◇SH1311◇オランダ子会社の内部通報制度が満たすべき要件について（4）　岡野・ハイマンス　謙次（2017/07/27）

オランダ子会社の内部通報制度が満たすべき要件について　

－オランダ公益通報者保護法、EU一般個人データ保護規則及びオランダ労働法を中心に－

Buren法律事務所

オランダ王国弁護士　岡野・ハイマンス　謙次

 

第四回「EU一般データ保護規則上の要件について②」　

　前回に続き、オランダ子会社の内部通報制度が満たすべきEU一般データ保護規則上の要件を説明する。　

 

(1) 第三者たるデータ主体にも情報提供を行うようにすること　

　不正行為の疑いに関与した第三者は、内部通報がなされた時点でその事実を把握していないことが予想される。従って、この第三者に対する必要な情報の提供をどうするのかが問題となる。GDPRによると、もし管理者において、あるデータ主体の個人データを間接的に入手したならば、原則として、概括的に言うと、次の情報をデータ主体に提供しなくてはならない[1]：

1. (ａ) 管理者の身元及び連絡先；
2. (ｂ) データ保護オフィサーが任命されている場合にはその連絡先；
3. (ｃ) 意図される個人データ処理の目的及び法的根拠；
4. (ｄ) 個人データの種類；
5. (ｅ) 個人データの開示先となる受領者がいるのであれば、その者に関する情報；及び
6. (ｆ) 管理者においてEU域外の国又は国際機関への個人データの移転を意図するならば、その事実。

　また、公平かつ透明性のある個人データ処理を確実なものとするため、管理人は、上記情報に加えて、およそ次の情報も提供しなくてはならない[2]：　

1. (ａ) 個人データが保持される期間（もしそのような期間を予め定めておくことが難しいならば、その決定に用いられる要件）；
2. (ｂ) もし個人データ処理の目的が管理者又は第三者の正当な利益に基づくならば、正当な利益の詳細；
3. (ｃ) データ主体には、管理者に対して、個人データへのアクセス、修正等を求める等の権利があること；
4. (ｄ) データ主体が個人データの処理について明確な同意を与えている場合には、それを撤回する権利があること；
5. (ｅ) 加盟国の担当当局に対して苦情を申し立てる権利があること；
6. (ｆ) 個人データの取得源；及び
7. (ｇ) 自動化された意思決定の存在の有無(プロファイリングも含む)。

　上述の情報は、原則として、個人データを入手後、遅くとも1ヶ月以内にデータ主体たる第三者に提供しなくてはならない[3]。また、もし管理者において他者に個人データに開示する意図があるならば、そのような開示が行われるまでに上記の情報をデータ主体に提供しなくてはならない[4]。　

　しかしながら、上述の第三者への情報提供義務の原則に対して例外がある。すなわち、①データ主体において既にこれらの情報を知っているか、又は②上述の情報の提供が不可能であるか、若しくは不釣合いな努力を伴う場合には、上記義務は適用されない[5]。この点に関して特に大切と思われるのが、個人データの取得源に関する情報である（上記（ｆ））。個人データの情報源には、通報者の身元の特定につながる情報が含まれている可能性がある。そのような情報まで第三者に提供しなくてはならいとすると、通報者の権利及び自由を脅かし、ひいては内部通報制度が機能不全に陥る恐れがある。従って、そのような情報の提供は不可能であると主張することができるように思われる。以上により、通報者の身元の特定につながる恐れのある情報は、データ主体たる第三者に提供しないように内部通報制度を構築してよいと考える。また、例え第三者からアクセス権の行使として通報者の身元に関する情報を求められても[6]、通報者の権利及び自由に影響を及ぼすとして[7]、これを拒否するようにすべきである。

(2) GDPRが適用開始されるまでは加盟国担当当局への通知が行われるようにすること　

　オランダ個人データ保護法によると、管理者において個人データを処理する場合、これをオランダ担当当局に通知する義務がある[8]。但し、通報者自身の個人データの処理はこの限りでない[9]。前述の義務は、GDPRの適用後は廃止される。

(3) 個人データの保持期間を管理・徹底すること　

　原則として、個人データが処理される目的のため必要な期間を超えて、データ主体を特定することができる形で個人データを保持してはならない[10]。従って、内部通報を調査する目的で個人データが処理されるのであれば、当該調査の目的のため必要な期間を超えて個人個人データを保持してはならず、必要がなくなった時点で速やかに個人データが消去されるよう、内部通報制度に明記しておくことが勧められる。　

(4) 原則として実名での通報とすること　

　匿名通報は「個人情報は公平に取得されるべき」との個人データ保護法の理念に反すること、調査の妨げとなること、不要な内部通報を増加させる恐れがあること等から、原則として通報者は氏名を明かした上で通報するよう制度設計することが勧められる[11]。

(5) EU域外へのデータ移転のための保護措置を取ること　　

　オランダ子会社の不正行為の疑いが、オランダ子会社内だけでなく、日本本社にも通報され、且つ調査されるよう内部通報制度を構築する方法もある。その場合、個人データがEU域外にある日本国に移転される可能性がある。EU加盟国以外の国への個人データの移送は、原則として、欧州委員会（European commission）において、当該国において個人データの保護水準が十分であると決定（いわゆる十分性の決定）している場合のみ許される[12]。本稿の執筆の時点では、日本国に関してそのような決定はなされてない。十分性の決定がなされていない場合には、管理者又は処理者（processor）において個人データの適切な保護を提供している場合のみ、これを移転してよいとされる。前述の適切な保護は、拘束的企業準則(BCRs)[13]又はEU 標準契約条項(SCC)[14]に基づくデータ移転契約等を用いることにより提供されることになる。一般にEU標準契約条項を作成する方が簡易且つ安価であるため、多くの企業ではこれを採用している。従って、内部通報制度の運用上、EU域外に個人データを移転する場合には、必ずEU標準契約条項をオランダ子会社と送付先との間で締結しておくことが勧められる。