« 複式簿記・会計システムとゼロトラスト・アーキテクチャ、そして収斂進化 | Main | 気になった記事2つ(大変革期に突入した自動車産業とサイバーセキュリティ、クラウドネイティブセキュリティ101) »

2021.04.19

EDPB(欧州データ保護会議) UKの十分性についての意見

こんにちは、丸山満彦です。

EDPB(欧州データ保護会議) UKの十分性についての意見を発表しているので、備忘録... (当初、同等性と書いていました、十分性に修正しました。 at 2021.07.07)

現在は同等だが、将来は乖離するかもしれないので、よくみておかないといけないよ、という感じでしょうか? 意見省は2つあります。

Opinion 14/2021は、GDPRに基づく意見。一般的なデータ保護の側面と、適切な決定案に含まれる法執行と国家安全保障の目的でEEAから転送された個人データへの政府のアクセスの両方を評価するものです。

Opinion 15/2021は、法執行指令(LED)に基づく意見。法執行指令の下での妥当性参照に関する勧告01/2021、監視措置のための欧州必須保証に関する勧告02/2020に反映された関連判例法に照らして妥当性決定案を分析しているもので、欧州委員会が提示し、EDPBが評価を行った、LEDの下での第三国の妥当性に関する初めての実施決定案となっています。

 

European Data Protection Board: EDPB

・2021.04.16 EDPB Opinions on draft UK adequacy decisions

・2021.04.13 [PDF] Opinion 14/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the United Kingdom

20210419-65345

 

・2021.04.13 [PDF] Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom

20210419-65403

 

 


各意見書の目次は↓

 

[PDF] Opinion 14/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the United Kingdom

 

1. EXECUTIVE SUMMARY 1. エグゼクティブ・サマリー
1.1. Areas of convergence 1.1. コンバージェンスの分野
1.2. Challenges 1.2. 課題
1.2.1. General 1.2.1. 一般的な課題
1.2.2. General data protection aspects 1.2.2. 一般的なデータ保護の側面
1.2.3. On the access by public authorities to data transferred to the UK 1.2.3. 英国に転送されたデータに対する公的機関のアクセスについて
1.3. Conclusion 1.3. 結論
2. INTRODUCTION 2. 序論
2.1. UK data protection framework 2.1. 英国のデータ保護の枠組み
2.2. Scope of the EDPB’s assessment 2.2. EDPBの評価の範囲
2.3. General comments and concerns 2.3. 一般的なコメントと懸念事項
2.3.1. International commitments entered into by the UK 2.3.1. 英国が締結した国際公約
2.3.2. Possible future divergence of the UK Data Protection Framework 2.3.2. 英国のデータ保護フレームワークの将来的な発散の可能性
3. GENERAL DATA PROTECTION ASPECTS 3. 一般的なデータ保護の側面
3.1. Content principles 3.1. コンテンツの原則
3.1.1. Rights of access, rectification, erasure and objection 3.1.1. アクセス権、修正権、消去権、異議申し立ての権利
3.1.2. Restrictions on onward transfers 3.1.2. 転送の制限
3.2. Procedural and Enforcement Mechanisms 3.2. 手続きおよび施行のメカニズム
3.2.1 Competent Independent Supervisory Authority 3.2.1 権限のある独立監督機関
3.2.2. Existence of a data protection system ensuring a good level of compliance 3.2.2. 良好なレベルのコンプライアンスを確保するデータ保護システムの存在
3.2.3. The data protection system must provide support and help to data subjects in the exercise of their rights and appropriate redress mechanisms 3.2.3. データ保護システムは、データ対象者が権利を行使する際の支援と手助け、および適切な 補償メカニズムを提供しなければならない
4. ACCESS AND USE OF PERSONAL DATA TRANSFERRED FROM THE EU BY PUBLIC AUTHORITIES IN THE UK 4. 英国の公的機関による EU から転送された個人データのアクセスおよび使用
4.1. Access and use by UK public authorities for criminal law enforcement purposes 4.1. 英国の公的機関による刑法施行目的でのアクセスおよび使用
4.1.1. Legal bases and applicable limitations/safeguards 4.1.1. 法的根拠および適用される制限/保護措置
4.1.1.1. The use of consent 4.1.1.1. 同意の使用
4.1.1.2. Search warrants and production orders 4.1.1.2. 捜索令状および提出命令
4.1.1.3. Investigatory powers for law enforcement purposes 4.1.1.3. 法執行目的の調査権限
4.1.2. Further use of the information collected for law enforcement purposes (recitals 140-154) 4.1.2. 法執行目的のために収集された情報のさらなる利用(規約第140~154条
4.1.2.1. Further use for other law enforcement purposes 4.1.2.1. 他の法執行目的での更なる使用
4.1.2.2. Further use for other purposes than law enforcement within the UK 4.1.2.2. 英国内での法執行以外の目的での更なる使用
4.1.2.3. Further use in the context of onward transfers outside the UK 4.1.2.3. 英国外への転送に関連した更なる使用
4.1.3. Oversight 4.1.3. オーバーサイト
4.2. General legal framework on data protection in the field of national security 4.2. 国家安全保障の分野におけるデータ保護に関する一般的な法的枠組み
4.2.1. National security certificates 4.2.1. 国家安全保障証明書
4.2.2. Right to rectification and erasure 4.2.2. 修正および抹消の権利
4.2.3. Exemptions for National Security 4.2.3. 国家安全保障に関する免責事項
4.3. Access and use by UK public authorities for national security purposes 4.3. 国家安全保障を目的とした英国公的機関によるアクセスおよび使用
4.3.1. Legal bases, limitations and safeguards - Investigatory powers exercised in the context of national security 4.3.1. 法的根拠、制限および保護措置 - 国家安全保障の文脈で行使される調査権限
4.3.1.1. General remarks 4.3.1.1. 一般的な注意事項
4.3.1.2. Targeted acquisition and retention of communications data 4.3.1.2. 通信データの標的取得および保持
4.3.1.3. Equipment interference 4.3.1.3. 機器の干渉
4.3.1.4. Bulk interception of data from bearers 4.3.1.4. ベアラからのデータの一括傍受
4.3.1.5. Protection and safeguards for secondary data 4.3.1.5. 二次データの保護およびセーフガード
4.3.1.6. Automated processing of communications data 4.3.1.6. 通信データの自動処理
4.3.1.7. Compliance risks and incompliant practices of competent Intelligence Community authorities 4.3.1.7. 情報機関の管轄当局のコンプライアンスリスクとコンプライアンス違反の慣行
4.3.2. Further use of the information collected for national security purposes and overseas disclosure 4.3.2. 国家安全保障上の目的で収集した情報のさらなる利用と海外への開示
4.3.2.1. Further use, overseas disclosure and the applicable legal framework in the UK 4.3.2.1. さらなる使用、海外への開示、および英国で適用される法的枠組み
4.3.2.2. Overseas disclosure and intelligence sharing in the context of international cooperation 4.3.2.2. 海外への開示と国際協力における情報共有
4.3.3. Oversight 4.3.3. 監視
4.3.4. Redress 4.3.4. 補償

 

1. EXECUTIVE SUMMARY 1. エグゼクティブ・サマリー
1. The European Commission endorsed its draft implementing decision (hereinafter “draft decision”) on the adequate protection of personal data by the United Kingdom (hereinafter “UK”) pursuant to the GDPR on 19 February 20212. Following this, the European Commission initiated the procedure for its formal adoption. 1. 欧州委員会は、2021年2月19日2、GDPRに基づく英国(以下、「英国」)による個人データの適切な保護に関する実施決定案(以下、「決定案」)を承認した。その後、欧州委員会はその正式な採択に向けた手続きを開始しました。
2. On the same date, the European Commission asked for the opinion of the European Data Protection Board (hereinafter “EDPB”)3 . The EDPB’s assessment of the adequacy of the level of protection afforded in the UK has been made on the basis of the examination of the draft decision itself, as well as on the basis of an analysis of the documentation made available by the European Commission. 2. 同日、欧州委員会は欧州データ保護委員会(以下「EDPB」)3の意見を求めました。英国の保護レベルの妥当性に関するEDPBの評価は、決定案自体の検討と、欧州委員会が提供した文書の分析に基づいて行われました。
3. The EDPB focused on the assessment of both the general GDPR aspects of the draft decision and on the access by public authorities to personal data transferred from the EEA for the purposes of law enforcement and national security, including the legal remedies available to individuals in the EEA. The EDPB also assessed whether the safeguards provided under the UK legal framework are in place and effective. 3. EDPBは、決定案の一般的なGDPRの側面と、法執行や国家安全保障の目的でEEAから転送された個人データへの公的機関によるアクセスについて、EEA内の個人が利用できる法的救済措置を含めて評価することに重点を置きました。また、EDPBは、英国の法的枠組みの下で提供されるセーフガードが整備されており、効果的であるかどうかも評価しました。
4. The EDPB has used as main reference for this work its GDPR Adequacy Referential4 adopted in February 2018 and the EPDB Recommendations 02/2020 on the European Essential Guarantees for surveillance measures5 4. EDPBは、本作業の主な参考資料として、2018年2月に採択されたGDPR Adequacy Referential4と、監視措置の欧州必須保証に関するEPDB勧告02/2020を使用しました5
   
2 See European Commission’s press release, Data protection: European Commission launches process on personal data flows to UK, 19 February 2021, 2 欧州委員会のプレスリリース「データ保護」を参照。欧州委員会は英国への個人データフローに関するプロセスを開始した(2021年2月19日)。
https://ec.europa.eu/commission/presscorner/detail/en/ip_21_661. https://ec.europa.eu/commission/presscorner/detail/en/ip_21_661
3 Idem. 3 同上。
4 See Article 29 Working Party, Adequacy Referential, adopted on 28 November 2017, as last revised and adopted on 6 February 2018, WP254 rev.01 (endorsed by the EDPB, see https://edpb.europa.eu/our-worktools/general-guidance/endorsed-wp29-guidelines); (hereinafter “GDPR Adequacy Referential”). 4 2017年11月28日に採択されたArticle 29 Working Party, Adequacy Referential, as last revised and adopted on 6 February 2018, WP254 rev.01 (Endorsed by EDPB, see https://edpb.europa.eu/our-worktools/general-guidance/endorsed-wp29-guidelines); (以下、「GDPR Adequacy Referential」)を参照。

5 See EDPB Recommendations 02/2020 on the European Essential Guarantees for surveillance measures, adopted on 10 November 2020, https://edpb.europa.eu/our-work-tools/ourdocuments/preporki/recommendations-022020-european-essential-guarantees_en. 5 2020年11月10日に採択された監視措置の欧州必須保証に関するEDPB勧告02/2020、https://edpb.europa.eu/our-work-tools/ourdocuments/preporki/recommendations-022020-european-essential-guarantees_en を参照。

 


[PDF] Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom

 

1 EXECUTIVE SUMMARY 1 エグゼクティブ・サマリー
2 INTRODUCTION 2 序論
2.1 UK data protection framework 2.1 英国のデータ保護の枠組み
2.2 Scope of the EDPB’s assessment 2.2 EDPBの評価の範囲
2.3 General comments and concerns 2.3 一般的なコメントと懸念事項
2.3.1 International commitments entered into by the UK 2.3.1 英国が締結した国際公約
2.3.2 Possible future divergence of UK Data Protection Framework 2.3.2 英国のデータ保護フレームワークが将来的に乖離する可能性
3 RULES APPLYING TO THE PROCESSING OF PERSONAL DATA BY COMPETENT AUTHORITIES FOR THE CRIMINAL LAW ENFORCEMENT PURPOSES 3 管轄官庁による刑事法執行目的の個人データ処理に適用される規則
3.1 Material scope 3.1 重要な範囲
3.2 Safeguards, rights and obligations 3.2 セーフガード、権利および義務
3.2.1 Processing on the basis of “consent” of the data subject 3.2.1 データ対象者の「同意」に基づく処理
3.2.2 Individual rights 3.2.2 個人の権利
3.2.2.1 National security certificates 3.2.2.1 国家安全保障証明書
3.2.2.2 LED Automated decision-making 3.2.2.2 LEDによる自動意思決定
3.2.3 Onward transfers 3.2.3 二次移転
3.2.4 Further processing, including onward sharing for national security purposes 3.2.4 国家安全保障を目的とした転送共有を含む、さらなる処理
3.3 Oversight and enforcement 3.3 監視および施行

 

1 EXECUTIVE SUMMARY  1.エグゼクティブ・サマリー 
1. The European Commission endorsed its draft implementing decision (hereinafter “draft decision”) on the adequate protection of personal data by the United Kingdom (hereinafter “UK”) pursuant to the LED on 19 February 20212 . Following this, the European Commission initiated the procedure for its formal adoption. 1. 欧州委員会は2021年2月19日、LEDに基づく英国(以下、「英国」)の個人データの適切な保護に関する実施決定案(以下、「決定案」)を承認しました2
2. On the same date, the European Commission asked for the opinion of the European Data Protection Board (hereinafter ʺEDPBʺ) 3. The EDPB’s assessment of the adequacy of the level of protection afforded in the UK has been made on the basis of the examination of the draft decision itself, as well as on the basis of an analysis of the documentation made available by the European Commission. 2. 欧州委員会は同日,欧州データ保護委員会(以下,EDPBʺ)に意見を求めました3. EDPBによる英国の保護水準の妥当性に関する評価は、決定案自体の検討と、欧州委員会から提供された文書の分析に基づいて行われました。
3. The EDPB has used as main reference for this work its LED Adequacy Referential4 adopted on 2 February 2021, as well as the relevant case-law reflected in the EPDB Recommendations 02/2020 on the European Essential Guarantees for surveillance measures5. 3. EDPBは、この作業の主な参考資料として、2021年2月2日に採択されたLED Adequacy Referential4と、監視措置の欧州必須保証に関するEPDB勧告02/2020に反映された関連判例法5を使用しました。
4. The EDPB’s key objective is to give an opinion to the European Commission on the adequacy of the level of protection afforded to individuals in the UK. It is important to recognise that the EDPB does not expect the UK legal framework to replicate European data protection law. 4. EDPBの主な目的は、英国で個人に与えられている保護レベルの妥当性について、欧州委員会に意見を述べることです。EDPBは、英国の法的枠組みが欧州のデータ保護法をコピーすることを期待していないことを認識することが重要です。
5. However, the EDPB recalls that, to be considered as providing an adequate level of protection, Article 36 LED and the case-law of the Court of Justice of the European Union (hereinafter “CJEU”) require the third country’s legislation to be aligned with the essence of the fundamental principles enshrined in the LED. In the area of data protection, the EDPB notes that there is a strong alignment between the LED framework and the UK legal framework on certain core provisions such as, for example concepts (e.g., “personal data”; “processing of personal data”; “data controller”); grounds for lawful and fair processing for legitimate purposes; purpose limitation; data quality and proportionality; data retention, security and confidentiality; transparency; special categories of data; automated decision making and profiling. 5. しかし、EDPBは、適切な保護レベルを提供しているとみなされるためには、LED第36条および欧州連合司法裁判所(以下「CJEU」)の判例法は、第三国の法律がLEDで謳われている基本原則の本質と一致していることを要求していることを想起します。データ保護の分野では、LEDのフレームワークと英国の法的フレームワークの間には、例えば概念(「個人データ」、「個人データの処理」、「データ管理者」など)、正当な目的のための合法的かつ公正な処理の根拠、目的の制限、データの質と比例、データの保持、安全性と機密性、透明性、データの特別なカテゴリー、自動化された意思決定、プロファイリングなど、特定の中核的な条項について強い整合性があることをEDPBは指摘しています。
6. The EDPB recommends that the European Commission complement its analysis with information about the existence of a mechanism to inform the relevant Member States’ competent authorities of further processing or disclosure by the UK authorities to which they transferred the personal data and identify its effectiveness under the UK legal order. 6. EDPBは、欧州委員会が、個人データの転送先である英国当局による更なる処理や開示を関連する加盟国の管轄当局に通知するメカニズムの存在に関する情報で分析を補完し、英国の法秩序の下でその有効性を確認することを推奨します。
7. The EDPB considers that the provisions under Chapter 5 of Part 3 Data Protection Act 2018 (hereinafter “DPA 2018”), do, in principle, provide for a level of protection that is essentially equivalent to the one guaranteed under EU law, when it comes to transfer of personal data from a UK law enforcement authority to a third country. 7. EDPBは、2018年データ保護法(以下「DPA2018」)第3部第5章に基づく規定は、原則として、英国の法執行機関から第三国への個人データの移転に関しては、EU法で保証されているものと本質的に同等の保護レベルを提供していると考えます。
8. Although the EDPB notes the capacity of the UK, under its legal framework, to recognise territories as providing an adequate level of data protection in light of the UK data protection framework, the EDPB wishes to highlight that this might lead to possible risks in the protection provided to personal data transferred from the EU especially if, in the future, the UK data protection framework deviates from the EU acquis. For the above situations, the European Commission should therefore fulfil its monitoring role, and in case the essentially equivalent level of protection of personal data transferred from the EU is not maintained, the European Commission should consider amending the adequacy decision to introduce specific safeguards for data transferred from the EU, and/or to suspend the adequacy decision. 8. EDPBは、英国がその法的枠組みの下で、英国のデータ保護の枠組みに照らして適切なレベルのデータ保護を提供している地域を認定する能力があることに留意するが、このことは、特に将来、英国のデータ保護の枠組みがEUの法体系から逸脱した場合には、EUから移転された個人データに提供される保護にリスクが生じる可能性があることを強調しておきます。したがって、欧州委員会は監視の役割を果たすべきであり、EUから移転された個人データの本質的に同等の保護レベルが維持されていない場合、欧州委員会は、EUから移転されたデータに対する特定の保護措置を導入するために適切性の決定を修正すること、適切性の決定を一時停止することを検討すべきである」と述べています。
9. Finally, regarding international agreements concluded between the UK and third countries, the European Commission is invited to examine the interplay between the UK data protection framework and its international commitments, in particular to ensure the continuity of the level of protection where personal data are transferred from the EU to the UK on the basis of the UK adequacy decision, and then onward transferred to other third countries; and to continuously monitor and take action, where necessary, in the event that the conclusion of international agreements between the UK and third countries risks to undermine the level of protection of personal data provided for in the EU. 9. 最後に、英国と第三国との間で締結された国際協定について、欧州委員会は、英国のデータ保護の枠組みとその国際的な公約との相互関係を検討し、特に、英国の妥当性決定に基づいて個人データがEUから英国に移転され、その後、他の第三国に移転される場合の保護レベルの継続性を確保し、英国と第三国との間で締結された国際協定がEUで規定されている個人データの保護レベルを損なう危険性がある場合には、継続的に監視し、必要に応じて措置を講じることを要請します。
10. In this regard, the EDPB highlights that the entry into force of the Agreement between the UK and the US on Access to Electronic Data for the Purpose of Countering Serious Crime (hereinafter "UK-US CLOUD Act Agreement") 6 may affect onward transfers from law enforcement authorities in the UK, in particular in relation to the issuance and transmission of orders as per Article 5 of the UK-US CLOUD Act Agreement. 10. この点、EDPBは、重大犯罪対策のための電子データへのアクセスに関する英国と米国との間の協定(以下「英米CLOUD法協定」)6の発効が、特に英米CLOUD法協定の第5条に基づく命令の発行・送信に関連して、英国の法執行機関からの転送に影響を与える可能性があることを強調しています。
11. The EDPB also recommends that the European Commission continuously monitors whether the conclusion of future agreements with third countries for the purpose of law enforcement cooperation, providing a legal basis for the transfer of personal data to these countries, could affect the conditions for onward sharing of the information collected, in particular whether the provisions of these international agreements may affect the application of UK data protection law and provide for further limitation or exemption in relation to the further use and disclosure overseas of information collected for law enforcement purposes. The EDPB considers that such information and assessment are essential in order to allow a comprehensive review of the level of protection afforded by the UK legislative framework and practices in relation to overseas disclosure. 11. またEDPBは、法執行協力を目的とした第三国との将来的な協定の締結により、これらの国への個人データの移転の法的根拠が、収集された情報の転送共有の条件に影響を与える可能性があるかどうか、特にこれらの国際協定の規定が英国のデータ保護法の適用に影響を与え、法執行目的で収集された情報の海外でのさらなる使用および開示に関連してさらなる制限または免除を提供する可能性があるかどうかを、欧州委員会が継続的に監視することを推奨します。EDPBは、このような情報や評価は、海外への情報開示に関連して英国の法律上の枠組みや慣行によって与えられた保護レベルを包括的に検討するために不可欠であると考えています。
   
2 See European Commission’s press Release, press release, Data protection: European Commission launches process on personal data flows to UK, 19 February 2021, https://ec.europa.eu/commission/presscorner/detail/en/ip_21_661. 2 欧州委員会のプレスリリース、プレスリリース、データ保護を参照。欧州委員会は、英国への個人データフローに関するプロセスを開始した(2021年2月19日)、https://ec.europa.eu/commission/presscorner/detail/en/ip_21_661。
3 Idem. 3 同上。
4 See EDPB Recommendations 01/2021 on the adequacy referential under the Law Enforcement Directive, adopted on 2 February 2021, https://edpb.europa.eu/sites/edpb/files/files/file1/recommendations012021onart.36led.pdf_en.pdf. 4 2021年2月2日に採択された法執行指令の下での妥当性参照に関するEDPB勧告01/2021、https://edpb.europa.eu/sites/edpb/files/files/file1/recommendations012021onart.36led.pdf_en.pdf を参照。
5 See EDPB Recommendations 02/2020 on the European Essential Guarantees for surveillance measures, adopted on 10 November 2020, https://edpb.europa.eu/our-work-tools/ourdocuments/preporki/recommendations-022020-european-essential-guarantees_en. 5 2020年11月10日に採択された監視措置の欧州必須保証に関するEDPB勧告02/2020を参照のこと、https://edpb.europa.eu/our-work-tools/ourdocuments/preporki/recommendations-022020-european-essential-guarantees_en。
6 See Agreement between the Government of the United Kingdom of Great Britain and Northern Ireland and the Government of the United States of America on Access to Electronic Data for the Purpose of Countering Serious Crime, Washington DC, USA, 3 October 2019. 6 深刻な犯罪に対抗する目的での電子データへのアクセスに関するグレートブリテン及び北アイルランド連合王国政府とアメリカ合衆国政府との間の協定(2019年10月3日、米国ワシントンDC)を参照。

 

 

|

« 複式簿記・会計システムとゼロトラスト・アーキテクチャ、そして収斂進化 | Main | 気になった記事2つ(大変革期に突入した自動車産業とサイバーセキュリティ、クラウドネイティブセキュリティ101) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 複式簿記・会計システムとゼロトラスト・アーキテクチャ、そして収斂進化 | Main | 気になった記事2つ(大変革期に突入した自動車産業とサイバーセキュリティ、クラウドネイティブセキュリティ101) »