言語

巨人の衝突GDPRと国際仲裁-未来への展望

出版物: 11月 10, 2021

概要に戻る

著者紹介

カトリーヌ・ラウダシュル

関連エキスパートガイド

はじめに

近年、個人データのプライバシーとサイバーセキュリティが国際仲裁の実際の実施に与える実際的な影響について、特に技術革新の絶え間ないペースを考慮に入れると、疑問が呈されている。

一般データ保護規則(GDPR)[1]は2020年5月に2回目の誕生日を迎えた。GDPRの個人データ保護の枠組みは、「特定または識別可能な自然人」[2]の個人データの自由な移動を確保することを目的としている。GDPRは、EU域内に適用され、EU域外にも及ぶ可能性のある域外適用範囲を有する[3][4]GDPRの制裁金は、違反した事業者の全世界における前会計年度の年間売上高の4%または2000万ユーロのいずれか高い方に相当する可能性がある[5]

個人データ保護法の仲裁への適用は確立されているが、その適用方法は確立されていない。そのため、国際商事仲裁評議会(ICCA)と国際法曹協会(IBA)は2019年2月、国際仲裁手続におけるデータ保護に関する合同タスクフォースを設置し、国際仲裁における個人データ保護に関する実践的なガイダンスを提供するガイドを作成することを目的とした。同タスクフォースは、2020年3月にこのガイドの協議草案を公表した[7]。本解説は、このロードマップ草案(ロードマップ)[8]に基づくものであり、ロードマップの最終改訂版は2021年9月に公表される予定である。本稿執筆時点で協議草案に対するコメント期限は過ぎているが、それでもロードマップの暫定版は、国際仲裁においてGDPRが提起する問題を例示するものである。したがって、このロードマップを議論の基礎として使用する。

ほとんどの個人データ保護法は仲裁手続において強制的である:

  • どのような個人データが処理されるか;
  • どこで
  • どのような手段で
  • どのような情報セキュリティ対策で
  • いつまで[9]

しかし、これらの拘束力のある義務を仲裁手続においてどのように遵守すべきかについては触れていない。規制当局からの具体的なガイダンスがない中、ロードマップは、仲裁の専門家が国際仲裁の文脈で受ける可能性のある個人データ保護およびプライバシー義務を特定し、理解するのに役立つことを意図している。さらに、GDPRによる保護の範囲は、主にEU域外で行われる仲裁にGDPR法が適用されるかどうかなど、国際的な仲裁手続において依然として関連している。GDPRが仲裁に適用されると判明した場合、さらに様々な影響がある。第一に、個人データ処理が禁止されているかどうか、第二に、EU域外への個人データの移転に制限があるかどうかである。最後に、サイバー攻撃の頻度が高まっているため、仲裁に対するこのような攻撃の結果、多額の損害賠償が発生する可能性がある。

本稿は、ロードマップに関する解説を提供し、国際仲裁手続における個人データ保護義務に関して考慮すべき実際的な方策を探るものである。ロードマップは、不完全ではあるが、これまでの国際仲裁を調和させるための様々なソフトローの試み、とりわけIBAや国連国際貿易法委員会(UNCITRAL)による文書を補完する有望なツールであると位置付けている。

まず最初に、GDPRの原則への言及を含むロードマップの簡単な要約を示す。これは包括的な概要ではなく、ロードマップの主なポイントを紹介することで、読者にその後の議論の文脈を与えることを意図している。次に、6つの論点について解説する:

  • EU域外で行われる仲裁へのGDPRの適用可能性;
  • Tennant Energy, LLC v. Government of Canadaで示された北米自由貿易協定(NAFTA)仲裁の文脈におけるGDPR、[10]
  • 国際仲裁におけるサイバーセキュリティに関するICCA-NYC Bar-CPRプロトコル」(サイバーセキュリティ・プロトコル)[11]、IBAのサイバーセキュリティ・ガイドライン[12]、COVID-19パンデミックの影響を緩和することを目的とした可能な措置に関するICCガイダンス・ノート[13]への言及を含む、COVID-19パンデミックを通じて重要性が大幅に増したビデオ会議の問題。
  • 第三者資金提供者」と、それらがロードマップにおいてどのように考慮されているか;
  • GDPRの濫用、特に非開示の盾としての濫用。
  • 個人データ保護要件の不遵守を、仲裁判断の無効化または承認・執行の拒否への道として利用する可能性。

最終的な考察は結論で述べる。

ロードマップ

個人および法人は、データ主体の個人データを保護する義務の対象となる。仲裁自体は個人データ保護義務の対象ではない。ただし、仲裁の参加者の1人だけが個人データ保護義務の対象となる場合、仲裁全体が影響を受ける可能性がある。個人データ処理が関連法、重要事項および管轄範囲に含まれるかどうかによって、個人データ保護法が適用されるかどうかが決まる[14]

現代の個人データ保護法は、データ主体に関する個人データが、関連する個人データ保護法の管轄範囲に含まれる活動中に処理される場合は常に適用される[15]。個人データには、「識別された、または識別可能な自然人に関連するあらゆる情報」が含まれる[16]。典型的な仲裁手続では、特に当事者、その弁護士、審判所、および第三者に関連する情報のかなりの部分が交換される。そのため、これらの情報は「個人データ」の定義に該当すると考えられる。データ主体」とは、特定または識別可能な上記の個人を指す[17]。処理には能動的および受動的な操作が含まれるため、個人データの利用、発信、削除、および個人データの受領、整理、保管が含まれる。[18]適用範囲は、EU[19]内の管理者または処理者の事業所の活動の文脈で個人データが処理される場合、およびEU域外に個人データが移転される場合(他の理由ですでにGDPRの対象になっていない事業体または個人)[20]など、域外での行為を含む。

仲裁人はデータ管理者として認定され、個人データ保護法の遵守に責任を負うことになる。ただし、「データ管理者」の定義[21]に基づき、弁護士、当事者、機関など、ほとんどの仲裁参加者[22]がデータ管理者と見なされる可能性が高い。データ管理者はデータ処理をデータ処理者[23]に委任することができ、データ処理者はその管理下に置かれ、適用される法律で規定された条件でのデータ処理契約を必要とする。従って、秘書、筆記者、翻訳者等はすべてデータ処理者とみなされる可能性が高い。さらに、データ処理の目的と手段を共同で決定する共同管理者の問題もある。共同管理者は広範に解釈されるが、共同管理者の責任は、管理者が決定した処理、その目的と手段のみに限定され、処理全体には限定されない[24]

国際仲裁において、管轄区域間の個人データ移転に関する制限は、個人データ保護法が適用される明白な方法である。異なる仲裁参加者の背景は、異なる個人データ保護制度の適用を決定する。現代の個人データ保護法は、個人データ保護基準の低い管轄区域への個人データの移転によって法的義務が回避されないようにするため、第三国への個人データ移転を制限している[25]。GDPRは、以下のいずれかに該当する場合、第三国への個人データ移転を認めている:

  • EU委員会が、その国が適切な個人データ保護を提供していると判断した場合;
  • 明示的にリストアップされたセーフガードのいずれかが実施されている;
  • 法的請求の確立、行使、または弁護のために必要な場合、移転が許可される。
  • 当事者のやむを得ない正当な利益[26]

これらの規則は仲裁参加者に適用され、仲裁全体には適用されないため、すべての仲裁参加者はどのような個人データ移転制限が適用されるかを検討することが義務付けられている。

仲裁において適用される個人データ保護の原則には、公正かつ合法的な処理、比例性、データの最小化、目的の限定、データ主体の権利、正確性、データセキュリティ、透明性および説明責任が含まれる[27]

これらの原則のうちいくつかについては、さらなるコメントが必要である。公正かつ合法的な処理とは、データ主体が合理的に期待する方法でのみ個人データを処理すべきであり、処理には法的根拠がなければならないことを意味する。公正の原則を適用する場合、当事者およびその弁護士は、あらゆる事実の状況において、個人がそのような方法で個人データが処理されることを予期していたかどうか、その個人データに不利な結果が生じるかどうか、およびその結果が正当化されるかどうかを自問する必要があります。この原則は、ビジネスメールで発見された個人データが証拠として認められることを妨げるものではない。

合法的な処理という概念は、事実に基づき、ケースに応じた法的根拠を伴う。同意に頼るのではなく、GDPRの特定の法的根拠を援用すべきである[28]

データ最小化(Data minimisation)」は、仲裁参加者に対し、適切で、関連性があり、必要なものに限定された個人データに処理を限定することを要求する[29]。[30]透明性は、データ主体が、一般的通知、特定の通知、またはその両方を通じて、個人データの処理および処理目的について通知されることを要求する[31]

個人データ保護の遵守は、仲裁自体だけでなく準備中も含め、国際仲裁手続の各段階に影響を及ぼす。仲裁参加者は当初から、どの個人データ保護法が仲裁参加者自身および他の仲裁参加者に適用されるか、またどの仲裁参加者が管理者、処理者または共同管理者として個人データを処理するかを検討すべきである。第三国の個人データ移転規則および第三者サービスプロバイダーに関する個人データ処理契約も考慮すべきである。文書の収集および検討プロセスにおいて、当事者およびその法律顧問は、処理活動および第三国の個人データ移転の合法的根拠を必要とする[33]

仲裁申立書およびその後の提出書類には、処理の範囲に属する個人データが含まれる。仲裁機関が適用される個人データ保護法に拘束される場合、各手続段階で適用される潜在的な個人データ保護義務を考慮する必要がある。仲裁機関がGDPRの適用を受ける場合、通常は個人データの管理者となる。GDPRの第13条および第14条を遵守するために、そのような機関はプライバシー通知にセキュリティ対策、データ主体の権利行使、記録保持、データ漏洩および保持方針に関する情報を含めるべきである[34]。ただし、投資家対国家の仲裁を管理する国際機関は、構成国またはホスト国協定における特権および免責により、個人データ保護法の適用範囲から除外される場合がある。したがって、ここでは特に、組織が個人データ保護法に拘束されるかどうか、仲裁参加者が特権と免責の対象となるかどうか、またどの程度まで対象となるかなど、別途検討する必要がある[35]

仲裁廷への仲裁人の選任中、一般的に相当量の仲裁人候補の個人データが交換される。仲裁参加者は、この個人データを処理する法的根拠を法的通知に含め、特に第三国への個人データ移転の場合には、任命が検討されている仲裁人に個人データの処理について明示的に通知すべきである[36]

仲裁が開始されたら、リスクを最小限に抑えるために、個人データ保護のコンプライアンス責任を早期に割り当てるべきである。個人データ保護は最初の手続き会議の議題に含めるべきであり、仲裁参加者は個人データ保護コンプライアンスにどのように対処するかについて、できるだけ早期に合意するよう努めるべきである。当事者、その弁護士および仲裁人は、コンプライアンス問題を効果的に管理するために、個人データ保護プロトコルの締結を検討すべきである。これが不可能な場合、代替的な選択肢として、審判所が手続き命令番号1にこれらを含めることができる[37]

文書作成・開示プロセスにおいては、個人データ最小化の原則が特に関連する。GDPRの下では、おそらく以下のことが要求されるであろう:

  • 開示される個人データを、関連性があり重複しないものに限定すること;
  • 回答資料に含まれる個人データを特定すること。
  • 不必要な個人データの修正または仮名化。

また、これらの問題は、手続の初期段階、できれば最初の手続会議かそれ以前に検討されるべきである[38]

仲裁判断の提示に関しては、仲裁人や機関は、個人データを仲裁判断に含める根拠と必要性を検討すべきである。仲裁が秘密である場合、それにもかかわらず、裁定が執行される際に公開されるリスクがある。個人データが冗長化されたとしても、データ対象者は裁定または関連資料の残りの部分から識別可能であるため、一般的には個人データのままである[39]

データの保持と削除はGDPRの下では処理とみなされ、個人データは「個人データが処理される目的に必要な期間を超えない限り、データ主体を識別できる形で保持されなければならない」と規定されています[40]。仲裁参加者は、どのようなデータ保持期間が合理的であるかを検討する必要があり、データ保持のニーズと対象者への影響とのバランスを取るために比例的なアプローチを取るべきである[41]

EU域外で行われる仲裁へのGDPRの適用可能性

一般データ保護規則の適用範囲は比較的広い。実務家は、EU域内に所在しているか否か、または仲裁が行われるか否かにかかわらず、その適用に留意すべきである。GDPRは、処理そのものがEU域内で行われるかどうかにかかわらず、EU域内に設立された管理者または処理者による個人データの処理に適用されます(第3条1項)。さらに、EU市民への商品やサービスの提供、またはEU域内で行われる行動の監視に関しては、EU域内に設立されていない管理者や処理者による個人データの処理にもGDPRが適用されます(第3条2項)。

仲裁手続きに適用されるGDPRは、仲裁手続きに直接適用されるのではなく、仲裁人、弁護士、当事者、機関など、GDPRの物質的・領域的範囲に含まれるデータ管理者および処理者に義務を課す。たとえEUに関係する仲裁参加者が一人であったとしても、GDPRに従って個人データを処理する義務を負うことになる。手続全体への影響が生じる可能性がある[42]

個人データを含む仲裁資料の移転が一般的である国際仲裁の文脈でおそらく最も注目すべきは、欧州経済領域(EEA)外の「第三国」への個人データの移転に課された制限である。このような場合、個人データの移転が許可されるには、4つの合法的根拠のいずれかが必要となる。まず、第三国への移転は、その第三国が適切性決定(第45条1項)の対象である場合に許可される[43]。[44] 妥当性決定がなく、適切な保護措置が実行可能でない場合、特定の適用除外に依拠することができる(第49条1項)[45]。最後に、前述がない場合、当事者は第三者の個人データ移転の合法的根拠として、やむを得ない正当な利益(第49条1項)[46]に依拠することができる。

ロードマップは、仲裁参加者が行うべき必要な検討を極めて包括的に示している。同書は、個人データ保護の原則および移転規則が適用されるのは仲裁参加者であり、仲裁そのものではないことを何度も強調している[47]。これに伴い、GDPRの適用を受けない非EU圏の仲裁に対するEUベースの仲裁人は、それにもかかわらずGDPRの個人データ処理および移転要件を遵守する必要があるというのが、推定上の結論である。これは商業仲裁手続においては確かに一般的に受け入れられている[48]が、投資家対国家の仲裁となると状況はそれほど明確ではない。

Tennant Energy, LLC対カナダ政府のケース

2019年、NAFTA第11章仲裁であるTennant Energy, LLC v. Government of Canada(Tennant)において[49]、請求人であるTennantは、法廷メンバーの1人が英国の国籍および居住地であることを考慮し、GDPRが手続きに適用されるという問題を提起した。しかし、審判所は当事者に対し、「欧州連合もその加盟国も締約していない条約であるNAFTA第11章に基づく仲裁は、推定上、GDPRの重要な範囲に含まれない」とする指示を出した[50]

条約に基づく仲裁と商事仲裁を区別することは重要であり、テナントは前者のカテゴリーに属する。ロードマップはこの区別に関わり、国際組織が個人データ保護法の範囲から除外される可能性があることを指摘している[51]。テナント仲裁の法廷メンバーは、常設仲裁裁判所(PCA)のオランダとの本部協定に由来する一定の免責の対象となる可能性がある。しかし、NAFTA廷は、国際機関であるPCAがGDPRの移転規則の適用を受けるかどうか、または廷員が同協定から一定の免責を受けるかどうかについては考慮していない。

Tennantの方向性は、GDPRのNAFTA手続への適用可能性や、より一般的な条約に基づく仲裁への適用可能性に関して、答えを提供するよりも多くの疑問を投げかけている。それにもかかわらず、ロードマップに照らし合わせると、Tennantの方向性は、このテーマが依然として極めて不確実であることを示している。ロードマップが、このような問題に直面する仲裁参加者に何らかの明確性をもたらすかどうかは、特にTennantの方向性が示された後に出されたにもかかわらず、後者について何ら検討の余地が与えられなかったことを考慮すると、せいぜい疑問が残る程度である。

ビデオ会議の問題

ロードマップは個人情報セキュリティの重要性を認識している。しかし、最近、バーチャルな審理を容易にするために追加的な技術が使用され、また在宅勤務が増加しており、その多くはコヴィッド19のパンデミックによって私たちに課せられた現在の状況に後押しされたものであるが、この問題はさらに重みを増している。サイバーセキュリティ・プロトコル[52]とIBAのサイバーセキュリティ・ガイドライン[53]は、この問題に光を当てている。

ロードマップと同様、サイバーセキュリティ・プロトコルもいくつかの基本原則を定めている。比例の原則が適用され、審判所はセキュリティ対策を決定する権限と裁量を有し、情報セキュリティは最初の訴訟管理会議で議論されるべき問題である。サイバーセキュリティ・プロトコルのスケジュールAは、仲裁の当事者が手続を保護するために使用できるチェックリストを提供している。

Covid-19の大流行による最近の勤務形態や環境の変化を受けて、これらの問題はより重視されるべきである。新しいビジネスのあり方を模索し、不確実な時代に適応することを迫られている世界において、法律部門が直面している問題のひとつは、制限と社会的距離を置く必要性とが結びついた審問の問題である。そのため、ビデオ会議の普及や、国際仲裁手続におけるビデオ会議の利用は、ロードマップが取り組むべき課題でありながら、少なくともまだ取り組んでいない。

多くの人がビデオ会議の問題点を議論し指摘しているが、ほとんどの人は、個人データ保護に関してだけでなく、一部のプラットフォームがセキュリティ攻撃の対象となっているように、セキュリティに関しても、個人データ保護法をどのように適用すべきかを取り上げていない[54]

上述したように、GDPRに関する仲裁では、当事者の役割の違い、すなわち誰が「データ管理者」であり「データ処理者」であるかを理解することが不可欠である。ビデオ会議ソフトウェアが、当事者のサービス利用によるユーザー名や電子メールアドレスなどの個人データを処理している場合、そのソフトウェアは「データ処理者」とみなされる。つまり、参加者のいずれかがEUに居住している場合、GDPR規則を遵守しなければならない。審判所は「データ管理者」であるため、このような遵守を確保することは審判所の責任となる。

国際商業会議所(ICC)は、ガイダンスノート[55]を発行し、サイバーセキュリティ・プロトコルとバーチャル・ヒアリングに関する条項案を当事者に提供している。これはセキュリティの側面に対処することを目的としているが、個人データ保護の側面については触れていない。ロードマップでは、仮想的に行われる審理に個人データ保護が適用される可能性と、それを遵守する方法について議論すべきである。GDPRはビデオ会議に関して満たさなければならない要件を規定しているが、その要件が直接適用される方法についての指針は示していない。

ロードマップは、特定のソフトウェア・プロバイダーに関する推奨はしていないが、その付属文書の中で他の様々な事項に関するチェックリストを提供しているように、ビデオ・ヒアリングのための理想的なソフトウェアの必要な仕様のリストを編集し、実務家に提供することは可能であろう。

第三者資金提供者の位置づけは?

第三者資金提供者とは、仲裁手続の非当事者であって、訴訟の結果に全面的または部分的に依存する金額と引き換えに、手続費用の全部または一部に資金を提供する取り決めを結ぶ者を指すと理解されている[56]。第三者資金提供者は、資金提供をしている、または資金提供を検討している仲裁手続の様々な個人データにアクセスできる。ロードマップは明示的に仲裁参加者のみを対象としているが、ガイダンスは個人データ保護要件の影響を受けるサービスプロバイダーにも関連性があると述べている[57]

ロードマップでは、サービスプロバイダーには「eディスカバリーの専門家、情報技術の専門家、法廷報告者、翻訳サービス等」が含まれる[58]が、第三者の資金提供者については明確に言及されていない。GDPRの下では、個人データの収集と保存は処理に含まれる。したがって、第三者資金提供者が他者から個人データを収集する場合、個人データ法が彼らにも適用されることになる[59]

GDPRは、「管理者または第三者によって追求される正当な利益の目的のために処理が必要である」場合、当事者が個人データを処理することを認めている[60]。このトピックに関するガイダンスは限られている[61]:

正当な利益の評価における最初のステップは、正当な利益を特定することである。仲裁の文脈では、正当な利益には、司法の管理、当事者の権利の尊重の確保、適用される仲裁規則の下での請求の迅速かつ公正な解決、その他多くの利益が含まれる可能性があります」[62]

他の多くの利益も含まれる」というのは、第三者資金提供者の正当な金銭的利益も含まれる可能性がある。もしそうであれば、彼らは明らかに仲裁手続の当事者とデータ処理契約を締結する義務を負い、個人データ保護規制および要件の範囲に含まれることになる。興味深いことに、ロードマップは、特に仲裁手続きに第三者資金提供者が含まれるようになってきたことを考慮し、第三者資金提供者がどのような位置づけにあるのかを明確に説明することを省略している。

非開示の盾

個人データ保護義務は濫用の可能性につながる。仲裁当事者は、手続きに関連する、または相手方から要求された情報開示を阻止するために、悪意を持ってGDPRを盾として使用する可能性がある。例えば、当事者は、文書に紛争とは無関係の個人データが含まれているとか、個人情報の冗長化が不当に負担になると主張して、開示請求に反対することができる[63]

ロードマップは濫用の可能性に対処している。このロードマップは、個人データ保護義務が訴訟手続きに影響を及ぼすリスクを低減するために、個人データ保護 義務をできるだけ早期に提起し、明確化することを提案している。参加者は「データ保護プロトコル」(特定の状況下で個人データ保護がどのように適用される かについての合意)の締結を検討すべきである。あるいは、署名されたデータ保護議定書の締結が不可能な場合は、手続き命令第 1 号でこれらの問題に対処すべきである[64]

比較の方法として、米国の訴訟における証拠開示時のGDPRコンプライアンスを見ることができる。米国連邦裁判所は、個人データ保護法を含む外国の法令に違反する可能性のある召喚状や証拠開示命令について、開示や遵守を命じるか否かを決定するためにバランステストを採用している[65]。米国連邦裁判所が見ている要因の非網羅的リストは以下の通り:

  • 要求された文書またはその他の情報の訴訟に対する重要性
  • 請求の具体性の程度
  • 当該情報が米国内で作成されたかどうか;
  • 情報を確保するための代替手段の利用可能性
  • 不遵守が米国の重要な利益を損なう程度[66]

連邦裁判所は、外国の個人データ保護法に違反する可能性があるにもかかわらず、開示を要求することが多い[67]

仲裁人は、当事者による開示を命じるかどうかを決定する際に、裁判所とは異なる考慮事項に直面する。1958年の外国仲裁判断の承認および執行に関する条約(ニューヨーク条約)に基づく取消しまたは執行拒否の脅威に鑑みて、仲裁人が競合する権利と義務を認識しなければならないというのは、文献[68]で主張されているとおり正しい。しかしながら、この見解は、司法不干渉の原則を考慮すると、開示命令が州裁判所による最小限の見直しの対象であるという事実を考慮していない[69]

手続き上の問題において裁判所に与えられている裁量に照らせば、取消しや執行拒否の脅威が中心的な考慮事項になるとは考えにくい。当事者がGDPRの義務を濫用して手続き上の潜在的な優位を得ようとすることは避けられないため、裁判所はデータ主体の利益のバランスを取る一方で、強固な証拠プロセスを維持するという困難な立場に置かれることになる[71]。ロードマップの勧告に沿って、できれば署名されたデータ保護プロトコルにおいて、手続きの開始時に個人データ保護の遵守義務を明確にすることが、このような行動をチェックするための前提条件となるようである。

取消しおよび承認・執行拒否への道としての個人データ保護要件の不遵守

ロードマップは、個人データ保護要件の不遵守を仲裁判断の無効化、またはその承認と執行の拒否に利用できるかどうかについては触れていない。当事者は仲裁判断に対して非常に限られた手段しか有していない。とはいえ、不成功に終わった当事者は、その結果に異議を唱え、仲裁判断に異議を申し立てるため、またはその承認や執行を阻止するために、主な一般的根拠のいずれかを使用することを望むかもしれない。

ニューヨーク条約は現在168カ国が加盟しており、国際商事仲裁における外国判決の承認と執行の主要な法的根拠となっている。同条約は第5条において、仲裁判断の承認および執行を拒否できる限定的な理由を規定している。現在の目的にとって最も注目すべきは、第5条(2)(b)が、加盟国の権限ある当局が、公序良俗に違反する仲裁判断の承認または執行を拒否する可能性を認めていることである[72]

仲裁判断が破棄される根拠は、法域によって異なる。広く採用されているUNCITRAL国際商事仲裁モデル法は、第34条2項に取消事由のリストを定めている。このリストはニューヨーク条約第5条を忠実にモデル化したものである[73]。第34条(2)(b)(ii)は、仲裁判断が国家の公共政策に抵触する場合、仲裁判断は裁判所によって破棄される可能性があると述べている[74]

欧州司法裁判所(ECJ)はEco Swiss v Benettonにおいて、EU法の優先的強行規定が基本的な公共政策の規則を構成することができ、その違反は国内法におけるそのような理由に基づく仲裁判断の取消事由を構成することができると判示している[75]。したがって、個人データ保護要件の不履行によって仲裁判断が無効とされるかどうか、またはその承認もしくは執行が拒否されるかどうかは、GDPRの規則が優先的強行規定とみなされるかどうか、その違反が国内公共政策に反するかどうかによって決まる[76]

ローマI規則の第9条(1)は、優先的強行規定とは、「自国の公共の利益を保護するために、その尊重がその国にとって極めて重要であるとみなされ、...他に適用される法律とは関係なく、その範囲内にあるいかなる状況にも適用される」規定であると定義している。CervenkaとSchwarzが以前に認識したように、GDPRの規則のほとんどは、EU法に従って強制的な規定を上書きすると考えられる。そのため、その違反は公共政策の違反とみなされる可能性がある[77]

個人データ保護要件の不遵守が仲裁判断の無効化または不承認・不実施につながる可能性は、様々な懸念を引き起こす。まず、すべての違反が同じ重みを持つとは限らないため、どの個人データ保護義務が無効な強行規定となるかを正確に定義すべきである。最終的には、ECJがさらなる明確化を求めることになるだろう。第二に、GDPR違反を根拠として裁定執行に異議を申し立てたり、争ったりする可能性が濫用される可能性についても考慮すべきであり、後日裁定に異議を申し立てる可能性を持たせるために、当事者が意図的に個人データ保護規則に違反することを防止する必要がある。最後に、個人データ保護規則が手続法または実体法のどちらを構成するのか、またどのような方法で構成されるのかを定義すべきである[78]

定義されるべきことは多いが、個人データ保護要件への不遵守が仲裁判断の承認と執行だけでなく、取消しに及ぼす影響についても言及されるべきである。ロードマップにこの点についての言及がないことは、非常に興味深い。

結論

ロードマップは、仲裁の専門家が、国際仲裁の文脈で受ける可能性のある個人データ保護およびプライバシー義務を特定し、理解するのに役立つことを意図している。しかし、先に述べたように、本ロードマップは、今日関連し、かつ差し迫ったいくつかの具体的な問題にはまだ対処していない。本稿で特定し、詳しく説明する6つの問題は以下の通りである:

  • EU域外で行われる仲裁へのGDPRの適用可能性;
  • NAFTA仲裁の文脈におけるGDPR;
  • バーチャル仲裁ヒアリングの問題
  • 第三者資金提供者とロードマップにおけるその位置づけ;
  • GDPRの濫用の可能性
  • 仲裁判断の無効化または承認・執行拒否への道筋としてのGDPR不遵守の可能性。

これらの問題は、今後数年でさらに関連性が高まると予測されるため、それぞれさらなる検討が必要である。これらがロードマップに含めるに値するものであることが示されたことを期待したい。

ロードマップに追加された附属書[79]は、専門家がこれらの要件に実際的に対処するのを助けることを意図している。データ保護チェックリスト、合法的利益評価チェックリスト、プライバシー通知例、EU標準契約条項が追加されたことは、いずれも非常に貴重なリソースであり、GDPRに準拠していることを確認する上で専門家が利用すべきものである。

しかし、異なる法域間の紛争状況においては、個人データ保護に関する様々な国内法制の違いが曖昧さにつながる可能性があります。ロードマップが提供するガイドラインは広範であるとはいえ、拘束力はない。過去にUNCITRALとIBAは、規則やガイドラインなどを通じて国際仲裁の調和を図ることに傾注してきた。UNCITRALとIBAが国際仲裁の様々な側面で試みてきたように、仲裁に関する個人データ保護の要件においても調和が切実に求められている。したがって、調和を念頭に置いて必要なガイドラインを設けるべきである。

国際仲裁の文脈におけるGDPRの遵守要件とその意味合いについての調和、理解、認識は依然として不足しているが、仲裁の専門家としては、現在ある法的枠組みでやりくりしていくことになるだろう。とはいえ、その欠陥にもかかわらず、ロードマップは、仲裁参加者の個人データ保護義務に関する共通理解の方向性において、大いに必要とされる心強い一歩を提示している。

リソース

  1. 個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日付欧州議会および理事会規則(EU)2016/679、指令95/46/EC(一般データ保護規則)の廃止、OJ 2016 L 119/1。
  2. 個人データ」はGDPR第4条で次のように定義されている:(1)「個人データ」とは、特定または識別可能な自然人(「データ主体」)に関するあらゆる情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置情報、オンライン識別子などの識別子、またはその自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、社会的アイデンティティに固有の1つ以上の要素を参照して、直接的または間接的に識別できる者をいう。
  3. GDPRの適用範囲は第3条で次のように定義されている:
    1. 本規則は、個人データの処理がEU内で行われるか否かにかかわらず、EU内の管理者または処理者の事業所における個人データの処理に適用される。

    2. 本規則は、EU域内に設立されていない管理者または処理者による、EU域内にいる情報主体の個人情報の処理に適用されます:

      (a)データ対象者の支払の要否にかかわらず、当該データ対象者に対して、EU域内で商品またはサービスを提供すること。

      (b)データ対象者の行動が連合内で行われる限りにおいて、その行動を監視すること。

    3. 本規則は、EU域内ではなく、国際公法により加盟国法が適用される場所において設立された管理者による個人データの処理に適用される。
  4. GDPR第4条の「処理者」の定義を参照。
  5. GDPR第83条4項。
  6. Largest fine under GDPR levied against Google」(Simmons + Simmons、2019年1月22日)、www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google;Joe Tidy「British Airways fined £20m over data breach」(BBC、2020年10月16日)、www.bbc.com/news/technology-54568784 参照
  7. ICCA-IBA Joint Task Force on Data Protection in International Arbitration」(ICCA)、www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration 参照、2021 年 8 月 18 日アクセス。
  8. The ICCA-IBA Roadmap to Data Protection in International Arbitration' (ICCA, February 2020), seehttps://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, accessed 18 August 2021.
  9. 同上、1。
  10. PCAケース番号2018-54。
  11. ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)', seehttps://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, accessed 18 August 2021.
  12. Cybersecurity Guidelines' (IBA, October 2018), see www.ibanet.org/LPRU/Cybersecurity, accessed 1 December 2020.
  13. ICC Guidance Note on Possible Measures Aim」(国際商業会議所、2020年4月9日)、2021年8月18日アクセス。
  14. ロードマップ、セクションB。
  15. 同上。
  16. GDPR第4条。
  17. 同上。
  18. GDPR第4条
  19. 同上、第3条(1)。
  20. ロードマップ、7。
  21. GDPR第4条。
  22. ロードマップは「仲裁参加者」を「当事者、その法律顧問、仲裁人、仲裁機関(のみ)を含む」と定義している。ロードマップ(n 3)、2参照。
  23. GDPR第4条。
  24. 2019年7月29日判決、Fashion ID GmbH & Co KG v. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, paras 74, 85を参照。2018年6月5日判決、Wirtschaftsakademie Schleswig-Holstein C-210/16, EU:C:2018:388; 2018年7月10日判決、Jehovan todistajat, C-25/17, EU:C:2018:551も参照。
  25. ロードマップ、11
  26. 同上、12。
  27. GDPR第5条および12-22条、ロードマップ14-15。
  28. 例えば、GDPRの下では、国際仲裁の文脈における個人データの処理は、データ主体の利益および基本的権利に基づく制限を条件として、データ管理者の正当な利益の目的のために必要な場合には合法的であり、機密データは仲裁の文脈において法的請求の免除(第9条2項(f))の下で処理される可能性がある。
  29. ロードマップ、19。
  30. 同上、20-21。
  31. 同上、30-31。
  32. 同上、32。
  33. 同上、33-36。
  34. 同上、37-39。
  35. 同上、37
  36. 同上、39
  37. 同上、40-41。
  38. 同上、42
  39. 同上、43。
  40. GDPR第5条(1)(e)。
  41. ロードマップ、44。
  42. Emily Hay, 'The Invisible Arm of GDPR in International Treaty Arbitration:Can't We Make It Goway Away?' (Kluwer Arbitration Blog, 29 August 2019),http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021を参照。
  43. EU委員会は、同国が適切なデータ保護を提供していると判断している。
  44. 国際仲裁の場合、これは標準的な契約条項となる可能性が高い。
  45. 法的請求の確立、行使または防御のために必要」な場合に移転を認める法的請求の免除は、仲裁の文脈で最も適用可能である。
  46. その高い閾値と通知要件により、やむを得ない正当な利益に依拠することは、実務的にはほとんど意味がない。EDPB, 'Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679', 6 February 2018 (Data Transfer Guidance)を参照。
  47. Roadmap, 8, 13.
  48. Emily Hay, 'The Invisible Arm of GDPR in International Treaty Arbitration:Can't We Make It Goway?' (Kluwer Arbitration Blog, 29 August 2019),http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/[accessed 18 August 2021]を参照。
  49. PCAケースNo.2018-54。
  50. Ibid, Tribunal's Communication to the Parties (Perm Ct Arb, 2019)。
  51. Roadmap, 37.
  52. ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)' (ICCA),https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, accessed 18 August 2021.
  53. サイバーセキュリティ・ガイドライン」(IBA、2018年10月)、www.ibanet.org/LPRU/Cybersecurity、2020年12月1日アクセス参照。
  54. Andreas Respondek, Tasha Lim, 'ICCA/IBA's Task Force on Data Protection 'Roadmap' Should address the GDPR impact on Video Conferencing in International Arbitration Proceedings' (Kluwer Arbitration Blog, 18 July 2020), seehttp://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, accessed 18 August 2021.
  55. COVID-19パンデミックの影響を緩和することを目的とした可能な措置に関するICCガイダンス・ノート」(ICC、2020年4月9日)2021年8月18日アクセス参照。
  56. 国際仲裁における第三者からの資金提供」(ICCA-QMUL レポート)(ICC, 2020 年 4 月 9 日):The ICCA-QMUL report', (ICCA, May 2018),https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.
  57. ロードマップ、2。
  58. 同上、23-25。
  59. GDPR第4条(2)、上記n1参照。
  60. GDPR第6条(1)(f)。
  61. Allan J Arffa and others, 'GDPR Issues in International Arbitration' (Lexology, 10 August 2020),www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, accessed 18 August 2021.
  62. ロードマップ、附属書5。
  63. Allan J Arffa and others, 'GDPR Issues in International Arbitration' (Lexology, 10 August 2020), seewww.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91accessed 18 August 2021.
  64. ロードマップ40-41。
  65. 例えば、以下を参照:David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395.
  66. Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992)。
  67. 'Foreign Data Protection Laws in U.S. Litigation and International Arbitration' (Baker Botts, 6 February 2020),www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitrationaccessed 18 August 2021.
  68. David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395.406.
  69. Gary Born, International Commercial Arbitration (2nd edn, Kluwer Law International 2014), 2335.
  70. 同書。ボーンはこの主張を補強するために以下の判決を引用している:2004年1月22日判決、Société Nat'l Cie for Fishing & Marketing 'Nafimco' v Société Foster Wheeler Trading Co.AG, 2004 Rev arb 647 (Paris Cour d'appel):証拠開示を命じる仲裁廷の決定は、その手続き上の裁量の範囲内であり、裁判所が見直すことはできない」、Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004):開示請求は「審判所の合理的な裁量権の行使の範囲内」である。
  71. Natalia M Szlarb, 'GDPR and International Arbitration at a Crossroads' (The National Law Review, 4 December 2019),www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, accessed 18 August 2021.
  72. ニューヨーク条約第5条(2):仲裁判断の承認及び執行は、承認及び執行が求められる国の管轄当局が、...(b)仲裁判断の承認又は執行が当該国の公共政策に反すると認める場合にも、拒否することができる」。
  73. 国連事務総長、国際商事仲裁モデル法草案に関する分析的解説、A/CN.9/264(1985年)、第34条、パラ6。
  74. UNCITRAL国際商事仲裁モデル法第34条(2):仲裁判断は、...(b)裁判所が...(ii)当該判断が本国の公共政策に抵触すると判断した場合に限り、第6条に定める裁判所により破棄することができる」。
  75. 1999年6月1日判決、Eco Swiss China Time Ltd v Benetton International NV C-126/97 [1999] ECR I-03055, paras.39および41。EUの公共政策の詳細については、以下を参照のこと:Sacha Prechal and Natalya Shelkoplyas, 'National Procedures, Public Policy and EC Law.From Van Schijndel to Eco Swiss and Beyond' (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka and Philipp Schwarz, 'Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts' (SchiedsVZ 2020, 78) 84.
  77. 同上。
  78. これらの問題やその他の問題についてのより詳細な議論は、以下を参照のこと:Alexander Blumrosen, 'The Allocation of GDPR Compliance in Arbitration' in José R Mata Dona and Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq; Cervenka and Schwarz, see n 76 above, 84-85.
  79. The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes', (ICCA, February 2020),https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, accessed 18 August 2021.

本稿は、Dispute Resolution International, Vol 15 No 2, October 2021に掲載されたものであり、国際法曹協会(英国、ロンドン)の好意により複製されたものである。© International Bar Association.

概要に戻る