巨人の激突。GDPRと国際仲裁-未来への展望
著者ネバ・サークヴェニと Per Neuburger
序章
近年、個人データのプライバシーやサイバーセキュリティが国際仲裁の実際の実施に与える影響について、特にテクノロジーの絶え間ない変化を考慮すると、疑問が生じています。
一般データ保護規則(GDPR)について[i] は、2020年5月に2回目の誕生日を迎えました。GDPRの個人データ保護の枠組みは、「識別された、または識別可能な自然人(複数可)」の個人データの自由な移動を確保することを目的としています。[ii]. 欧州連合内で適用され、EU域外にも及ぶ可能性のある域外適用範囲を持っています。[iii)。 GDPRは、すべての自然人または法人に影響を与えるだけでなく、公的機関、代理店、その他の団体(場合によっては国際機関を含む)に個人データ保護義務を課すことになります。[iv] GDPRによる制裁金は、違反した企業の直前の会計年度における全世界の年間売上高の4%、または2,000万ユーロのいずれか高い方になります。[v] その適用を真剣に受け止める必要性は、複数の司法管轄区で課された数百万ユーロの罰金によってすでに確立されています。[vi]
仲裁への個人データ保護法の適用は確立されていますが、法律を適用すべき方法は確立されていません。そのため、国際商事仲裁評議会(ICCA)と国際法曹協会(IBA)は、2019年2月に「国際仲裁手続におけるデータ保護に関する共同タスクフォース」を設置し、国際仲裁における個人データ保護の実践的なガイダンスを提供するガイドを作成することを目的としています。タスクフォースは、2020年3月にこのガイドのコンサルテーションドラフトを発表しました。[vii] 今回の解説は、このロードマップ案(以下、ロードマップ)に基づいて行われます。[【viii】。] ロードマップの最終改訂版は2021年9月に発表される予定です。本稿執筆時点では、コンサルテーションドラフトに対するコメントの期限は過ぎていますが、それでもロードマップの暫定版は、国際仲裁におけるGDPRによって提起される問題を例示しています。したがって、このロードマップは議論の基礎として使用されることになります。
ほとんどの個人情報保護法は、仲裁手続きにおいて必須であり、つまり規定されています。
- どのような個人データが処理される可能性があるか
- のところです。
- どんな方法で
- どのような情報セキュリティ対策が施されているか、そして
- をどのくらいの期間[ix]
しかし、これらの拘束力のある義務を仲裁手続きにおいてどのように遵守すべきかについては言及していない。規制当局による具体的なガイダンスがない場合、ロードマップは、仲裁の専門家が国際仲裁の文脈で従う可能性のある個人データ保護およびプライバシー義務を特定し、理解するのに役立つことを目的としています。さらに、GDPRによる保護の範囲は、主にEU域外で行われる仲裁にGDPRの法律が適用されるかどうかという点で、国際仲裁手続きにおいても引き続き関係してきます。GDPRが仲裁に適用されることが判明した場合、さらに様々な影響があります。第一に、個人データの処理が禁止されているかどうか、第二に、個人データのEU域外への移転に制限があるかどうかです。最後に、サイバー攻撃の頻度が高まっていることから、このような攻撃が仲裁に及んだ場合、多額の損害賠償が発生する可能性があります。
本稿は、ロードマップの解説を行うとともに、国際仲裁手続における個人データ保護義務について考慮すべき実務的な方策を探るものである。ロードマップは、不完全ではあるが、これまでに国際仲裁を調和させようとした様々なソフトローの試み、特にIBAや国連国際貿易法委員会(UNCITRAL)による文書を補完する有望なツールであると考えている。
まず最初に、GDPRの原則への言及を含むロードマップの簡単な概要を説明します。これは、包括的な概要ではなく、ロードマップの主要なポイントを紹介し、その後の議論の背景を読者に伝えることを目的としています。次に、6つの関連する問題についての解説を行います。
- EU域外で行われる仲裁へのGDPRの適用について。
- Tennant Energy, LLC v Government of Canadaで示されたように、北米自由貿易協定(NAFTA)の仲裁におけるGDPR。[x]
- ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration」(サイバーセキュリティ・プロトコル)への言及を含む、コビッド・19の大流行を通して重要性を増したビデオ会議の問題。[ξ^_^ξ] The IBA's Cybersecurity Guidelines(IBAサイバーセキュリティ・ガイドライン)」。[xii] 。 と「COVID-19パンデミックの影響を緩和するための可能な措置に関するICCガイダンス・ノート」を発表しました。[xiii]
- 第三者の資金提供者」とは、ロードマップでどのように考慮されているのか。
- GDPRの悪用、特に非開示の盾としての悪用。
- 個人データ保護要件の不遵守を仲裁判断の取り消しや承認・執行の拒否に利用する可能性があること
最終的な考えは結論で述べます。
ロードマップ
個人および法人は、データ対象者の個人データを保護する義務を負います。仲裁自体は個人データ保護義務の対象ではありません。ただし、仲裁の参加者の一人だけが個人データ保護義務の対象となる場合は、仲裁全体に影響を及ぼす可能性があります。個人データ処理が関連法に該当するかどうかは、材料および管轄範囲によって個人データ保護法が適用されるかどうかが決まります。[xiv]
現代の個人データ保護法は、関連する個人データ保護法の管轄範囲内の活動において、データ対象者に関する個人データが処理される場合には常に適用されます。[xv] 個人情報には、「識別されたまたは識別可能な自然人に関連するあらゆる情報」が含まれます。[xvi] 典型的な仲裁手続きでは、特に当事者、その弁護士、法廷および第三者に関連するかなりの量の情報が交換されます。そのため、これらの情報は「個人データ」の定義に該当すると考えられます。データ主体」とは、識別される、または識別可能な上記の個人を指します。[xvii] 。 処理には能動的および受動的な操作が含まれ、個人データの使用、配布、削除のほか、個人データの受信、整理、保管が含まれます。[xviii] 。 適用範囲は、EU域内の管理者または処理者の事業所の活動に関連して個人データが処理される場合の行動を含みます。[xix] 。 また、個人データがEU域外に移転され、他の理由でGDPRの対象となっていない事業体や個人に移転される場合など、域外にも適用されます。[xx]
仲裁人は、データ管理者として認定され、個人データ保護法の遵守に責任を負うことになります。ただし、「データ管理者」の定義に基づいています。[xxi] 。 最も多くの仲裁参加者[xxii] 。 は、弁護士、当事者、教育機関など、そのように考えられる可能性があります。データ管理者は、データ処理をデータ処理者に委任することができます。[xxiii] 。 このような人たちは、自分の管理下にあり、適用される法律で定められた条件でデータ処理契約が必要となります。したがって、秘書、転写者、翻訳者などはすべてデータ処理者とみなされる可能性があります。さらに、データ処理の目的と手段を共同で決定する共同管理者の問題もあります。共同管理者は広義に解釈されますが、共同管理者の責任は、管理者が決定した処理、その目的と手段のみに限定され、処理全体には及びません。[xxiv]
国際仲裁では、管轄区域間の個人データ移転の制限は、個人データ保護法が適用される明らかな方法です。異なる仲裁参加者の背景により、異なる個人データ保護制度の適用が決定されます。現代の個人データ保護法は、個人データ保護の基準が低い法域への個人データの移転によって法的義務が回避されないように、第三国への個人データ移転を制限しています。[xxv] GDPRでは、以下のいずれかに該当する場合、第三国の個人データの移転を認めています。
- EU委員会が十分な個人情報保護を提供していると判断した国であること。
- 明記されているセーフガードのいずれかが実施されていること。
- 法的請求権の確立、行使、または防御のために必要な転送を認める例外規定、または
- 当事者のやむにやまれぬ正当な利益。[xxvi]
これらの規則は、仲裁全体ではなく、仲裁参加者に適用されるため、すべての仲裁参加者は、どのような個人データ転送制限が適用されるかを検討することが義務付けられています。
仲裁に適用される個人データ保護の原則には、公正かつ合法的な処理、比例、データの最小化、目的の制限、データ対象者の権利、正確性、データセキュリティ、透明性、説明責任などがあります。[xxvi]
これらの原則のうち、いくつかはさらにコメントが必要です。公正かつ合法的な処理とは、個人データはデータ対象者が合理的に期待する方法でのみ処理されるべきであり、処理には法的根拠が必要であることを意味します。公平性の原則を適用すると、当事者とその弁護士は、すべての事実の文脈において、個人が自分の個人データがそのように処理されることを予想していたかどうか、それが個人に不利な結果をもたらすかどうか、そしてその結果が正当化されるかどうかを自問する必要があります。この原則は、ビジネスメールで発見された個人データが証拠として認められることを妨げるものではありません。
合法的な処理という概念には、事実に基づいた、ケースに応じた法的根拠が必要です。同意に頼るのではなく、GDPRの特定の法的根拠を呼び起こすべきです。[xxviii]となっています。
比例性とは、データ対象者にもたらされるリスクに関連して、処理の性質、範囲、状況、および目的を考慮することを意味します。[xxix] データ最小化のためには、仲裁参加者は処理を、適切で、関連性があり、必要なものに限定された個人データに限定することが必要です。[xxx] 透明性を確保するためには、一般的な通知、特定の通知、またはその両方を通じて、データ対象者に個人データの処理とその目的を通知する必要があります。[xxxi] 。 説明責任とは、データ保護コンプライアンスに対する個人の責任に関連するもので、仲裁参加者はコンプライアンスを証明するために、すべての個人データ保護対策と決定事項を文書化する必要があります。[xxxii] 。
個人データ保護コンプライアンスは、仲裁自体だけでなく、準備中も含めて、国際仲裁手続の各ステップに影響を与えます。仲裁参加者は、当初から、どの個人データ保護法が自分及び他の仲裁参加者に適用されるか、また、どの仲裁参加者が管理者、処理者又は共同管理者として個人データを処理するかを検討する必要があります。また、第三者のサービスプロバイダーに関する第三国の個人データ移転規則及び個人データ処理契約も考慮する必要があります。文書の収集とレビューのプロセスにおいて、当事者とその法律顧問は、処理活動と第三国の個人データ移転のための合法的根拠を必要とします。[xxxiii] 。
仲裁の要請およびその後の提出物には、処理の領域に完全に入る個人データが含まれます。仲裁機関が適用される個人データ保護法に拘束される場合は、各手続き段階で適用される潜在的な個人データ保護義務を考慮する必要があります。仲裁機関がGDPRの対象となる場合、一般的に個人データの管理者となります。GDPRの第13条および第14条を遵守するために、このような機関は、セキュリティ対策、データ対象者の権利行使、記録の維持、およびデータ侵害と保持の方針に関する情報をプライバシー通知に含める必要があります。[【xxxiv】] しかし、投資家対国家の仲裁を管理する国際組織は、構成国またはホスト国の協定における特権と免責により、個人データ保護法の範囲から除外される場合がある。したがって、組織が個人情報保護法に拘束されるかどうか、仲裁参加者が特権と免責の対象となるかどうか(どの程度まで)など、別途検討する必要があります。[xxxv]
仲裁廷への仲裁人の任命の際には、一般的にかなりの量の仲裁人候補の個人データが交換されます。仲裁参加者は、この個人データを処理するための法的根拠を法的通知に含め、特に第三国の個人データ移転の場合には、任命を検討している仲裁人に個人データの処理を明示的に通知すべきである。[xxxvi]
仲裁が開始されたら、リスクを最小限にするために、個人データ保護コンプライアンス責任を早期に割り当てるべきです。個人データ保護は、最初の手続き会議の議題に含まれるべきであり、仲裁参加者は、個人データ保護コンプライアンスにどのように対処するかについて、可能な限り早期に合意するよう努めるべきである。当事者、その弁護士、仲裁人は、コンプライアンス問題を効果的に管理するために、個人データ保護プロトコルの締結を検討すべきです。これが不可能な場合には、代替案として、法廷がこれらを手続命令第1号に含めることができます。[xxxvi]
ドキュメントの作成と開示のプロセスでは、個人データの最小化の原則が特に関連します。GDPRの下では、おそらくこれが必要になります。
- 開示する個人情報を、関連性があり重複しないものに限定する。
- 回答資料に含まれる個人データを特定すること。
- 不必要な個人情報を再編集したり、偽名をつけること。
また、これらの問題は、手続きの初期段階、できれば最初の手続き会議の前に検討する必要があります。[xxxviii]
仲裁人や仲裁機関は、裁定を下す際に、個人データを裁定に含めることの根拠と必要性を検討する必要があります。仲裁が機密であっても、裁定が施行されると公開されるリスクがあります。個人データが再編集されたとしても、データ対象者が裁定や関連資料の残りの部分から特定できるため、通常は個人データのままとなります。[xxxix]
データの保持と削除は、GDPRの下では処理とみなされ、個人データは「個人データを処理する目的に必要な期間を超えない範囲で、データ対象者の識別を可能にする形で保持する」と規定されています。[xl] 管理者は、保存期間を検討し、文書化し、正当化できるようにしなければならない。仲裁参加者は、どのようなデータ保存期間が合理的かを検討する必要があり、自分たちのニーズとデータ保存が対象者に与える影響とのバランスをとるために、比例的なアプローチをとる必要があります。[xli] 。
EU域外で行われる仲裁へのGDPRの適用について
一般データ保護規則の適用範囲は比較的広い。実務家は、自分がEUにいるかどうか、あるいは仲裁が行われるかどうかにかかわらず、その適用に注意する必要があります。GDPRは、処理自体がEU域内で行われるか否かに関わらず、EU域内で設立された管理者または処理者による個人データの処理に適用されます(第3条1項)。さらに、EU市民に商品やサービスを提供する場合や、EU域内で行われる行動を監視する場合には、EU域内で設立されていない管理者や処理者による個人データの処理にもGDPRが適用されます(第3条第2項)。
仲裁の文脈に適用されるGDPRは、仲裁手続に直接ではなく、その物質的・地域的範囲に入るデータ管理者および処理者(仲裁人、弁護士、当事者、機関)に義務を課します。たとえEUに関係する仲裁参加者が1人だけであっても、GDPRに従って個人データを処理する義務が生じます。仲裁手続全体への影響が生じる可能性があります。[xlii] 。
個人データを含む仲裁資料の転送が一般的な国際仲裁の文脈で最も注目されるのは、欧州経済領域(EEA)外の「第三国」への個人データの転送に対する制限であろう。このようなシナリオでは、個人データの移転が許可されるためには、4つの合法的根拠のうちの1つが必要となります。まず、第三国が適切性決定の対象となっている場合、第三国への移転が認められます(第45条1項)。[xliii] 。 そうでない場合は、可能な限り、適切なセーフガード(第46条1項)の一つを導入すべきである。[xliv] 適切な決定がなく、適切なセーフガードが実現できない場合、特定の適用除外に頼ることができます(第49条(1))。[xlv] 最後に、前述のものがない場合、当事者は、やむを得ない正当な利益に依拠することができる(第49条(1))。[xlvi] を第三者の個人データ移転の合法的根拠とする。
ロードマップは、仲裁参加者が行うべき必要な検討事項を極めて包括的に示しています。また、個人データ保護の原則や移転規則が適用されるのは、仲裁ではなく仲裁参加者であることが何度も強調されています。[xlvii] これに伴い、GDPRが適用されないEU域外の仲裁に参加するEUベースの仲裁人は、それにもかかわらず、GDPRの個人データ処理および転送要件を遵守する必要があると推定されます。これは、商業仲裁手続きにおいて一般的に受け入れられていることです。[xlviii] しかし、投資家対国家の仲裁に関しては、状況はそれほど明確ではありません。
Tennant Energy, LLC v Government of Canada」のケース
2019年、NAFTA第11章の調停において Tennant Energy, LLC v Government of Canada (Tennant),[xlix] 原告であるTennantは、法廷メンバーの1人が英国の国籍と住所を有していることに鑑み、GDPRが訴訟に適用されるかどうかを問題にした。しかし、同法廷は、「欧州連合もその加盟国も加盟していない条約であるNAFTA第11章に基づく仲裁は、推定上、GDPRの重要な範囲内には入らない」とする指示を当事者に出した。[l]
条約に基づく仲裁と商業仲裁を区別することは重要で、Tennantは前者のカテゴリーに属する。ロードマップでは、この区別に関連して、国際組織が個人データ保護法の範囲から除外される可能性があることを指摘しています。(´・ω・`) Tennant社の仲裁における法廷メンバーは、オランダとの常設仲裁裁判所(PCA)本部協定に由来する一定の免責を受ける可能性があります。しかし、NAFTA法廷は、国際組織であるPCAがGDPRの移転規則の対象となるかどうか、あるいは法廷メンバーが協定から一定の免責を受けるかどうかについては検討していない。
仝 テナント の方向性は、NAFTAの手続きや条約に基づく仲裁へのGDPRの適用性に関して、答えを出すよりも多くの疑問を提起しており、その微妙な議論は現在の範囲を超えています。それにもかかわらず、ロードマップに照らし合わせてみると、Tennantの方向性は、このテーマが依然として非常に不確実であることを示しています。特に、ロードマップが以下の後に発行されたことを考慮すると、ロードマップがこのような問題に直面している仲裁参加者に何らかの明確性をもたらすかどうかは、せいぜい疑問である。 テナント の指示が下されましたが、後者には何の配慮もありませんでした。
テレビ会議の問題
ロードマップでは、個人情報保護の重要性を認識しています。しかし、最近では、バーチャルヒアリングや在宅勤務を可能にする追加テクノロジーが使用されており、そのほとんどが、コヴィド-19パンデミックによって私たちに課せられた状況に拍車をかけていることから、この問題はさらに重みを増しています。サイバーセキュリティプロトコル[li] と、IBAの「サイバーセキュリティ・ガイドライン」の[liii] は、この問題に光を当てました。
ロードマップと同様、サイバーセキュリティプロトコルは、いくつかの基本原則を定めています。比例性の原則が適用されること、仲裁廷は設置されているセキュリティ対策を決定するための権限と裁量を有すること、情報セキュリティは最初のケースマネジメント会議で議論されるべき問題であることなどです。サイバーセキュリティ・プロトコルのスケジュールAには、仲裁の当事者が手続きを保護するために使用できるチェックリストが用意されています。
最近のコヴィド19の大流行による労働形態や環境の変化を受けて、これらの問題はより重視されるべきです。ビジネスを行うための新しい方法を模索し、不確実性の高い時代に適応することを迫られている世界において、法律部門が直面している問題の1つは、制限や社会的距離の必要性と組み合わされたヒアリングの問題です。そのため、ビデオ会議の普及と国際仲裁手続での利用は、ロードマップが取り上げるべきものですが、それができていません。
多くの人がビデオヒアリングの問題点を議論し、指摘してきましたが、個人情報保護法がどのように適用されるべきかについては、個人情報保護だけでなく、一部のプラットフォームがセキュリティ攻撃を受けていることから、ほとんどの人が言及していませんでした。[liv]
上述したように、GDPRに関する仲裁に関わる当事者の異なる役割、すなわち誰が「データ管理者」で誰が「データ処理者」なのかを理解することが不可欠です。ビデオ会議ソフトウェアが、当事者がサービスを利用した際のユーザー名や電子メールアドレスなどの個人データを処理している場合は、「データ処理者」とみなされます。つまり、参加者の中にEUに居住している人がいる場合は、GDPRのルールを遵守しなければなりません。審判部は「データ管理者」であるため、このようなコンプライアンスを確保するのは審判部の責任となります。
国際商業会議所(ICC)は、ガイダンスノートを発行しました。[lv] は、サイバーセキュリティプロトコルおよびバーチャルヒアリングに関する推奨条項を当事者に提供しています。これは、セキュリティの側面に対処することを目的としていますが、個人データ保護の側面には対処していません。ロードマップでは、バーチャルで行われる審問に個人データ保護が適用される可能性や、その遵守方法について議論する必要があります。GDPRは、ビデオ会議に関して満たさなければならない要件を規定していますが、その要件を直接適用する方法については指針を示していません。
ロードマップは、特定のソフトウェア・プロバイダーに関する推奨を行っていませんが、他の様々な事項に関するチェックリストを付録として提供しているのと同様に、ビデオ公聴会に理想的なソフトウェアの必要な仕様をまとめて実務者に提供することができます。
サードパーティ・ファンドはどのような役割を果たしているのでしょうか?
第三者資金提供者とは、仲裁手続の非当事者が、訴訟の結果に全面的または部分的に依存する金額と引き換えに、訴訟費用の全部または一部を融資する取り決めを行うことと理解されている。(lvi) 第三者である資金提供者は、資金提供している、または資金提供を検討している仲裁手続において、様々な個人データにアクセスすることができます。ロードマップは仲裁参加者のみを対象としていますが、個人データ保護要件の影響を受けるサービスプロバイダーにも関連するガイダンスであることが明記されています。[lvii].
ロードマップでは、サービスプロバイダーには「eディスカバリーの専門家、情報技術者、法廷レポーター、翻訳サービスなど」が含まれています。[lviii] 。 が、第三者の資金提供者については明示されていません。GDPRでは、個人データの収集と保存は処理に含まれます。したがって、第三者である出資者が他者から個人データを収集した場合、個人データに関する法律が彼らにも適用されることになります。[lix] 。
GDPRでは、「管理者または第三者が追求する正当な利益の目的のために処理が必要な場合」に、当事者が個人データを処理することを認めています。[lx] 仲裁参加者は、関連する個人データを処理するための適用可能な法的根拠として、この法的根拠を引用する可能性があります。このトピックに関するガイダンスは限られています。[lxi] 。 ロードマップには次のように書かれています。
「正当な利益評価の最初のステップは、正当な利益を特定することです。個人データを処理する目的は何か、そして管理者としてなぜそれが重要なのか。仲裁の文脈では、正当な利益には、司法の管理、当事者の権利の尊重の確保、適用される仲裁規則に基づく請求の迅速かつ公正な解決、およびその他多くの利益が含まれる可能性があります」。[lxii] 。
他の多くの利益」が含まれているということは、第三者である資金提供者の正当な金銭的利益も含まれている可能性がある。もしそうであれば、第三者資金提供者は仲裁手続きの当事者とデータ処理契約を締結する義務があり、個人データ保護の規制と要件の範囲に含まれることは明らかです。興味深いことに、ロードマップでは、特に仲裁手続に第三者の資金提供者が含まれるようになってきたことを考慮して、第三者の資金提供者がどのように組み込まれるのかを明確に詳述していない。
非公開の盾
個人データ保護義務は、悪用の可能性につながります。仲裁当事者は、GDPRを悪意のある盾として利用し、訴訟に関連する、または相手方から要求された情報の開示を妨げることがあります。例えば、当事者は、文書に紛争とは無関係の個人データが含まれていると主張して開示請求に異議を唱えたり、個人情報を再編集することが不当に負担になると主張したりすることがあります。[lxiii]を参照してください。
ロードマップでは、濫用の可能性について言及しています。このロードマップでは、個人データ保護義務が訴訟に影響を及ぼすリスクを減らすために、できるだけ早い段階で個人データ保護義務を提起し、明確にすることを提案しています。参加者は、「データ保護プロトコル」の締結を検討すべきです。これは、個人データ保護が特定の状況でどのように適用されるかについての合意です。あるいは、署名されたデータ保護プロトコルを実現することができない場合、これらの問題はProcedural Order Number Oneで扱われるべきである。[lxiv]
これと比較して、米国の訴訟におけるディスカバリーの際のGDPRコンプライアンスを見てみましょう。米国の連邦裁判所は、個人データ保護法を含む外国の法令に違反している可能性のある召喚状や開示命令に対して、開示や遵守を命じるかどうかを決定するために、バランシングテストを採用しています。[lxv] 米国の連邦裁判所が注目する要素を網羅していません。
- 訴訟に要求された文書やその他の情報の重要性。
- 依頼内容の具体性の度合い
- その情報がアメリカで生まれたものかどうか。
- 情報を確保するための代替手段の利用可能性、および
- コンプライアンス違反が米国の重要な利益を損なう程度。[lxvi]
外国の個人情報保護法に違反している可能性があるにもかかわらず、連邦裁判所が情報開示を求めることが多くあります。[lxvii]
仲裁人は、当事者による開示を命じるかどうかを決定する際に、裁判所とは異なる考慮事項に直面する。文献で論じられている通り、正しい。[lxviii] 仲裁廷は、1958年の「外国仲裁判断の承認及び執行に関する条約」(ニューヨーク条約)に基づく取消や執行拒否の恐れを考慮して、競合する権利と義務を認識しなければならない。しかし、この見解は、司法不干渉の原則に基づき、開示命令が州裁判所による最小限の審査の対象となるという事実を考慮していない。[lxix] 。 州裁判所が開示命令の見直しを行わない例は数多くあります。[lxx]を参照してください。
手続き上の問題で審判に与えられている裁量に照らし合わせると、取り消しや執行拒否の脅威が中心的な考慮事項になることはないと思われます。GDPRの義務を悪用して手続き上の優位性を得ようとする当事者が出てくることは避けられないため、データ主体の利益のバランスを取る一方で、堅牢な証拠プロセスを維持するという難しい立場に審判部は置かれることになります。[lxxi] 。 ロードマップの推奨事項に沿って、個人データ保護のコンプライアンス義務を訴訟の最初に明確にすることは、この行動をチェックするための必須ステップであると思われます(できれば署名済みのデータ保護プロトコルで)。
個人情報保護要件への不適合を理由とした無効化および承認・執行の拒否
ロードマップでは、個人データ保護要件の不遵守が、仲裁裁定を無効にしたり、その承認と執行を拒否するために用いられるかどうかについては取り扱っていない。当事者が裁定に対抗する手段は非常に限られている。しかしながら、不成功に終わった当事者は、その結果に異議を唱え、裁定に異議を唱えたり、その承認や執行を妨げたりするために、主な共通の理由の1つを使用することを望むかもしれません。
ニューヨーク条約は、現在168の締約国が加盟しており、国際商業仲裁における外国の裁定の承認と執行の主要な法的根拠となっています。条約は、第5条において、仲裁判断の承認および執行を拒否できる限定的な理由を規定している。今回の目的で最も注目すべきは、第V条(2)(b)が、公序良俗に反する裁定の承認または執行を署名国の権限ある当局が拒否する可能性を認めていることである。[lxxii] 。
仲裁判断を無効とすることができる理由は、法域によって異なる。広く採用されている国際商事仲裁に関するUNCITRALモデル法は、第34条2項に取消事由のリストを定めている。このリストは、ニューヨーク条約の第5条を参考にしている。[lxxiii] 。 第34条2項(b)(ii)では、仲裁判断が国家の公序良俗に反する場合、裁判所が仲裁判断を無効にすることができるとしています。[lxxiv]を参照してください。
欧州司法裁判所(ECJ)は、Eco Swiss v Benettonにおいて、EU法の強行規定を覆すことは、公共政策の基本的なルールを構成することができ、その違反は、国内法の根拠に基づく仲裁判断の取消事由を構成することができるとしました。[lxxv] したがって、個人データ保護要件の不遵守を理由に裁定を無効にしたり、裁定の承認や執行を拒否することができるかどうかは、GDPRの規則が、違反すると国家の公共政策に反する強制的な規定を覆すものとみなされるかどうかによって決まります。[lxxvi]
ローマⅠ規則の第9条(1)では、「他に適用される法律にかかわらず、その範囲内にあるあらゆる状況に適用されるほど、その尊重が国の公共の利益を守るために極めて重要であるとみなされる」規定を最優先の強行規定と定義しています。Cervenka氏とSchwarz氏が以前に認識していたように、GDPRの規則のほとんどは、EU法に基づく強制規定を覆すものと考えられます。そのため、その違反は公共政策の違反とみなされる可能性があります。[lxxvi]
個人データ保護義務の不履行が仲裁判断の取消または不承認・不実施につながる可能性があることは、様々な懸念をもたらします。まず、すべての違反が同じ重みを持つわけではないため、どの個人データ保護義務が優先的な強行規定を構成するのかを正確に定義する必要があります。最終的には、ECJがさらなる明確化を求められることになるでしょう。第二に、GDPR違反を理由に裁定の執行に異議を唱えたり、異議を唱えたりする可能性が乱用される可能性を考慮し、当事者が裁定に対して後から再訴する可能性を持つために意図的に個人データ保護規則に違反することを防ぐ必要があります。最後に、個人データ保護規則が手続き法と実体法のどちらの一部を構成するのか、またどのような方法で構成するのかを定義する必要があります。[lxxvii]
定義すべきことはたくさんありますが、個人データ保護要件に準拠していない場合、仲裁判断の取り消しや承認・執行にどのような影響があるのかを検討する必要があります。ロードマップにこの点についての記述がないのは、非常に興味深いことです。
結論
このロードマップは、仲裁の専門家が、国際仲裁の場面で負う可能性のある個人データ保護およびプライバシーに関する義務を特定し、理解するのに役立つことを目的としています。しかし、先に述べたように、このロードマップは、今日関連性があり、緊急を要するいくつかの特定の問題にはまだ対処していない。本ペーパーで特定され、詳しく説明されている6つの問題は以下の通りです。
- EU域外で行われる仲裁へのGDPRの適用について。
- NAFTA仲裁の文脈におけるGDPR
- は、バーチャル仲裁裁判の問題です。
- ロードマップにおける第三者の資金提供者とその位置づけ
- GDPRの悪用の可能性、および
- GDPRへの非準拠の可能性は、仲裁判断の取り消しまたは承認・執行の拒否への道となります。
これらの問題は、今後数年間でさらに関連性が高まることが予想されるため、それぞれさらに検討する必要があります。これらがロードマップに含めるに値するものであることが示されたことを期待しています。
アネックス[lxxix] ロードマップに追加された「データ保護チェックリスト」「正当な利益評価チェックリスト」「プライバシー通知例」「EU標準契約条項」は、いずれも非常に価値のあるリソースであり、専門家がGDPRに準拠するために利用すべきものです。データ保護チェックリスト、正当な利益評価チェックリスト、プライバシー通知の例、EU標準契約条項の追加は、いずれも非常に価値のあるリソースであり、専門家がGDPRに準拠しているかどうかを確認するために利用すべきものです。
しかし、異なる法域間の紛争状況では、個人データ保護に関する様々な国内法の違いにより、曖昧さが生じる可能性があります。ロードマップで示されたガイドラインは広範囲にわたっていますが、拘束力はありません。これまで、UNCITRALとIBAは、規則やガイドラインなどを通じて、国際仲裁の調和を図ることに注力してきました。UNCITRALとIBAが国際仲裁の様々な側面で試みてきたように、仲裁に関する個人データ保護要件の調和も切実に必要とされており、したがって、調和を念頭に置いて必要なガイドラインを設けるべきである。
国際仲裁の文脈におけるGDPR遵守要件とその意味合いについての調和、理解、認識は依然として不足しており、仲裁の専門家としては、今後も現在の法的枠組みを活用していくことになるでしょう。しかし、ロードマップは、その欠陥にもかかわらず、仲裁参加者の個人データ保護義務について共通の理解を得るという方向性において、大いに必要とされる心強い一歩を示しています。
[i] 個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679、および指令95/46/EC(一般データ保護規則)の廃止、OJ 2016 L 119/1。
[ii]. 個人データ」は、GDPRの第4条で以下のように定義されています。
(1)「個人データ」とは、識別されたまたは識別可能な自然人(「データ対象者」)に関するあらゆる情報を意味します。識別可能な自然人とは、直接的または間接的に、特に名前、識別番号、位置情報、オンライン識別子などの識別子、または自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、社会的なアイデンティティに固有の1つ以上の要素を参照することにより識別できる人を指します。
[iii)。 GDPRの地域的な範囲は、第3条で以下のように定義されています。
- 「この規則は、処理が欧州連合内で行われるか否かにかかわらず、欧州連合内の管理者または処理者の施設の活動に伴う個人データの処理に適用されます。
- 本規則は、処理活動が以下に関連する場合、欧州連合内に設立されていない管理者または処理者による、欧州連合内にいるデータ対象者の個人データの処理に適用されます。
(a) データ対象者の支払いが必要かどうかに関わらず、欧州連合内のデータ対象者に対して、商品またはサービスを提供すること、または
(b) その行動が当組合内で行われる限り、その行動を監視すること。
- この規則は、EU内に設立されていないが、国際公法により加盟国の法律が適用される場所にいる管理者による個人データの処理に適用される』。
[iv] GDPR第4条の「プロセッサ」の定義を参照してください。
[v] GDPR第83条(4)。
[vi] Largest fine under GDPR levied against Google」(Simmons + Simmons, 22 January 2019)、www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>、Joe Tidy, 'British Airways fined £20m over data breach' (BBC, 16 October 2020)、www.bbc.com/news/technology-54568784。
[vii] ICCA-IBA Joint Task Force on Data Protection in International Arbitration」(ICCA)、www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration、2021年8月18日アクセス。
[【viii】。] The ICCA-IBA Roadmap to Data Protection in International Arbitration' (ICCA, February 2020), see https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, accessed 18 August 2021.
[ix] Ibid, 1.
[x] PCAケースNo.2018-54です。
[ξ^_^ξ] ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)', see https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, accessed 18 August 2021.
[xii] 。 'Cybersecurity Guidelines' (IBA, October 2018), www.ibanet.org/LPRU/Cybersecurity, accessed 1 December 2020.
[xiii] 'ICC Guidance Note on Possible Measures Aim' (International Chamber of Commerce, 9 April 2020) accessed 18 August 2021.
[xiv] ロードマップ、セクションB。
[xv] 同上。
[xvi] GDPRのArt4。
[xvii] 。 同上。
[xviii] 。 Art 4, GDPR
[xix] 。 同上、第3条(1)。
[xx] ロードマップ、7.
[xxi] 。 GDPRのArt4。
[xxii] 。 ロードマップでは、「仲裁参加者」を「当事者、その法律顧問、仲裁人、仲裁機関(のみ)を含む」と定義している。Roadmap (n 3), 2 を参照。
[xxiii] 。 GDPRのArt4。
[xxiv] 2019年7月29日の判決、Fashion ID GmbH & Co KG v. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, paras 74, 85を参照。2018年6月5日の判決、Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388、2018年7月10日の判決、Jehovan todistajat, C-25/17, EU:C:2018:551も参照。
[xxv] ロードマップ, 11
[xxvi] Ibid, 12.
[xxvi] GDPRの第5条および第12-22条、ロードマップ14-15。
[xxviii]となっています。 例えば、GDPRでは、国際仲裁に関連して個人データを処理することは、データ管理者の正当な利益のために必要な場合(データ対象者の利益および基本的権利に基づく制限を受ける)には合法的であり、仲裁に関連してセンシティブなデータを法的請求権の例外規定(第9条(2)(f))に基づいて処理することができます。
[xxix] ロードマップ, 19.
[xxx] Ibid, 20-21.
[xxxi] 。 Ibid, 30-31.
[xxxii] 。 Ibid, 32.
[xxxiii] 。 Ibid, 33-36.
[【xxxiv】] Ibid, 37-39.
[xxxv] Ibid, 37.
[xxxvi] Ibid, 39.
[xxxvi] Ibid, 40-41.
[xxxviii] Ibid, 42.
[xxxix] Ibid, 43.
[xl] GDPRのArt 5(1)(e)。
[xli] 。 ロードマップ, 44.
[xlii] 。 Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.
[xliii] 。 EU委員会は、同国が十分なデータ保護を提供していると判断しています。
[xliv] 国際仲裁の場合、これはほとんどの場合、標準的な契約条項となります。
[xlv] 法的請求権の免責条項は、「法的請求権の確立、行使または弁護に必要な場合」に移転を認めるもので、仲裁の場面で最も適用されます。
[xlvi] その高い閾値と通知要件のため、説得力のある正当な利益への依存は、ほとんど実用的な関連性がありません。EDPB, 'Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679', 6 February 2018 (Data Transfer Guidance)を参照。
[xlvii] ロードマップ, 8, 13.
[xlviii] Emily Hay, 'The Invisible Arm of GDPR in International Treaty Arbitration:Can't We Make It Go Away?(Kluwer Arbitration Blog, 29 August 2019), http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [accessed 18 August 2021]を参照。
[xlix] PCAケースNo.2018-54。
[l] Ibid, Tribunal's Communication to the Parties (Perm Ct Arb, 2019).
(´・ω・`) ロードマップ、37
[li] ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)' (ICCA), see https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, accessed 18 August 2021.
[liii] 'Cybersecurity Guidelines' (IBA, October 2018), www.ibanet.org/LPRU/Cybersecurity, accessed 1 December 2020.
[liv] Andreas Respondek, Tasha Lim, ' Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?(Kluwer Arbitration Blog, 18 July 2020), see http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, accessed 18 August 2021.
[lv] COVID-19パンデミックの影響を緩和することを目的とした可能な措置に関するICCガイダンスノート」(ICC、2020年4月9日)2021年8月18日アクセス。
(lvi) ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.
[lvii]. ロードマップ、2.
[lviii] 。 Ibid, 23-25.
[lix] 。 GDPRのArt4(2)、上記n1参照。
[lx] GDPRのArt 6(1)(f)。
[lxi] 。 Allan J Arffa and others, 'GDPR Issues in International Arbitration' (Lexology, 10 August 2020), see www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, accessed 18 August 2021.
[lxii] 。 ロードマップ、付属書5。
[lxiii]を参照してください。 Allan J Arffa and others, 'GDPR Issues in International Arbitration' (Lexology, 10 August 2020), see www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> accessed 18 August 2021.
[lxiv] ロードマップ40-41。
[lxv] 例えば、以下を参照してください。David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395.
[lxvi] Ibid; Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
[lxvii] 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6 February 2020), see www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> accessed 18 August 2021.
[lxviii] David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395.406.
[lxix] 。 Gary Born, International Commercial Arbitration (2nd edn, Kluwer Law International 2014), 2335.
[lxx]を参照してください。 Ibid.Bornは、この議論を補強するために以下の判決を引用している。2004 年 1 月 22 日の判決、Société Nat'l Cie for Fishing & Marketing 'Nafimco' v Société Foster Wheeler Trading Co.また、Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004)も同様である。開示請求は「法廷の合理的な裁量権の行使の範囲内」である。
[lxxi] 。 Natalia M Szlarb, 'GDPR and International Arbitration at a Crossroads' (The National Law Review, 4 December 2019), see www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, accessed 18 August 2021.
[lxxii] 。 ニューヨーク条約第5条(2):「仲裁判断の承認及び執行は、承認及び執行が求められている国の権限のある当局が、(b)当該判断の承認又は執行が当該国の公序良俗に反すると認める場合にも、これを拒否することができる」。
[lxxiii] 。 UN Secretary-General, Analytical Commentary on Draft Text of a Model Law on International Commercial Arbitration, A/CN.9/264 (1985), Art 34, para 6.
[lxxiv]を参照してください。 国際商事仲裁に関するUNCITRALモデル法第34条2項:「仲裁判断は、第6条で指定された裁判所により、以下の場合に限り無効とすることができる...(b) 裁判所が、(ii) 仲裁判断がこの国の公共政策に抵触すると認める場合」。
[lxxv] 1999年6月1日の判決、Eco Swiss China Time Ltd v Benetton International NV C-126/97 [1999] ECR I-03055, paras.39と41を参照。EUの公共政策に関する詳細な議論については、以下を参照のこと。Sacha Prechal and Natalya Shelkoplyas, 'National Procedures, Public Policy and EC Law.From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
[lxxvi] Anja Cervenka and Philipp Schwarz, 'Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts' (SchiedsVZ 2020, 78) 84.
[lxxvi] 同上。
[lxxvii] これらの問題およびその他の問題についてのより詳細な議論については、以下を参照してください。Alexander Blumrosen, 'The Allocation of GDPR Compliance in Arbitration' in José R Mata Dona and Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq; Cervenka and Schwarz, see n 76 above, 84-85.
[lxxix] 'The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes', (ICCA, February 2020), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, accessed 18 August 2021.
この記事は、Dispute Resolution International, Vol 15 No 2, October 2021に掲載されたもので、国際法曹協会(英国・ロンドン)の親切な許可を得て複製されています。© International Bar Association.