜「12 ACCREDITATION REQUIREMENTS FOR MONITORING BODIES」のところ、モニタリング主体の独立性、利益相反、専門知識、手続・組織構造、苦情処理、当局との連絡、レビュー、法的位置付け、などについて細かく、全体としてやっぱりミニDPAのような書きぶりになっている。苦情処理についてはパラ46の「Such remedial actions and sanctions could include such measures ranging from training to issuing a warning, report to the Board of the member, a formal notice requiring the implementation of specific actions within a specified deadline, temporary suspension of the member from the code until remedial action is taken to the definitive exclusion of such member from the code. These measures could be publicised by the monitoring body, especially where there are serious infringements of the code.」と、罰則権限のあり方についても。

●24p「15 PUBLIC SECTOR CODES」、公的機関も40条の行動規範は適用される(利用できる)けれど、41条6項に基づき同条のモニタリングメカニズムは適用されない。これについては「 This exemption does not in any way dilute the requirement for the implementation of effective mechanisms to monitor a code. This could be achieved by adapting existing audit requirements to include monitoring of the code.」ということで、DPA等がそれをモニタするということですね。

 

 感想として、やはり行動規範それ自体のあり方に加えて、効果的な救済、そしてモニタリングの3本柱を重視する共同規制メカニズム、PtoB規則案をはじめ最近のEUにおけるソフトローアプローチに通底する部分は非常に多く、方法論としては収斂してきているのだなあと思いました。