2017 年データ保護法 2017 年データ保護法 ( 本法 ) は 2019 年 9 月 30 日に施行されます 本法は データプライバシーに関して国際的に 受け入れられている原則に基づく法的要件を導入するものであり ケイマン諸島における全般的なデータプライバシーを 規制する主な法案となります 1 背景 1.1 プライバシーの権利は 1948 年世界人権宣言第 12 条 1950 年欧州人権条約第 8 条 ならびに 1966 年市 民的および政治的権利に関する国際規約第 17 条において 基本的人権として認められています 1.2 さらに プライバシーが基本的人権であるという国際的な認識は 多くの法域がプライバシーを憲法上の権利と して扱っており 個人情報の取り扱いを規制することによってプライバシーを保護するデータ保護法を制定したこ とにも反映されています 1.3 かかる法律の例としては EU 一般データ保護規則 ( GDPR ) カナダの個人情報保護および電子文書 法 香港の個人情報プライバシー条例 ( 条例 ) 2018 年データ保護 ( ジャージー ) 法 ならびにシンガポール の 2012 年個人データ保護法を含みます 1.4 ケイマン諸島では プライバシー権は 既にケイマン諸島の憲法において法制化されています 本法の導入の結 果 ケイマン諸島が ( 上記などの他の法域においても導入されている法律とおおむね似ている ) 個人のプライ バシーのための法的保護を提供する制度を有していることになります 2 概要 2.1 本法は 一定の技術的な定義および概念を用いています 重要なものは以下の要約の通りです : データ管理者 とは 単独でまたは他者と共同して 個人データを処理する( または処理が予定されている ) 目的 条件および方法を決定する者 と定義されます 実務では 本法の目的上 どのような個人データを取り扱うべきかを決定する者を意味し また 本法は どのような者がデータ管理者として認められるかを定めています
データ処理者 とは データ管理者を代理してデータを処理するあらゆる者であって かかるデータ管理者の従業員を含まない と定義されます 実務では 本法の目的上 他者を代理してその指示に従って個人データを取り扱う者であって かつ どのような個人データを取り扱うべきかを定めない者を意味し また 本法は どのような者がデータ管理者として認められるかおよびその理由を定めています (c) (d) 個人データ とは 特定できる生存する個人に関するデータであって 以下のようなデータを含みます : 生存する個人の位置情報 オンラインIDまたは生存する個人のアイデンティティ に固有の要素 生存する個人に関する意見の表明 または (c) 生存する個人に関する [ あらゆる者の ] 意図の表明 と定義されます 実務では 本法の目的上 生存する個人を特定するために何らかの形で ( 直接的または間接的に その情報自体またはその他の情報と併せて ) 使用できるあらゆる情報が個人データを構成することを意味します データ主体 とは 特定された生存する個人 または データ管理者もしくはその他の者が使用しうる方法により 直接的または間接的に特定可能な生存する個人 と定義されます すなわち データ主体とは 個人データと関連する生存する個人を指します 2.2 本法は データ管理者に直接適用されるものであり データ管理者は データ管理者が処理する ( またはデータ 管理者の代わりにデータ処理者が処理する ) 個人データが データ保護の原則 ( 以下に詳述 ) に従って処 理されることを確実にすることが義務付けられています 2.3 本法は データ処理者には直接適用されませんが データ処理者を任命することを検討するデータ管理者は データ処理者が処理する個人データに関して データ処理者が一定の契約上の保証をすることを確実にするこ とが義務付けられています 2.4 一般的には データ管理者が本法の対象となるのは データ管理者がケイマン諸島において設立されており ( 支店または代理店を含みます ) かかる設立に関連して個人データを処理している場合のみです 2.5 しかし ケイマン諸島に設立されていないデータ管理者も本法の対象となる場合があり それは データ管理者が ケイマン諸島を経由する目的以外の 目的で ケイマン諸島において個人データを処理した場合です ケイマン諸島オンブズマン ( 本オンブズマン )( 以下に詳述 ) は サービスおよび商品の海外プロバイダーがケイマン諸島の居住者を積極的に勧誘する場合もこのようなケースに該当すると考えています 2.6 そのような外国のデータ管理者は ケイマン諸島における代表者を任命する必要があります 2
2.7 本法は あるデータ管理者から別のデータ管理者へのデータ転送に関する疑義については明確には取り上げて はいません しかし 本オンブズマンは 他のデータ管理者と個人データを共有するデータ管理者が 受領側のデ ータ管理者によるデータ保護の原則の遵守を確実にするよう合理的な努力をすることを期待しています 3 データ保護の原則 3.1 データ管理者は データ管理者が処理し またはデータ管理者の代わりに処理される個人データに関して 以下 のデータ保護の原則を遵守しなければなりません : 第 1 原則 : 個人データは 公平に処理されなければならない また 個人データは 一定の条件を満たす場合にのみ処理が許される 例えば データ主体が処理に同意した場合 データ主体が当事者である契約の履行のために処理が必要な場合 または法律に基づき処理が義務付けられている場合 もしくはかかる個人の重大な利益を保護するために処理が必要な場合 (c) (d) (e) (f) (g) (h) 第 2 原則 : 個人データは 具体的 明確かつ合法的な1 以上の目的のみのために取得することが可能であり かかる目的に沿わない場合は いかなる方法によってもさらなる処理をしてはならない 第 3 原則 : ある目的のために収集または処理された個人データは かかる目的に関連して十分であり 関連性があり かつ必要量を超えないものでなければならない 第 4 原則 : 個人データは 正確であるものとし 必要な場合 最新の状態に保たなければならない 第 5 原則 : いかなる目的のために処理された個人データも かかる目的のために必要な期間を超えて保有してはならない 第 6 原則 : 個人データは データ保護法に基づくデータ主体の権利 ( 例えば 主体によるデータへのアクセス ) に従って処理されなければならない 第 7 原則 : 個人データの不正または違法な処理および個人データの偶発的な紛失または破壊もしくは破損に対して 適切な技術的および組織的な措置が取られなければならない 第 8 原則 : 個人データは 国家または地域が個人データの処理に関連して データ主体の権利および自由のための十分なレベルの保護を確保していない限り かかる国家または地域に転送されてはならない 第 8 原則は データ主体が転送に合意し または転送がデータ主体の利益となる契約の履行のために必要な場合には適用されない 3
3.2 データ管理者は データ管理者を代理して個人データの処理を引き受けるデータ処理者を使用する場合 かかる委任が 書面による契約によって証明されていることを確実にしなければならない また かかる書面による契約は データ処理者がデータ管理者の指示に基づいてのみ行為し また データ処理者が 第 7 原則によってデータ管理者に課される義務と同等の義務を遵守することを義務付けなければならない 4 その他の重要な規定 4.1 データ管理者によるデータ保護の原則の遵守を義務付けることに加えて 本法は : (c) (d) (e) (f) 公共部門および民間部門におけるあらゆる業界の双方に適用されます 個人データが第三者によってどのように使用および共有されるかについて制限を課しています 特定の権利を個人に付与しており これは かかる個人自身の情報にアクセスする権利 情報が正確であるかを確実にする権利 および情報の使用の停止を要求する権利を含みます 個人データの漏洩の際に取るべき行動および法律違反に対する罰則を定めています 特にセンシティブな個人データの保護に関する具体的な規定を含みます 本法に定めるデータ保護の原則に違反があった場合 影響を受けた個人に対する救済措置 ( 一定の場合においては補償を含みます ) を設けています (g) 情報コミッショナー の機能を設けています ( 事実上 本オンブズマンです ) (h) 本法に定めるデータ保護の原則に違反があった場合 影響を受けた個人に対する救済措置 ( 一定 の場合においては補償を含みます ) を設けています (i) 情報コミッショナー の機能を設けています ( 事実上 本オンブズマンです ) (j) 本法に定めるデータ保護の原則に違反があった場合 影響を受けた個人に対する救済措置 ( 一定 の場合においては補償を含みます ) を設けています (k) 情報コミッショナー の機能を設けています ( 事実上 本オンブズマンです ) 4
4.2 本オンブズマンは 以下の責任 / 権限を有します : 本制度の遵守を監督すること ( 本オンブズマンは 情報提出命令 を出し 捜査 検察当局に法 律違反を報告することができます ) データ保護に関する問題についての訴えおよび苦情を聴取する (c) 公教育および啓蒙活動を行う ( 模範となるプラクティスに関するガイダンスの普及を含む ) (d) データ保護に関する問題の国際的な窓口機関として行為する 4.3 本オンブズマンは 以下の責任 / 権限を有します : 本制度の遵守を監督すること ( 本オンブズマンは 情報提出命令 を出し 捜査 検察当局に法 律違反を報告することができます ) データ保護に関する問題についての訴えおよび苦情を聴取する (c) 公教育および啓蒙活動を行う ( 模範となるプラクティスに関するガイダンスの普及を含む ) (d) データ保護に関する問題の国際的な窓口機関として行為する 5 適用除外 5.1 本法は データ保護の原則および情報に関する個人の権利における制限について 一定の適用除外を定めています 関連する例としては 制定法 法律または裁判所の命令によって義務付けられる非開示条項 ( それにより金融情報の開示を認めるもので 例えばケイマン諸島の自動的情報交換 (AEOI) 制度に基づく開示 ) の適用除外を含みます 5.2 また 信託ストラクチャーおよび遺言に適用される 主体に関する情報の提供 からの具体的な適用除外が存在します これは データ主体にその個人データへのアクセス権を付与する義務が あらゆる信託または遺言に関するストラクチャーまたは取り決めに関連する情報については適用しないと定めています したがって 信託の受益者は たとえ自身の個人データへのアクセスの要求という形を取ったとしても 本法を使用して信託に関する情報にアクセスすることはできません 5
6 適用除外 6.1 本法は データ保護の原則および情報に関する個人の権利における制限について 一定の適用除外を定めています 関連する例としては 制定法 法律または裁判所の命令によって義務付けられる非開示条項 ( それにより金融情報の開示を認めるもので 例えばケイマン諸島の自動的情報交換 (AEOI) 制度に基づく開示 ) の適用除外を含みます 6.2 また 信託ストラクチャーおよび遺言に適用される 主体に関する情報の提供 からの具体的な適用除外が存在します これは データ主体にその個人データへのアクセス権を付与する義務が あらゆる信託または遺言に関するストラクチャーまたは取り決めに関連する情報については適用しないと定めています したがって 信託の受益者は たとえ自身の個人データへのアクセスの要求という形を取ったとしても 本法を使用して信託に関する情報にアクセスすることはできません 7 適用除外 7.1 本法は データ保護の原則および情報に関する個人の権利における制限について 一定の適用除外を定めています 関連する例としては 制定法 法律または裁判所の命令によって義務付けられる非開示条項 ( それにより金融情報の開示を認めるもので 例えばケイマン諸島の自動的情報交換 (AEOI) 制度に基づく開示 ) の適用除外を含みます 7.2 また 信託ストラクチャーおよび遺言に適用される 主体に関する情報の提供 からの具体的な適用除外が存在します これは データ主体にその個人データへのアクセス権を付与する義務が あらゆる信託または遺言に関するストラクチャーまたは取り決めに関連する情報については適用しないと定めています したがって 信託の受益者は たとえ自身の個人データへのアクセスの要求という形を取ったとしても 本法を使用して信託に関する情報にアクセスすることはできません 8 適用除外 8.1 本法は データ保護の原則および情報に関する個人の権利における制限について 一定の適用除外を定めています 関連する例としては 制定法 法律または裁判所の命令によって義務付けられる非開示条項 ( それにより金融情報の開示を認めるもので 例えばケイマン諸島の自動的情報交換 (AEOI) 制度に基づく開示 ) の適用除外を含みます 8.2 また 信託ストラクチャーおよび遺言に適用される 主体に関する情報の提供 からの具体的な適用除外が存 在します これは データ主体にその個人データへのアクセス権を付与する義務が あらゆる信託または遺言に 関するストラクチャーまたは取り決めに関連する情報については適用しないと定めています したがって 信託の 6
受益者は たとえ自身の個人データへのアクセスの要求という形を取ったとしても 本法を使用して信託に関す る情報にアクセスすることはできません 9 投資ファンドおよび類似ストラクチャーへの適用 9.1 典型的な投資ファンドストラクチャーの例においては ケイマン諸島ファンドがデータ管理者になります ファンドが関わるサービスプロバイダーは 独立してデータ管理者として行為する者 ( 例えば 銀行 外部カウンセル およびマネーロンダリング報告担当者 ) およびデータ処理者として行為する者 ( 例えば ファンド一般事務受託者 ならびに登録事務所およびコーポレート セクレタリアル サポートサービスの提供者 ) の双方を含みます 9.2 ファンドが データ処理者として行為するサービスプロバイダーを雇用する範囲において かかるファンドは かかるサービスプロバイダーがファンドの代わりに取り扱う個人データに関するデータ保護の原則を遵守するための適切なシステムおよびコントロールを有していることを確実にしなければなりません また ファンドは かかるサービスプロバイダーとの契約が個人データの処理に関する適切な条項を含んでいることを確実にしなければなりません 9.3 ファンド自身もまた データ保護の原則を遵守する必要があり その募集および引受関連書類をアップデートし データ保護の原則 1に基づくファンドの義務を果たすために適切な開示が行われていることを確実にしなければなりません かかる開示は 少なくとも ファンドの法人格およびファンドが個人データを処理する目的を含むものでなければなりません 9.4 本法は データ主体がデータ管理者に ( 書面で ) その他の事項 ( 管理者が保有する個人データの種類 個人データがどのように共有されているか そして個人データが海外に転送されているか否かなど ) に関する説明を求めることができると定めているため かかる追加事項は 開示においても記載される必要があります 適切な開示は あらゆる関連事項に関してなされる必要があり 該当する場合は ケイマン諸島外の一般事務受託者を任命した事実およびそれに関連する個人データの海外転送を含みます 10 是正措置 執行および罰則 10.1 本法の違反は ( 様々な ) 本オンブズマンによる是正措置 罰則の適用 および刑事制裁につながる可能性があります 本オンブズマンがデータ主体による苦情を受理し データ管理者の保有する個人データが不正確であると判断した場合 本オンブズマンは かかるデータ管理者に対し かかるデータの修正 ブロック 削除 破壊またはアップデートを行うよう命令する場合があります 10.2 本オンブズマンは あらゆる者に関する情報請求命令を出すことができ 個人データの処理または処理の中止 に関して執行命令を出すことができます かかる情報請求命令または執行命令の違反は犯罪であり 有罪判 決を受けた場合は最大 100,000 ケイマン諸島 ドルの罰金を負う可能性があります また 本オンブズマンは 7
裁判所への申請によって 立入検査 捜査令状を取得することができます 10.3 本オンブズマンは 蓋然性の均衡 (balance of probabilities) において以下が該当すると判断した場合 データ管理者に対し 最大 250,000 ケイマン諸島 ドルの課徴金を課す場合があります : かかるデータ管理者による本法の重大な違反があった場合 および データ主体に対し 重大な損害または重大な問題を生じさせる可能性のある種類の違反である場 合 10.4 また 本法は データ管理者による本法違反によって損害を被った者は かかる損害についてデータ管理者に 対する訴訟原因を有すると定めています 11 是正措置 執行および罰則 11.1 本法の違反は ( 様々な ) 本オンブズマンによる是正措置 罰則の適用 および刑事制裁につながる可能性があります 本オンブズマンがデータ主体による苦情を受理し データ管理者の保有する個人データが不正確であると判断した場合 本オンブズマンは かかるデータ管理者に対し かかるデータの修正 ブロック 削除 破壊またはアップデートを行うよう命令する場合があります 11.2 本オンブズマンは あらゆる者に関する情報請求命令を出すことができ 個人データの処理または処理の中止に関して執行命令を出すことができます かかる情報請求命令または執行命令の違反は犯罪であり 有罪判決を受けた場合は最大 100,000ケイマン諸島 ドルの罰金を負う可能性があります また 本オンブズマンは 裁判所への申請によって 立入検査 捜査令状を取得することができます 11.3 本オンブズマンは 蓋然性の均衡 (balance of probabilities) において以下が該当すると判断した場合 データ管理者に対し 最大 250,000 ケイマン諸島 ドルの課徴金を課す場合があります : かかるデータ管理者による本法の重大な違反があった場合 および データ主体に対し 重大な損害または重大な問題を生じさせる可能性のある種類の違反である場 合 11.4 また 本法は データ管理者による本法違反によって損害を被った者は かかる損害についてデータ管理者に 対する訴訟原因を有すると定めています 11.5 さらに 本法の一定のその他の規定の違反は 有罪判決を受けた場合 懲役および高額の罰金に対する直 8
接的な法的責任が生じます これには 故意にまたは無謀 (recklessly) に データ管理者の合意なく 個人データを取得もしくは開示し または個人データを第三者に開示させることを含みます また別の例としては 本オンブズマンおよび関連するデータ主体に対し 個人データの漏洩を通知せず データ管理者がかかる漏洩に気づいていたであろう時から5 日以内にこれに関する緩和措置を取らなかった場合も含まれます いずれの違反においても 最大 100,000ケイマン諸島 ドルの罰金が生じる可能性があります 12 是正措置 執行および罰則 12.1 本法の違反は ( 様々な ) 本オンブズマンによる是正措置 罰則の適用 および刑事制裁につながる可能性があります 本オンブズマンがデータ主体による苦情を受理し データ管理者の保有する個人データが不正確であると判断した場合 本オンブズマンは かかるデータ管理者に対し かかるデータの修正 ブロック 削除 破壊またはアップデートを行うよう命令する場合があります 12.2 本オンブズマンは あらゆる者に関する情報請求命令を出すことができ 個人データの処理または処理の中止に関して執行命令を出すことができます かかる情報請求命令または執行命令の違反は犯罪であり 有罪判決を受けた場合は最大 100,000ケイマン諸島 ドルの罰金を負う可能性があります また 本オンブズマンは 裁判所への申請によって 立入検査 捜査令状を取得することができます 12.3 本オンブズマンは 蓋然性の均衡 (balance of probabilities) において以下が該当すると判断した場合 データ管理者に対し 最大 250,000 ケイマン諸島 ドルの課徴金を課す場合があります : かかるデータ管理者による本法の重大な違反があった場合 および データ主体に対し 重大な損害または重大な問題を生じさせる可能性のある種類の違反である場 合 12.4 また 本法は データ管理者による本法違反によって損害を被った者は かかる損害についてデータ管理者に 対する訴訟原因を有すると定めています 12.5 さらに 本法の一定のその他の規定の違反は 有罪判決を受けた場合 懲役および高額の罰金に対する直接的な法的責任が生じます これには 故意にまたは無謀 (recklessly) に データ管理者の合意なく 個人データを取得もしくは開示し または個人データを第三者に開示させることを含みます また別の例としては 本オンブズマンおよび関連するデータ主体に対し 個人データの漏洩を通知せず データ管理者がかかる漏洩に気づいていたであろう時から5 日以内にこれに関する緩和措置を取らなかった場合も含まれます いずれの違反においても 最大 100,000ケイマン諸島 ドルの罰金が生じる可能性があります 9
13 ガイダンスおよび規則 本オンブズマンは 本法の実務上の施行をサポートするガイダンスを発行しました さらに 2018 年データ保護規則 ( 本規則 ) が作成され 本法の直後に施行されます 本規則は 個人からの情報請求に関する取り扱いの規定となり 健康 教育および社会事業に関する事項にかかる本法に基づく一定の適用除外を拡大するものです 2019 年 4 月 Maples グループ 本リーガル ガイドは お客様および Maples グループの専門担当者への概要情報の提供を目的としたものです 包括的情報または法的助言の提供を主旨とする ものではありません 本リーガル ガイドはあくまでご参考のために英語で公表されたリーガル ガイドを日本語に翻訳したものです 本リーガル ガイドの正式言語は英語であり その内容 解釈について差異が生じた場合には 英語版が優先します 1 0