前から、フォローしたいと考えていましてデータ保全(retention)についてのEUの判決例を読むいい機会ができましたので、そのためにメモを作ります。

とくに、データ保全の分野においては、昨年のQuadrature du NezⅡ判決（2024年４月30日 C-470/21）がながれを変えたと評価されているよう(たとえば、「Data Retention Laws and La Quadrature du Net II-A Necessary Adjustment to a Timely Problem」)なのですが、その前にまずは、EUCJ La Quadrature du Nez 判決（2020 年 10 月６日）(Case C-511/18、C-512/18、C-520/18)を呼んでみます。La Quadrature du Nez 判決（2020 年 10 月６日）(Case C-511/18、C-512/18、C-520/18)のリンクは、こちらです。

日本語での紹介については、田川義博「英国 IPA2016 と調査権限をめぐる司法判断～調査権限（ガバメント・アクセス）の人権制約の許容度を探る～」になります。形式的には、Case C-511/18、C-512/18、C-520/18の併合事件となります。以下、括弧内の数字は、判決の項数です。

1 事実関係

1.1 C-511/18

LaQuadrature du Netを初めとするネットワークプロバイダーが、Premier ministre（フランス首相）等との間で、情報機関によるテロ防止を目的として情報の取得を定めた国内治安法等の欧州法適合性の確認を求めたものです。

Code de la sécurité intérieure（国内治安法）の立法部分の第8編は、L. 801-1条からL. 898-1条において、情報に関する規則を定めています。議論された具体的な内容は、情報収集技術の利用・「接続データへのアクセス」ず。具体的には、以下の図になります。

 

ここで、論点として提出された(68項)のは、

• （1）［指令 2002/58］第 15 条（1）の実施規定に基づきプロバイダーに課せられた、一般かつ無差別の保持義務は、国家の安全保障に対する深刻かつ持続的な脅威、特にテロの脅威を背景に、［憲章］第 6 条で保証された安全保障の権利および国家の安全保障の要請（その責任は第 4 条［TEU］に従い加盟国のみが負う）によって正当化される干渉とみなされるべきか？
• (2) 欧州憲章に照らして解釈した場合、指令2002/58は、特定の個人のトラフィック・データおよび位置データのリアルタイム収集措置など、電気通信サービスプロバイダーの権利および義務に影響を与えるものの、プロバイダーにデータの保持に関する特定の義務を遵守させることを要求しない立法措置を認めるものと解釈されるか。
• (3) [憲章] の観点から解釈した場合、[指令 2002/58] は、接続データの収集手続きの適法性の前提条件として、データ対象者がその旨を通知されることが、もはや管轄当局による調査を妨げる恐れがない場合、または、そのような手続きが、救済措置への権利が有効であることを保証する他のすべての既存の手続き上の保護措置を考慮した上で、適法とみなされる場合があることを意味すると解釈されるか？救済措置が有効であることを保証する安全策があることを前提にして、適法と考えるか？

ということです。

1.2 C-512/18事件

C-511/18の当事者の間で、郵便・電子通信法典（Post and Electronic Communications Code）の第R10-13条、2011年2月25日付政令第2011-219号（オンライン上に掲載されたコンテンツの作成に貢献した人物を特定できるデータの保存および伝達に関する政令、等の適法性が争われたものです。

郵便電子法典(CPCE)のL. 34-1項は、トラフィックについてのデータの消去・匿名化の義務があるものの、義務の不履行に関する犯罪行為の調査、摘発、起訴、または自動データ処理システムの違反の防止を目的とする場合、および刑法典第323-1条から第323-3-1条、および知的財産法典第L.331-12条に定める司法当局または高等当局、または国防法典第L.2321-1条に定める情報システムセキュリティに関する国家当局が必要に応じて情報を利用できるようにすることを唯一の目的として、 特定の技術データの消去または匿名化を目的とした処理は、最長1年間延期することができるという規定があります。

また、CPCE 第 R.10-13 条は、上記の第 L.34-1 条第 III 項に従い、電気通信事業者は、刑事犯罪の捜査、検知、起訴を目的として、として(a) ユーザーを特定する情報、(b) 使用された通信端末機器に関するデータ、(c) 技術的特性および各通信の日時と持続時間、(d) 要求または使用された追加サービスおよびそれらのサービスプロバイダーに関するデータ、(e) 通信の受信者を特定するデータを保持しなければならない、と定めています。

ここで提起された法的な論点としては、73項ですが、

• （1）指令 2002/58 の第 15 条（1）の実施規定に基づきプロバイダーに課せられた、一般かつ無差別の保持義務は、一般かつ無差別の保持義務は、国家の安全保障に対する深刻かつ持続的な脅威、特にテロの脅威を背景に、［憲章］第 6 条で保証された安全保障の権利および国家の安全保障の要請（その責任は第 4 条［TEU］に従い加盟国のみが負う）によって正当化される干渉とみなされるべきか？
• (2) [指令 2000/31] の規定は、[憲章] の第 6 条、第 7 条、第 8 条、第 11 条および第 52 条(1)項に照らして解釈すると、オンライン公衆通信サービスへのアクセスを提供する事業者、および、オンライン公衆通信サービスを通じて公衆への提供を目的として、無料でさえ、 サービス、信号、文章、画像、音声、またはそれらのサービスの受信者が提供するあらゆる種類のメッセージを保存し、司法当局が、必要に応じて、民事および刑事責任に関する規則の遵守を確保するために、そのデータの伝達を要求できるように、提供するサービスのコンテンツの作成または一部に貢献した人物を特定できるデータを保持することを認める国家法を導入することを認めるものと解釈されるか？

とされています。

1.3 C-520/18事件

Ordres desbarreaux francophones et germanophone、Academie Fiscale ASBLなどとConseil des ministres（ベルギーの閣僚評議会）との間で、 未成年者に対する性的虐待の効果的な防止と処罰のための法的枠組みである2016年5月29日付電子通信分野におけるデータの収集および保存に関する法律（2016年5月29日付電子通信分野におけるデータの収集および保存に関する法律）（2016年7月18日付ベルギー官報、44717ページ；「2016年5月29日付法律」）の適法性が争われたものです。

2005年6月13日付法第126条（2016年5月29日付法により改正）は、インターネットを介したものも含む電話サービス、インターネットアクセス、インターネットベースの電子メールの一般向けプロバイダー、公共電子通信ネットワークのオペレーター、およびこれらのサービスのいずれかのオペレーターは、発信元および発信先を含むコンテンツ以外の通信データは、通信の日から12か月間保存されるものとする、端末機器のネットワークおよび本サービスへのアクセスおよび接続、ならびにそれらの端末機器の位置（ネットワーク終端点を含む）に関するデータは、通信の日から12か月間保存されるものとする、利用者または契約者を特定し、通信手段を特定できるデータは、最後に使用されたサービスを通じて通信が行われた日から12ヶ月間保存されるものとする、とされていました(通信内容には適用されない)。

そして、上記の保持されるデータは、以下の目的および条件に従い、第1項第1号に記載されたプロバイダーおよびオペレーターから、以下の当局のみが、単純な要求によって取得できるとされていました。
(1) 司法当局が、犯罪の捜査、発見、起訴を目的として、刑事訴訟法典第46条の2および第88条の2に規定された措置を実行するために、これらの条文に規定された条件に従って行う場合。
(2) この法律に定める条件に基づき、情報および安全保障サービス機関が、1998年11月30日付情報および安全保障サービス機関に関する基本法第16条2項、第18条7項および第18条8項に定める情報収集方法を用いて情報収集任務を遂行するため、
(3) 郵便・電気通信に関するベルギー研究所（Institut belge des services postaux et des télécommunications）に所属する司法警察職員で、第114条、第124条及び本条に違反する犯罪の捜査、発見及び訴追を目的とするもの
(4) 現場での支援を提供する緊急サービス。緊急通報を受けた後、当該プロバイダまたはオペレータから、第107条第2項第3号に規定するデータベースを用いて緊急通報を行った者を特定するデータを取得できない場合、または不完全または不正確なデータしか取得できない場合。要求できるのは通話者の識別データのみであり、要求は通話後24時間以内に行わなければならない。
(5) 連邦警察の行方不明者対策部門に所属する司法警察官は、危険にさらされている人への支援、行方不明となった人物の捜索、および行方不明者の健康状態が差し迫った危険にさらされているという重大な推定または兆候がある場合、その職務の遂行において、 第3項の第1号および第2号に該当するデータのうち、行方不明者に関するもので、データ要求前の48時間以内に保存されたもののみが、国王が指定する警察を通じて、関係事業者またはプロバイダーに要求することができる。
(6) 電気通信オンブズマンは、1991年3月21日付けの「経済的公共企業の改革に関する法律」第43条の2第3項第7号に定める条件に従い、電気通信ネットワークまたはサービスを悪用した人物を特定する目的

ここで提起された法的な論点としては、79項ですが、

• 1）欧州憲章の第6条で保証されている安全確保の権利、および欧州憲章の第7条、第8条、第52条（1）で保証されている個人データの尊重の権利と併せて解釈されるべき、指令2002/58の第15条（1）は、 電子通信サービスのオペレーターおよびプロバイダーに対し、(サービス提供の過程で生成または処理された)[指令2002/58]の意図するトラフィックデータおよび位置データの保持を義務付けるような国内法(その目的が重大な犯罪の捜査、摘発、起訴だけでなく、国家安全保障の保護、領土および公共の安全の防衛、重大犯罪以外の犯罪の捜査、摘発、起訴、または電子通信システムの禁止された使用の防止、 または、[規則2016/679(GDPR) ]の第23条(1)項で特定された別の目的の達成であり、さらに、データ保持およびそのデータへのアクセスに関して、その法律で特定の保護措置の対象となっているもの)を排除するのか？
• (2) [指令 2002/58] の第 15 条(1) は、[憲章] の第 4 条、第 7 条、第 8 条、第 11 条、および第 52 条(1) と併せて、電子通信サービスの運営者およびプロバイダーに対し、[指令 2002/58] の意味におけるトラフィックデータおよび位置データの保存を義務付ける国内法（サービス提供の過程で生成または処理されたトラフィックおよび位置データを保持する義務を、電子通信サービス事業者およびプロバイダーに課すものであってその法律の目的が、特に、憲章第4条および[7]条に基づき当局が負う積極的な義務を遵守すること、すなわち、未成年者に対する性的虐待の効果的な刑事捜査および効果的な処罰を可能にする法的枠組みを提供すること、および、電子通信システムが使用されている場合でも、犯罪の加害者を効果的に特定することを可能にすることを目的としている場合。）を排除するものと解釈すべきか？。
• (3) 憲法裁判所（ベルギー）が、第1問または第2問の回答に基づき、問題となっている法律がこれらの質問で言及された規定に基づく1つまたは複数の義務を履行していないと結論づけた場合、法的不確実性を回避し、以前に収集および保存されたデータを引き続き当該法律の目的のために使用できるようにするために、[2016年5月29日付の法律] の効果を一時的に維持することは可能であるのか？ 法律によって追求される目的のために、以前に収集され保存されたデータを引き続き使用できるようにするため、一時的に[2016年5月29日付の法律]の効果を維持することは可能だろうか？

2 法的争点に対する判断

2.1 eプライバシー指令の国内法排除の有無

論点１は指令2002/58の第15条(1)項 は、電気通信サービスプロバイダーにトラフィックおよび位置データの一般かつ無差別な保存を義務付ける国内法を排除するものと解釈されなければならないかどうか）というものである。

eプライバシー指令の範囲(87以下)

• 国内法は、同指令の要件を満たさないといけないという考え方
• 問題となっている国内法は、公共の秩序の維持および国内の安全と領土保全の保護に関連する限りにおいて、加盟国の不可欠な機能の一部であり、したがって、EU条約（TEU）第4条（2）項の第3文に特に示されているように、排他的な権限の範囲内にあるという考え方によって制定されているという考え方

という考え方がなりたちうるところ、

裁判所は、

• 指令2002/58はが除外しているのは、国家または国家当局の活動であり、個人が活動する分野とは無関係であること、(2 October 2018,Ministerio Fiscal, C-207/16, EU:C:2018:788, paragraph 32 )
• 同指令は、サービスのプロバイダーの活動を規制するものとみなさなければならないこと、

などから、同指令は、電子通信サービスのプロバイダーにトラフィックおよび位置データの保存を義務付ける立法措置だけでなく、そのデータへの国内の管轄当局のアクセスを認めることを義務付ける立法措置にも及ぶと解釈しなければならないと判断しました(98)。

また、EU条約第4条(2)項があるとしても、加盟国が自国の安全保障上の重大な利益を定義し、その内外の安全保障を確保するための適切な措置を採択することは加盟国の権限であるが、単に国家安全保障を保護する目的で国内措置が採択されたという事実だけでは、EU法を適用除外とし、加盟国がその法律に従う義務を免除することはできないとしました(104)。

eプライバシー指令15条(1)の解釈

裁判所は以前、同指令の第15条(1)の第1文に定められた目的のリストは網羅的であると判断しており、その結果、同規定に基づいて採択された立法措置は、真正かつ厳密に、それらの目的のいずれかに一致しなければならない 目的に一致していなければならないとしました(112)。そして、通信および位置データの保存は、それ自体、一方では、指令 2002/58 の第 5 条第 1 項で定められた禁止規定からの逸脱であり、他方では、当該のプライバシーに関する情報が機密情報であるか、または当該の干渉により関係者が何らかの不都合を被ったか否かに関わらず、憲章の第 7 条および第 8 条に定められた、プライバシーの尊重および個人データの保護という基本的人権への干渉であること(115)、トラフィックおよび位置データは、性的指向、政治的意見、宗教的、哲学的、社会的その他の信念、健康状態などのセンシティブな情報を含む、関係者の私生活の相当数の側面に関する情報を明らかにする可能性があること、電気通信サービスのプロバイダーによるそのようなデータの単なる保持は、悪用および違法アクセスのリスクを伴うこと、を強調しています(118)。

その一方で、基本権憲章6条の安全に対する権利、欧州人権条約（ECHR）第5条の「自由権」および「安全権」もあり、裁判所は、保護すべきさまざまな利益と権利のバランスを取ることを可能にする法的枠組みを確立すべきであるとして、個人データの保存を義務付ける法律は、常に、保存されるデータと追求される目的との間の関連性を確立する客観的な基準を満たさなければならないとしました(123-130)。

国家安全目的のためのトラフィックデータ・位置データの予防的保持の立法手段

国家の安全保障を保護することを目的とした、トラフィックおよび位置情報の予防的保存を規定する立法措置が正当化されるかという点については、原則として、関係当局が電気通信サービス事業者に、電気通信システムの全利用者のトラフィックおよび位置データを一定期間保存するよう命じることを認める立法措置を妨げるものではないとした(137)。

ただし、電子通信システムの全利用者のデータの予防的保存を命じる場合、その期間は厳密に必要なものに限定しなければならない(138)。電子通信サービスのプロバイダーにデータの保存を命じる指示は、そのような脅威が継続する性質のものであるため、更新される可能性があることは考えられるが、各指示の期間は予測可能な期間を超えることはできない。さらに、このようなデータ保持には制限が課され、濫用のリスクから関係者の個人データを効果的に保護することが可能な厳格な保護措置によって限定されなければならないこと、データ保持を実行するよう電気通信サービスプロバイダーに指示する決定は、審査の目的は、そのような状況が存在すること、および規定されるべき条件と保護措置が遵守されていることを確認することについての裁判所またはその決定が拘束力を持つ独立行政機関による効果的な審査の対象となることが不可欠であること、とされた。(139)とされた。

犯罪対策・公共安全の保護の目的のためのトラフィックデータ・位置データの予防的保持の立法手段

さらに、罪の防止、捜査、検知、起訴という目的に関しては、比例性の原則に従い、重大な犯罪に対処するための措置および公共の安全に対する重大な脅威を防止するための措置のみが、トラフィックおよび位置データの保存によって生じるような、憲章第7条および第8条に定められた基本権に対する重大な干渉を正当化できる(140)。したがって、犯罪行為の防止、捜査、発見、起訴という目的によって正当化されるのは、これらの基本権に対する重大でない侵害のみであること、重大犯罪に対処する目的で、トラフィックおよび位置データの一般かつ無差別な保持を規定する国内法は、厳格に必要な限度を超えており、民主的社会内において正当化されるとはみなされないとされた(142)。

重大犯罪の取締り、公共の安全に対する重大な攻撃の防止、そしてとりわけ国家の安全の保護という目的は、その重要性に鑑み、積極的義務によって生じる深刻な干渉を正当化できることから、深刻な犯罪の取締り、公共の安全に対する深刻な脅威の防止、および同様に国家安全保障の保護を目的として、予防措置としてトラフィックおよび位置データの対象を絞った保存を認める法律を加盟国が制定することを妨げるものではない。ただし、そのような保存は、保存するデータのカテゴリー、影響を受ける通信手段、関係者、および採用される保存期間に関して、厳密に必要なものに限定される(-147)。

犯罪対策・公共安全の保護の目的のためのIPアドレス・民間IDの予防的保持の立法手段

身元に関するIPアドレスおよびデータの予防的保存を規定する立法措置については、特定の通信とは無関係に生成されることから、他のトラフィックデータよりも機密性が低いとした上で、問題となっている権利と利益のバランスを考慮し、電子通信システムのすべての利用者と追求された目的との間に何の関連性もない場合であっても、電子通信サービスのプロバイダーに対し、犯罪行為の防止、調査、摘発、起訴、および公共の安全の保護を目的として、IPアドレスを保持することを義務づける法制は、データの利用を規制する実態的・手続的条件に厳密に従う場合、許容される(155)。

電子通信システムの全利用者の民事上の身元に関するデータを、特定の期限を定めることなく保持することを義務付ける立法措置を妨げるものではない。犯罪行為や公共の安全に悪影響を及ぼす脅威や行為が深刻である必要はないと判断している(158以下)。

重大犯罪対策のためにトラフィックデータと位置データの探索的保持を提供する立法手段

指令 2002/58においては、データを処理し保存しなければならない法定期間が終了した時点で、状況に応じて、そのデータを消去するか匿名化しなければならない(160)が、犯罪行為や悪影響を及ぼす行為がすでに立証されている場合と、関連するすべての状況を客観的に調査した結果、そのような犯罪行為や悪影響を及ぼす行為が合理的に疑われる場合などのように期間が終了した後もデータを保持する必要が生じる状況が発生する可能性がある(165以下)。

これらの考察のもと、2002/58指令第15条(1)項は、欧州憲章の第7条、第8条、第11条および第52条(1)項に照らして解釈されるべきであり、 第15条(1)に定められた目的のために、予防措置として、トラフィックおよび位置情報の一般かつ無差別な保持を規定する立法措置を排除するものであると解釈されなければならないとした。

もっとも、

1. 国家安全保障を保護する目的で、当該加盟国が国家安全保障に対する深刻な脅威に直面しており、それが現実のものであり、現在存在しているか予測可能であることが示されている状況において、電子通信サービスプロバイダーにトラフィックおよび位置データを一般的にかつ無差別に保持することを義務付ける指示に訴えることを認める立法措置。ただし、そのような指示を課す決定は、裁判所またはその決定が拘束力を持つ独立行政機関による効果的な審査の対象となる。その審査の目的は、 そのような状況が存在し、定められるべき条件および保護措置が遵守されていることを検証することを目的とし、そのような指示は、厳密に必要な期間に限定してのみ与えることができるが、その脅威が継続する場合には延長することができる。
2. 国家の安全保障、重大犯罪の取締り、公共の安全に対する重大な脅威の防止を目的として、客観的かつ非差別的な要因に基づき、関係者のカテゴリーまたは地理的基準に従って、限定的な期間、厳密に必要なものに限定してトラフィックおよび位置データの保持を規定する。これは、延長することが可能である
3.  国家の安全保障の保護、重大な犯罪の取締り、公共の安全に対する重大な脅威の防止を目的として、インターネット接続のソースに割り当てられたIPアドレスを、厳密に必要な期間に限定して、一般的に無差別に保持すること。
4.  国家の安全保障の保護、犯罪の取締り、公共の安全の保護を目的として、電子通信システムのユーザーの民事上の身元に関するデータを一般的に無差別に保持すること。
   が許容されることを示している(168)。

2.2 トラフィックデータと位置データの自動的分析・リアルタイム収集義務づけ・端末の位置に関する技術データのリアルタイム収集の義務づけの適合性

この部分の質問は、指令 2002/58 の第 15 条第 1 項は、

•  第一に、トラフィックおよび位置データの自動分析とリアルタイム収集
• 第二に、使用されている端末機器の位置に関する技術データのリアルタイム収集を可能にする措置

を、ネットワーク上で実施することを義務付ける国内法は、その処理および収集の対象となる関係者にその旨を通知する規定を設けていないため、排除されるものと解釈されなければならないか、というものです(169)。

フランスの国内治安法典CSIのL.851-2条からL.851-4条に規定されている情報収集技術は、電気通信サービスプロバイダーにトラフィックおよび位置データの保持に関する特定の義務を課すものではないこと、CSIの第L. 851-3条に言及されている自動分析に関しては、参照裁判所は、その処理の目的は、その目的のために確立された基準に従って、テロの脅威となり得るつながりを検出すること、CSI 第 L. 851-2 条に規定されているリアルタイム収集に関しては、当該裁判所は、この収集はテロの脅威と関連性がある可能性があると事前に特定された1人または複数の人物のみを対象としていることを認定しています。同裁判所によると、この2つの手法はテロ防止のみを目的として実施することができ、CSI 第 L. 851-1 条および R. 851-5 条に規定されているデータのみを対象とすることができます(170)。

トラフィックおよび位置データの自動分析

通信情報処理法典（L. 851-3）の条文のシステムは、本質的には、電気通信サービス事業者が保持するすべての通信および位置データのスクリーニングに相当し、当該事業者が、国内の管轄当局の要請に応じて、後者が設定したパラメータに従って実施するものであり、関係する電子通信サービス事業者にとっては、電子通信システムを利用するすべてのユーザーのトラフィックおよび位置データすべてを対象とするものであり、規則2016/679第4条(2)項の定義における自動操作の支援によるデータの使用という形で、管轄当局に代わって全般かつ無差別な処理を行うことを意味するとみなさなければならない(172)。トラフィックおよび位置データの自動分析を認める国内法は、電子通信および関連データの機密性を確保するという指令2002/58の第5条で定められた原則的義務を逸脱する。また、そのような法律は、そのデータがその後どのように使用されるかに関わらず、憲章の第7条および第8条に定められた基本的な権利に対する侵害にもなる。最後に、本判決の第118項で引用された判例法で述べられているように、そのような法律は、憲章の第11条に定められた表現の自由の行使に対する抑止効果をもたらす可能性が高い(173)。それらの自動分析による干渉は、電子通信システムを使用する人々のデータを一般的にかつ無差別にカバーするため、特に深刻である(174)。管轄当局による保存されたトラフィックおよび位置データのアクセスを管理する国内法は、本判決の第132項で言及されている判例法から導かれる要件を満たさなければならない。特に、そのような法律は、当局によるそのようなデータへのアクセスが当該法律が追求する目的に合致すべきであるという要件に限定することはできず、その使用を管理する実質的および手続的条件も規定しなければならない(176)。電子通信システムの全利用者のトラフィックおよび位置データの自動分析は、厳格に限定された期間に実施されるのであれば、指令 2002/58 の第 15 条（1）項に由来する要件を、憲章の第 7 条、第 8 条、第 11 条および第 52 条（1）項に照らして解釈した場合に正当化されるとみなされる可能性がある(178)。また、自動分析を認める決定は裁判所またはその決定が拘束力を持つ独立行政機関による効果的な審査の対象とすることが不可欠である。その審査の目的は、その措置を正当化する状況が存在し、定められるべき条件および安全対策が遵守されていることを確認することである。措置を正当化する状況が存在し、定めなければならない条件および保護措置が遵守されていることを検証することである。

そのようなデータ処理の基礎となるあらかじめ定められたモデルおよび基準は、第一に、特定可能で信頼性があり、テロ犯罪への参加について合理的な疑いがあると思われる個人を特定できる結果を達成できるものでなければならず、第二に、差別的であってはならないことに留意すべきである(180)。さらに、トラフィックおよび位置データの自動分析には必然的にある程度の誤差が伴うため、自動処理後に得られた肯定的な結果は、関係者に悪影響を及ぼす個別の措置が採択される前に、非自動手段による個別の再調査の対象としなければならない。そのような措置は、自動処理の結果のみに基づいて決定することはできないからである。同様に、事前に定められたモデルおよび基準、それらの使用、使用されるデータベースが、実際には差別的ではなく、国家安全保障に対する深刻な脅威となるテロ活動を防止するという目的に照らして厳密に必要なものに限定されることを確保するため、定期的に再審査を行い、事前に定められたモデルおよび基準、使用されるデータベースが信頼性があり最新のものであることを確保すべきである（182)

トラフィックおよび位置データのリアルタイム収集

フランスの国内治安法第L.851-2条に言及されているトラフィックおよび位置データのリアルタイム収集は、「テロの脅威と関連している可能性があるとして以前に特定された人物」に関して個別に許可されうる。さらに、その記述によると、「許可の対象となる人物の周辺に属する1人または複数の人物が、許可の目的に関する情報を提供できると信じるに足る相当な根拠がある場合、それらの人物それぞれに対しても個別に許可が与えられる可能性がある」とされている(183)。 また、同法典第L.851-4条に言及されているデータのリアルタイム収集に関して、当該規定は、端末設備の位置に関する技術データを収集し、内閣総理大臣に直属する部署にリアルタイムで送信することを許可している。当該データにより、当該許可の有効期間中、当該部署は、携帯電話などの使用されている端末設備をリアルタイムで常時特定することが可能になると思われる(185)。

このようなリアルタイム収集を認める国内法は、電子通信および関連データの機密性を確保するという指令 2002/58 の第 5 条に定められた原則的義務に反するものである。したがって、これは憲章の第7条および第8条に定められた基本的人権の侵害にもなり、憲章の第11条で保証されている表現の自由の行使を妨げる可能性もある。権限ある当局によるリアルタイムでの当該データへのアクセスは、非リアルタイムでのアクセスとは区別されなければならない。前者は、事実上、ほぼすべてのユーザーの監視を可能にするという点で、より侵害的である（187)。

本案で争点となっている国内法が追求するテロ防止の目的は、その重要性から、リアルタイムでのトラフィックおよび位置情報の収集という形での干渉を正当化する可能性があるが、そのような措置は、その特に侵害的な性質を考慮すると、テロ活動に何らかの形で関与している疑いがあるという妥当な理由がある人物に対してのみ実施することができる。そのカテゴリーに該当しない人物については、リアルタイムではないアクセス対象となる可能性があるが、それは裁判所の判例法によると、テロ活動に関与している場合など、特定の状況においてのみ発生し、そのデータが特定のケースにおいてテロ対策に効果的に貢献できると推測できる客観的証拠がある場合に限られる(188）。結局、そのような収集が許可される状況および条件を定義しなければならず、また、前項で指摘されたように、テロ防止という目的と関連性のある人物のみがそのような収集の対象となりうることを規定しなけれならない。さらに、リアルタイムでのトラフィックおよび位置情報の収集を認める決定は、国内法に規定された客観的かつ非差別的な基準に基づくものでなければならない。これらの条件が実際に遵守されることを確保するためには、リアルタイムでの収集を認める措置の実施は、拘束力のある決定を行う裁判所または独立行政機関による事前の審査の対象とすることが不可欠である。その際、裁判所または機関は、特に、リアルタイムでの収集が厳密に必要な範囲内でのみ許可されていることを確認しなければならない。正当に緊急を要する場合、審査は短期間で行われなければならない(189)。

データが収集または分析された人物への通知

トラフィックおよび位置データのリアルタイム収集を行う国内の管轄当局は、適用される国内手続きに従って、通知が当局の責任を負う業務を脅かす可能性がなくなった範囲で、かつ通知が可能な限り速やかに、関係者に通知しなければならない。影響を受ける者が、これらの措置の対象となった個人データへのアクセスを要求し、必要に応じて、その修正または削除を要求する権利を行使できるようにするため、また、欧州憲章第47条1項に従って裁判所による効果的な救済措置を利用できるようにするため、通知は確かに必要である。この権利は、欧州議会および理事会指令2002/58の第15条2項に明示的に保証されており 2002/58指令第15条（2）項に明示的に保証されており、規則2016/679第79条（1）項と併せて読まれる（190）。トラフィックおよび位置データの自動分析の文脈では、関係当局は、関係者に個別に通知することなく、その分析に関する一般的な性質の情報を公表する義務を負う。ただし、データが自動分析を認める措置で特定されたパラメータに一致し、かつ、当局が当該データについてより詳細に分析するために関係者を特定する場合には、その関係者に個別に通知することが必要である。ただし、その通知は、当局が責任を負う任務を脅かす可能性がなくなった範囲において、かつ、その通知をできるだけ早く行う必要がある（191）。

以上のすべてを踏まえると、C‑511/18事件における質問2および3に対する答えは、指令2002/58の第15条(1)項は、第7条、第8条、第11条および憲章の第52条(1)項に照らして解釈されるべきであり、電子通信サービスのプロバイダーが、まず、 とりわけ、トラフィックデータおよび位置データの自動分析およびリアルタイム収集、次に、使用される端末装置の場所に関する技術データのリアルタイム収集に頼ることを求める国内規則を排除するものではないと解釈されなければならない。そして、許容される場合としては、

• 自動分析に頼ることは、加盟国が真実かつ現在または予測可能な国家安全保障に対する深刻な脅威に直面している状況に限定され、そのような分析に頼ることは、裁判所または拘束力のある決定を下す独立行政機関による効果的な審査の対象となり得る。その審査の目的は、その措置を正当化する状況が存在し、規定されるべき条件および安全対策が遵守されていることを確認することである。
• リアルタイムでのトラフィックデータおよび位置データの収集は、何らかの形でテロ活動に関与している疑いを裏付ける正当な理由がある人物に限定され、そのようなリアルタイムでの収集が厳密に必要な範囲内でのみ許可されることを確保するために、裁判所またはその決定が拘束力を持つ独立行政機関による事前の審査の対象となる。正当に正当化された緊急事態の場合、審査は短期間で行われなければならない。

2.3 データ保持と電子商取引指令の関係

C‑512/18 事件の質問2は、第 6 条、第 7 条、第 8 条、第 11 条および憲章の第 52 条（1）項に照らして解釈された場合、指令 2000/31 の規定は、オンライン公衆通信サービスへのアクセスプロバイダーおよびホスティングサービスプロバイダーが、とりわけ当該サービスに関連する個人データを一般的にかつ無差別に保持することを義務付ける国内法を排除するものと解釈しなければならないかどうかを確認しようとしている 特に、それらのサービスに関連する個人データを無差別かつ全般的に保持することを求める国内法は排除されると解釈されなければならないかというものである(193)。

フランスの裁判所は、電子商取引指令 (2000/31) の範囲に含まれると主張しているが、指令 2000/31 の第 15 条（1）および（2）は、同指令の第 12 条および第 14 条と併せて読んだ場合、それ自体はコンテンツ作成に関連するデータの保持を原則として禁止するものではなく、 保持されるコンテンツ作成に関するデータの保存を原則的に禁止するものではない。ただし、憲章の第6条、第7条、第8条、および第11条に定められた基本的な権利が必ず尊重されなければならないことを踏まえると、その判断が下されるかどうかは不透明である。

さらに、付託裁判所は、LCEN第6条に定められた保存義務には、サービスを利用した人物の民事上の身元に関するデータ、すなわち、氏名、関連する郵便宛先、関連する電子メールまたはアカウントのアドレス、パスワード、および契約またはアカウントの購読料の支払いが必要な場合には、使用された支払い方法、支払い参照、金額、および取引の日時が含まれるが、これを政令第2011-219号と併せて解釈した場合に、その質問が提起される(195)。保存義務の対象となるデータには、加入者、接続、使用端末の識別子、コンテンツに割り当てられた識別子、接続および操作の開始と終了の日時、およびサービスへの接続とコンテンツの転送に使用されたプロトコルの種類が含まれる。このデータへのアクセスは、1年間保持されなければならず、民事および刑事責任に関する規則の順守を確保するために、刑事および民事訴訟手続きの文脈において、また、CSIの第L.851-1条が適用される情報収集措置の文脈において要求される場合がある(196)。

指令2000/31の情報社会サービスにサービスには、サービスの受領者の個別の要求に応じて、データの処理および保存用の電子機器を使用して遠隔地から提供されるサービス、通常は報酬と引き換えに提供されるサービス、例えばインターネットや通信ネットワークへのアクセスを提供するサービスやホスティングサービスが含まれる(198)が、指令 2000/31 の第 1 条（5）項では、指令 95/46 および 97/66 の対象となる情報社会サービスに関する質問には、当該指令を適用しないと規定している。この点に関して、指令 2000/31 の前文 14 および 15 項では、情報社会サービスにおける個人データの処理に関する通信および自然人の機密性の保護は、指令 95/46 および 97/66 のみによって規定されることが明確に示されている。後者の指令 97/66 は、その第 5 条において、機密性を保護するために、あらゆる形態の通信傍受または監視を禁止している。通信および個人データの機密保護に関する質問は、指令97/66および指令95/46をそれぞれ置き換えた指令2002/58および規則2016/679に基づいて評価されなければならず、指令2000/31が意図する保護は、いかなる場合においても指令2002/58および規則2016/679の要件を損なうものではないことに留意すべきである(200)。

国内法がオンライン公衆通信サービスへのアクセスプロバイダーおよびホスティングサービスプロバイダーに課している、それらのサービスに関連する個人データを保持することを義務付ける義務は、したがって、ラ・クアドルチュール・デュ・ネットおよびその他（C‑511/18 および C‑512/18、EU:C:20 20:6）で提案されたように、2002/58指令または2016/679規則に基づいて評価されるべきであり(201)、 したがって、当該国内法が対象とするサービスの提供が指令 2002/58 の適用範囲内であるか否かによって、当該指令、特にその第 15 条(1)項（憲章の第 7 条、第 8 条、第 11 条および第 52 条(1)項に照らして解釈される）または規則 2016/679、特にその第 2 3(1)条の観点から、憲章の同条項に照らして解釈される。 本件では、欧州委員会が提出した意見書で述べられているように、本判決の第195項で言及されている国内法が適用されるサービスの一部が、指令2002/58の定義する電子通信サービスを構成している可能性があり、その点については付託裁判所が確認することになる(203)。そして、裁判所は、インターネット接続サービスは、指令 2002/21 の意味における電子通信サービスを構成する(204)。規則 2016/679 の第 23 条（1）項により加盟国に付与された権限は、比例性の要件に従ってのみ行使されるべきであり、それによれば、個人データの保護に関する例外および制限は、厳密に必要な範囲でのみ適用されるべきである（210)。上記の見解および評価は、変更を加えて、規則2016/679の第23条にも適用される(211)

2.4 欧州法の優位性

この論点は、国内法に基づき、国家安全保障の保護および犯罪対策の目的を追求する観点から、とりわけ、電気通信サービスプロバイダーに、 その法律が指令 2002/58 の第 15 条第 1 項と矛盾しているという事実を踏まえ、憲章の第 7 条、第 8 条、第 11 条、および第 52 条第 1 項に照らして解釈すると違法性の宣言の一時的な効力を限定する国内法を適用しうるかという問題である(213)。

EU 法の優位性の原則は、EU 法が加盟国の法律よりも優位にあることを定めている。したがって、この原則はすべての加盟国の機関に対してEUのさまざまな規定を完全に履行することを求め、加盟国の法律は、それらの諸規定が自国内で与える効果を損なうことはできない（214)。優位性の原則に照らせば、国内法をEU法の要件に準拠して解釈できない場合、EU法の規定を適用する権限の行使において要請された国内裁判所は、必要に応じて、たとえ後に採択されたものであっても国内法の抵触する規定の適用を自らの判断で拒否し、EU法の規定を完全に適用する義務を負う(215)。

例外的な場合において、裁判所は、法の確実性を最優先する理由に基づき、EU法の国内法に対する排除効果の一時的な停止を認めることができる(216)。EU法の優先性および統一的な適用は、国内法の規定がEU法に違反している場合、一時的にせよ国内裁判所が国内法の規定に優先権を与える権限を有すれば損なわれることになる（217)。指令2002/58の第15条(1)項の不遵守は、憲章の第7条、第8条、第11条および第52条(1)項に照らして解釈した場合、前項で言及した手続きに類似した手続きによって是正することはできない。本案で争点となっているような国内法の効力を維持することは、電子通信サービスプロバイダーにEU法に反する義務を課し、データが保存された人物の基本的な権利を著しく侵害し続けることを意味する(219)。したがって、付託裁判所は、本訴訟で争点となっている国内法に関して、国内法に基づき下すことが義務付けられている違法宣言の時間的影響を制限する権限を付与する国内法の規定を適用することはできない(220)。

もっとも、EU法に違反する形で一般的に無差別にトラフィックおよび位置データの保存が行われた結果として取得された情報および証拠の使用を排除しているかどうかを問う問題については、EU法の現状では、重大な犯罪の容疑をかけられた人物に対する刑事訴訟において、EU法に違反するデータの保持によって得られた情報や証拠の許容性および評価に関する規則を決定するのは、原則として国内法のみである(222)。 とはいえ、EU法の要件に違反して取得された情報や証拠を排除すべきかどうかを判断するにあたっては、特に、対審の原則が侵害されるリスク、ひいては、そのような情報や証拠の許容性によってもたらされる公正な裁判を受ける権利に配慮しなければならないことは、裁判所の判例法から明らかである（この点については、2003年4月10日付のSteffensen判決、 C‑276/01, EU:C:2003:228, paragraphs 76 and 77). 裁判所が、当事者が裁判官が知識を有しない分野に関する証拠について効果的に意見を述べる立場になく、事実認定に圧倒的な影響を及ぼす可能性があると判断する場合には、公正な裁判を受ける権利の侵害を認定し、そのような侵害を回避するためにその証拠を排除しなければならない（226)。

以上の点を踏まえると、C‑520/18 事件における第 3 問に対する答えは、国内裁判所は、国内法に基づき、とりわけ国家安全保障の保護および犯罪対策を目的として、電気通信サービスプロバイダーに、2002/58 指令第 15 条（1）項と矛盾するトラフィックおよび位置情報の一般かつ無差別な保存義務を課す国内法に関して、違法性の宣言の時間的影響を制限する権限を付与する国内法の規定を適用することはできない、とした上で(227)、トラフィックおよび位置データの一般かつ無差別な保持によって取得された情報および証拠を、犯罪行為の容疑がかけられている人物に対する刑事訴訟手続きの文脈において、当該人物がその情報および証拠について効果的にコメントできない場合、また、その情報および証拠が裁判官がまったく知らない分野に関するものであり、事実認定に圧倒的な影響を及ぼす可能性が高い場合、国内の刑事裁判所が、(その証拠)を無視することを要求している(228)。

3 まとめ

3つの事件が併合されて判決がなされているので、込み入っていますが、それを整理した図は、こんな感じかと思います。

判示されている事項をまとめるとこんな感じです。

個人的には、データの保持と権限ある当局によるアクセスとでは、まったく性格確がことなるだろうと思うのですが、そのような考え方は、とっていないようです。どうも欧州の人権感覚というのは、？だなあと思っていたところで、すこし、破綻があらわれつつあるようです。ということで、Quadrature 2判決に続きます。