第2章 フランス
1 青少年のインターネット利用環境に関する実態
(7)青少年の個人情報保護
EUにおける個人情報保護は、以下のような条約及び指令にもとづいて行われている。それぞれの主な内容については、表26にまとめた。
- 1980年に欧州評議会の閣僚委員会によって採択された「個人データ自動処理に係る個人の保護に関する条約第108号(欧州評議会条約第108号)」
- 1995年の「個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する1995年10月24日欧州議会及び理事会95/46/EC指令 308」(以下、「1995年データ保護指令」という。)なお、当該指令を遵守するために必要な国内法の整備を加盟国に対して義務付けている。
- 2002年に採択され、2009年に改正された「電子通信部門における個人データ処理とプライバシーの保護に関する2002年7月12日欧州議会及び理事会2002/58/EC指令 309」(以下、「2002年電子通信プライバシー指令」という。)
なお、フランスでは、以下に詳述する「個人情報保護法」を2004年に改正し、EU指令の国内法化を図った。
フランスにおける個人情報保護に関する基本法は、「情報処理、情報ファイル及び自由に関する1978年1月6日法律第78-17号(Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)」(以下、「個人情報保護法」という。)である。
同法は、「個人情報のデータ処理に関する個人保護について1978年法を改正する2004年8月6日法律第2004-801号(Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux liberté)」によって大きく改正された(現行法は、2013年10月改正版である)。
1978年の「個人情報保護法」第1条において、「情報処理は、市民のそれぞれに奉仕するものでなければならない。その促進は国際協力の枠内で行わなければならない。情報処理が人間のアイデンティティや人権、私生活、さらには個人的又は公的な自由を侵害するものであってはならない」という基本原則が定められている。
「個人情報(donnée à caractère personnel)」とは、同法第2条により「一般人に関するあらゆる情報の中で、識別番号又は個人固有の一つ又は複数の要素を参照することによって、直接又は間接に個人を識別する、又は、識別可能なもの」と定義されている。
また、同法第5条に規定される、フランス領内に存在する個人情報処理責任者 310又は フランス領内に設置された処理手段によって、<1>個人情報の自動処理、<2>情報ファイルに記載されている又は記載を予定されている個人情報の非自動処理のいずれかの方法で、専ら個人的な行為を目的とする処理を除いたものを個人情報保護の適用範囲と規定している 311。
同法第4条は、ISPがプロキシサーバにアクセスした際に生じる一時的な情報の複写等は本法の適用除外と規定する。
| 条約・指令 | 主な内容 |
|---|---|
| 「個人データ自動処理に係る個人の保護に関する条約第108号」 |
|
| 「1995年データ保護指令」 |
|
| 「2002年電子通信プライバシー指令」 |
|
個人情報処理にあたっては、同法第7条の規定に従い、関係人の同意を得ることが原則とされるが、以下の適法要件の一つを満たすことによって同意を得ずに処理することが許される。
【個人情報処理の適法要件】(個人情報保護法第7条)
- 処理責任者に課せられる法的義務の遵守。
- 関係人の生命の保護。
- 処理責任者又は名宛人の担当する公的役務上の任務遂行。
- 関係人が当事者となる契約又は関係人の要請にもとづく契約前の措置の遂行。
- 関係人の基本的利益、権利及び自由を尊重するという留保の下での、処理責任者又は名宛人の追求する正当な利益の実現。
ただし、特定の情報(センシティブ情報)については、その重要性から別に規定が定められる(同法第8条及び次条により、「人種的又は民族的起源」「政治的、哲学的又は宗教的見解」「労働組合への所属」が直接的又は間接的に明らかになる個人情報、さらには「健康又は性生活」に関する個人情報については原則として収集・処理が禁じられる)。
個人情報処理責任者には、同法第32条及び次条の規定により、以下の法的義務が課せられる。
【情報提供者への告知義務】(個人情報保護法第32条)
- 処理責任者又は代理人による情報収集の対象者への告知義務:処理責任者又は代理人の身元、処理目的、回答が義務的又は任意的であるか、回答拒否の場合の影響、情報の名宛人又はその範疇、アクセス権などの権利、EU域外への情報の転送。
- 処理責任者又は代理人による電子通信サービスの利用者への明確かつ完全な告知義務:電子通信端末にストックされる情報に電子転送手段によってアクセスするあらゆる行為、又は端末に情報を記録するあらゆる行為の目的、利用者が拒否するために行うことができる手段について。
情報を収集しない場合でも、情報を記録又は第三者に伝達することが想定されている場合には、遅くとも最初の伝達の時に、上記の告知義務が課せられる。ただし、国家安全、国防、公安に関わる国家のための処理又は刑罰の執行又は保安処分の執行を目的とする処理においては、当該目的に必要な範囲で告知義務が免除される。
なお、犯罪の予防、捜査、立証又は起訴を目的とする処理に対しては、告知義務の諸規定は適用されない。
個人情報保護法第34条の規定により、個人情報処理責任者は個人情報の安全を確保するため、特に歪曲、破損又は無許可の第三者アクセスを排除するために、あらゆる有効な予防措置を講じることが義務付けられている。
個人情報に係る権利として、「拒否権」、「質問権」、「訂正、補完、更新、停止又は消去にかかる請求権」が認められている。
「個人情報保護法」第38条の規定により、正当な理由をもって、個人情報が処理の対象となること、また、市場調査、商業目的のために個人情報が利用されることを拒否することができる。
同法第39条において、本人であると証明された個人が個人情報の取扱いについて情報処理責任者に質問する権利及び複写を要求する権利、処理責任者の拒否権行使が規定される。また、同法第40条の規定により、本人であると証明された個人は、当該個人情報が不正確・不完全・不明瞭・過去のものである場合、若しくは、当該個人情報が収集・利用・伝達・保存されたくない場合に、個人情報処理責任者に対して、当該個人情報を訂正・補完・更新・停止・消去するように要請することができる。
2012年11月に権利擁護機関が発表した報告書『子供とディスプレイ:デジタル世界で育つこと』で指摘されているように、個人情報に係る権利は青少年に限定されたものではなく、広く一般を対象とし、また、個人情報保護法より未成年者は権利行使において無能力であることから、青少年は法定代理人を介さなければ上記権利を行使することはできない。そこで、個人情報保護における監督機関であるCNiL(情報処理及び自由に関する全国委員会)では、青少年が法定代理人を介して拒否権や情報消去権などを行使できるように、請求文書の定型をウェブサイトで紹介している 312。
フランスでは、個人情報保護違反に対して、「個人情報保護法」及び「刑法典」にもとづいて刑事制裁・罰則が規定される。特に、「国内安全の成果のための方針及び計画2011年3月14日法律第2011-267号(Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieur:LOPPSI)」第2条は、インターネットによる公衆向け通信ネットワークで第三者の個人情報を詐取する行為が処罰の対象(1年間の禁固刑又は1万5,000ユーロの罰金)として規定しており、同条文は「刑法典」第226-4-1条に組み込まれた。なお、以前は不正支払等の金銭被害が発生した場合のみに取締りを行っていたが、同法により金銭被害が発生しない場合でも処罰の対象となった。
情報処理及び自由に関する全国委員会(Commission nationale de l'informatique et des libertes:CNiL)
「個人情報保護法」第11条の規定により、フランスにおける個人情報保護における監督機関・独立行政機関として設置された。同法第13条の規定により、国民議会議員2名、元老院議員2名、経済社会環境評議会(Conseil économique, social et environnemental)委員2名、国務院(Conseil d'État)裁判官2名(現職又は退職者)、破棄院(Cour de cassation)裁判官2名(現職又は退職者)、会計院(Cour des comptes)顧問2名(現職又は退職者)、IT専門家5名の計17名の委員で構成され、任期は5年で1回に限り再任が可能である。
また、インターネットにおける青少年の個人情報保護を目的とした専用ウェブサイトを開設し、青少年、保護者及び教育者に対して個人情報保護に係る情報提供を行っている
CNiLの任務は個人情報保護法第11条に規定され、以下のとおりである。
- 関係者及び情報処理責任者に義務及び権利を知らせる。
- 個人情報処理において法規定を遵守しているか監視する。
- a.情報処理の許可、情報処理に関する意見、情報処理の届出受理。
- b.安全システムの標準化に係る規則の制定。
- c.個人情報処理に関する請求や苦情の処理。
- d.公権力や司法機関の諮問に対する回答、自動処理を実施する個人又は組織に対する助言。
- e.違法行為の通報。
- f.委員会の代理による情報処理の査察、文書及び媒体の複写。
- g.アクセス請求に対する回答。
- 情報処理責任者から構成される職業団体などからの請求に応じて、
- a.個人情報処理に対する個人保護又は情報の匿名化のための、職業規則案及び製造物並びに手続きが個人情報保護法の規定に準拠しているかの意見表明。
- b.職業規則の個人保護に対する評価。
- c.個人情報保護のための製造物及び手続に対するラベル交付。
- 情報技術の発展に伴う情報提供。
- a.自動情報処理に対する個人保護のための法案又はデクレ案に対する諮問。
- b.情報技術の発展に対応して自由を保障するための立法・行政措置の政府への提案。
- c.他の独立行政機関からの請求に応じての、個人情報保護に関する協力。
- d.首相の要請にもとづく、個人情報保護に関する外交交渉におけるフランスの立場表明の準備並びに決定への参加及びフランス代表として国際組織への参加。
- 任務遂行のための勧告、個別決定又は規則制定。
- 大統領、首相及び国会への年次報告書の提出。
個人情報保護に関するCNiLの主な啓発活動については、以下のとおりである 313。
- 2012年3月に、13~18歳を対象に、SNS上に情報を投稿することによる影響及びインターネット利用に際したプライバシーの保護について理解を深めることを目的にインタラクティブビデオ"Share The Party"の配信を開始した 314。
- 2011年1月に、6~14歳を対象とするiPhoneアプリケーションをリリースし、「クイズ」「アドバイス」「ネット用語集」の3つのテーマを通じて、インターネットにおける個人情報保護のためのルールを説明している 315。
- 小学生及び中学生を対象とした日刊紙に「インターネットでプライバシー保護(Protège ta vie privée sur Internet)」と題するCNiL特別号を発行し、インターネット上に情報を配信する際の注意を喚起した 316。
- 国民教育省と提携を図り、市民教育科目の学習内容に「プライバシー及び個人情報の保護」を組み込み、青少年のリテラシー向上を推進している 317。
インターネット上の個人情報に対するフランスの青少年の認識に関する統計を以下に紹介する。
2011年のTNS Sofres社の調査によると、8~17歳の92%が実際の個人情報を用いてプロフィールを作成していることが明らかとなった 318。また、情報配信を制限するプライバシー設定について、「プライバシー設定のことを知らない」が18%(13歳以下では33%)、「プライバシー設定の存在を知っているが設定の仕方がわからない」が11%(13歳以下では16%)であり、情報配信の保護が徹底されていないことがわかった 319。
図70 フランスの青少年がSNSのプロフィール開設時に提供した情報(2011年)
出典:TNS Sofres社の報告書 320をもとに作成。
図71 フランスの青少年のSNSのプライバシー設定に対する認識(2011年)
出典:TNS Sofres社の報告書 321をもとに作成。
図72 フランスの青少年がプライバシー設定を変更した経験(2011年)
出典:TNS Sofres社の報告書 322をもとに作成。
そのほか、インターネット上での個人情報の悪用被害に関する統計(11~16歳)及びスマートフォンから個人情報を送受信することに抵抗を感じる内容に関する統計(15~17歳)は、それぞれ図73・図74のとおりである。
図73 フランスの青少年が過去12か月間にインターネット上で個人情報を悪用された経験(2010年)
出典:EU Kids Onlineの報告書 323をもとに作成。
図74 フランスの青少年がスマートフォンから個人情報を送受信することに抵抗を感じる内容(2011年)
出典:CNiLのスライド 324をもとに作成。
309 "Directive 2002/58/CE du parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électronique."
310 同法第3条において、本処理に関する法令の規定が明示的に指定する場合を除き、処理の目的及び方法を決定する個人、行政当局、役務又は機関と定義される。
311 同法第2条において、個人情報処理とは、「手段のいかんを問わず、個人情報に対して行われるあらゆる操作又は操作の全体、特に収集・記録・編成・保存・適用・修正、又は抽出・閲覧・利用・転送及び配布、その他のあらゆる形態の伝達・結合・相互接続・アクセス停止・消去・破棄」と定義される。
312 CNiL, "Le droit d'opposition."
清田雄治「フランスにおける個人情報保護法制と第三者機関:CNILによる治安・警察ファイルに対する統制」(PDF形式:163KB)
313 Défenseur des droit, "Enfants et écrans: grandir dans le monde numérique," November, 2012, pp.103-104.:
314 CNiL, "Share The Party."
315 CNIL, "Appli iPhone."
316 Play Bac社が刊行する10~14歳を対象とした日刊紙"Mon Quotidien"と14~18歳を対象とした日刊紙"L'actu"。
317 「2011年3月22日法律第2011-302号(Loi n°2011-302 du 22 mars 2011 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière de santé, de travail et de communications électroniques)」により「教育法典(Code de l'éducation)」第L312-15条が改正され、道徳・市民教育(enseignement moral et civique)の一環で、公衆向けオンライン通信サービスの利用に際して、インタラクティブツール利用における責任ある行動を獲得し、公共のイメージを制御する方法、自己及び他者の露出の危険、「1978年個人情報保護法」が定める拒否権、削除権、アクセス権、訂正権について情報を得ることが規定された。
318 TNS Sofres, "L'usage des réseaux sociaux chez les 8-17 ans," June, 2011, p.19.(PDF形式:869KB)
319 同上、37頁。
320 同上、20頁。
321 同上、37頁。
322 同上、38頁。
323 Catherine Blaya et al. (EU Kids Online), "Risques et sécurité des enfants sur Internet : rapport pour la France - Résultats de l'enquête EU Kids Online menée auprès des 9-16 ans et de leurs parents en France," January, 2012, p.44.(PDF形式:1,080KB)
324 CNiL, "Smartphones et vie privée," 2011, p.29(PDF形式:3,190KB)