◇SH1308◇オランダ子会社の内部通報制度が満たすべき要件について（3）　岡野・ハイマンス　謙次（2017/07/26）

オランダ子会社の内部通報制度が満たすべき要件について　

－オランダ公益通報者保護法、EU一般個人データ保護規則及びオランダ労働法を中心に－

Buren法律事務所

オランダ王国弁護士　岡野・ハイマンス　謙次

 

第三回「EU一般データ保護規則上の要件について①」

　前回はオランダ子会社の内部通報制度が満たすべきオランダ公益通報者制度の要件を説明した。今回はEU一般データ保護規則上の要件について説明する。

 

1.　個人データの保護に関して適用される法令について（法的枠組み）　

　オランダの個人データ保護法（de Wet bescherming persoonsgegevens、以下「オランダ個人データ保護法」または「Wbp」）は、EU指令（Directive 95/46/EC）を国内法に転換したものである。同法は、2018年5月25日からEU一般データ保護規則（以下「GDPR」）が適用されることを見越して、近年改正されている。　　

　オランダ個人データ保護法と同様、GDPRにおいても、個人データとは、ある特定の又は特定可能な自然人（以下「データ主体」）に関するあらゆる情報を意味する（以下「個人データ」）[1]。また、個人データの処理とは、概括的に言うと、個人データに対して行われるあらゆる作業を意味する[2]。この点、オランダ公益通報者保護法上の要件を満たすように内部通報制度を構築するならば、原則として通報者はその氏名を明かした上で通報を行うことになる。また、通報内容には不正行為の疑いに関与した第三者に関するデータが含まれていることもありうる。こうした情報はGDPRにいう個人データに該当する可能性がある。さらに、内部通報制度に従って不正行為の疑いを調査する場合には、担当者間で個人データを送信したり、保管したりすることが予想される。そのような作業は同法にいう個人データの処理に該当し、結果として当該処理にはGDPRが適用される可能性がある。また、同法に違反した場合には、多額の制裁金が課され得る[3]。従って、GDPRの要件も満たすようにオランダ子会社の内部通報制度を構築することが勧められる。なお、オランダ個人データ保護法の要件とGDPRの要件は必ずしも完全に一致しているわけではないが、本稿では日系企業の関心の高いGDPRの要件を中心に説明する。

　

2.　GDPR上の要件について

(1) そもそも個人データが含まれないようにすること　

　GDPRは、個人データの処理に適用される[4]。上述のように、ここにいう個人データとは、特定されたか、または特定されうる自然人に関係する情報を意味する[5]。従って、極力個人データを含まない形で不正行為の疑いに関する調査が行われるうように制度設計をするならば、GDPRが適用される可能性も低くなる。その結果、同法に起因する法的リスクの軽減につながると思われる。　

(2) 個人データ処理の適法性の根拠を特定すること　

　個人データは「適法」に処理されることが求められる[6]。概括的に言うと、①データ主体が個人データの処理に同意を与えた場合、②データ主体が当事者となっている契約の履行のために処理が必要な場合、③管理者（個人データの処理の目的及び方法を単独又は他者と共同で決定する者）が従うべき法的義務を遵守するために処理が必要な場合、④公共の利益又は管理者に付与された公的権限の行使のために行われる業務の遂行のために処理が必要な場合、又は⑤管理者又は第三者が追及する正当な利益の目的のために処理が必要な場合には、個人データは「適法」に処理されたということができる。この点、内部通報制度を運営する上では、通報者からその個人データの処理に同意を得ることは不可能ではないだろう。また、この場合の個人データの処理はオランダ法上の法的義務を遵守するために必要と主張することも可能であるように思われる。さらに、社会的不正行為の発見及び対処は管理者たるオランダ企業が追及する正当な利益と言えるとも思われる。いずれにせよ、実際に通報を受理した後、個人データの処理が伴うならば、上述の根拠のうち、いずれか一つが該当するかを確認しなくてはならない。

(3) 通報者たるデータ主体に情報提供を行うこと

　管理者は、原則として、あるデータ主体から直接個人データを入手した時点で、概括的に言うと、次の情報をデータ主体に提供する義務を負う[7]：　

1. (ａ) 管理者の身元及び連絡先；
2. (ｂ) データ保護オフィサーが任命されている場合にはその連絡先；
3. (ｃ) 意図される個人データ処理の目的及び法的根拠；
4. (ｄ) 個人データ処理の目的が管理者又は第三者の正当な利益に基づくならば、その正当な利益の詳細；
5. (ｅ) 個人データの開示先となる受領者がいるならば、その者に関する情報；
6. (ｆ) 管理者においてEU域外の国又は国際機関への個人データの移転を意図するならば、その事実等。

　また、管理者は、公平かつ透明性のある個人データ処理を確実なものとするため、上記情報に加えて、およそ次の情報も提供しなくてはならない[8]：　

1. (ａ) 個人データが保持される期間（もしそのような期間を予め定めておくことが難しいならば、その決定に用いられる要件）；　
2. (ｂ) データ主体には、管理者に対して、個人データへのアクセス、修正等を求める権利があること；　
3. (ｃ) データ主体が個人データの処理について明確な同意を与えている場合には、それを撤回する権利があること；　　
4. (ｄ) 加盟国の担当当局に対して苦情を申し立てる権利があること；　　　
5. (ｅ) データ主体による個人データの提供が法的又は契約上必要なものであるか否か；及び
6. (ｆ) 自動化された意思決定の存在の有無（プロファイリングも含む）。　

　なお、データ主体においてこれらの情報を既に知っているならば、管理者において上記情報を提供する義務はない[9]。この点、内部通報者制度において、通報者が不正行為の疑いの通報を行う場合、管理者たる使用者の身元や、個人データ処理の目的を既に知っている可能性は高い。しかし、上記の情報全てを知っているとは限らない。従って、原則に従って、通報者に対して上記の情報が提供されるよう、内部通報制度を構築することが勧められる。

（第四回に続く）