EU一般データ保護規制についての概要
2018.02.17
EU一般データ保護規制(GDPR)2018年5月25日に適用される。これにより権利と義務全般についての変更されることになる。この規制はその国籍に拘わらずEU居住者の個人情報を扱う(その収集と取扱いを含め)全ての民間および公共団体に適用するものです。違反に対する厳しい罰則により、企業はそのポリシーの見直しと、この新規枠組の順守を強く迫られる。
EU一般データ保護規制(GDPR)とは?
この改革条項は、EUが長年取り組んで来た“オフライン”障壁の解消方法と同様の方法で国家間のオンライン障壁の解消をすることを目的とするデジタル単一市場戦略に由来する。この新規枠組EUを拠点とする、EUで運営する、またはEUの消費者を対象とする組織に広く影響を及ぼす。
GDPRはEU全域のデータ取扱規則を単一のデータ保護機関を伴う単一の規則にとりまとめ、一元管理して下記の効果を得ることを目的とする:
1. 事業に関する義務の単純化(特に国家機関への報告義務)。
2. EU全域に渉る基準と手続きの整合性。
3. ビッグデータのような新しい概念に関する規則の更新。
4. 個人に個人情報へのアクセス権と個人情報の転送権与えることによる個人権利の強化。
5. データ保護機関により強力な捜査権と執行権を付与することによる説明責任の増大。
違反がもたらす結果
GDPRは厳格な規制であり、その違反は重大な結果を招くことに留意すべきである。罰金は状況によって決定されるが、影響評価違反、通告違反および証明書が出される場合などのような技術的施策違反の結果として罰金は1,000万ユーロ以上または違反企業の全世界での売上高の2%のいずれか高い額になる。更に深刻な違反の場合は2,000万ユーロ以上または全世界売上高の4%の罰金のいずれか高い額になる。
“個人情報”に関する新たな考え方– 第4章(1)
“個人情報”とは、識別された、または識別可能な自然人に関する情報(“データ主体”)を意味するものとする。識別可能人とは、直接、間接的に、特に名前、IDナンバー、所在地データ、オンラインのような識別手段、またはその人物に特定される肉体的、生理学的、遺伝子的、精神的、経済的、文化的または社会的識別手段の内の一手段またはそれ以上複数の手段との照合を以って識別することが可能な人物であるとする。
現在は、インターネットのクッキー、検索およびその類いの識別手段はこの定義に属することに留意することが重要です。
“匿名データ” –前文26, 28-29, 75, 78, 156;第4条(5)、6条(4)(e)、25条(1)、32条(1)(a)、40条(2)(d)、
89条(1)、
あるデータは“鍵データ”を使わなければ如何なる個人も識別できないように変更することができる。匿名データでひとつの良い例は臨床医療試験で使用されるコード化データセットである。GDPRの下では匿名データは依然として個人データである。然しながら、もし個人の識別を可能にする“キー”が別途に保管および保全されていれば匿名データに纏わる危険は少なくなる可能性があり、これらデータに対する保護の必要性は低くなる。GDPRはデータ保護手段としてかかる実施することを推奨している。
“同意” –前文25; 第4条(11)
データ主体の同意とは、情報提供され自由意思によってもたらされた明白な意思の表明であって、それによりデータ主体が発言または明らかな肯定的行為によって自身の個人情報の取扱いされることに対して同意を表明することを意味する。
同意を得る相手から有効な同意を得るプロセスは“明らかな肯定的行為”による“明白な表明”を必要とするので現在はより困難なものになっている。
今企業が行うべきこと
GDPRは企業に対しデータ取扱い作業の記録を保存し、如何にデータ保護の原則を順守しているかを示すよう求めている。それ故に、企業にはその準備の一部として下記の行動をとることが推奨されている。
1. 情報監査を実施する
企業は彼らが、どのような個人情報データを持っているか、その情報は何処から得て誰と共有しているかを文書に記録する必要がある。データの精度を検証し、そして誤りがあればそれを第三者に通告することになる。
2. プライバシーの通知を更新する
GDPRの目的のひとつとして、個人に対し個人データに関する権限を与えるkとがある。個人データが公平に、合法的に処理される必要がある。GDPR はデータの管理/収集者がデータ主体に対し、彼らが行うデータ処理の方法について報告することを求めている。プライバシー通知は透明かつ理解しやすく、無償で配布する必要がある。
企業は、最近は個人データがいろいろな方法で収集されていることを認識すべきである。しばしばデータはデータ主体から直接収集される(例えば顧客が自身のコンタクト先を所定のフォームに記入する場合)。然しながら、個人データはネットの検索やスマートデバイスによって、または他のデータセットに連なる情報に由来して、または個人のソーシャルメディア、ロケーションデータ、ショッピングデータを分析により間接的にも収集出来る。
下記は英国インフォメーション コミッショナーズ オフィスの作成によるもので、データ主体に開示すべき情報のリストである。
開示すべき情報 データ主体から直接取得したデータ データ主体から直接ではなく取得したデータ
データ管理者(および存在する場合はデータ管理者の代理人およびデータ保護監督官)の識別手段とコンタクト先の詳細 開示する 開示する
データを保有する目的と保有する法的根拠に関する情報 開示する 開示する
データ管理者および第三者(適用の場合)の法的権限についての情報 開示する
個人データのカテゴリーに関する情報 開示する
個人データの開示先または開示先のカテゴリーについての情報 開示する 開示する
個人データの第三国への転送についての詳細およびその保護対策についての情報 開示する 開示する
個人情報の留保期間または留保期間の設定基準についての情報 開示する 開示する
各データについてデータ主体の権利の存在についての情報 開示する 開示する
該当場面で随時、同意を取り下げる権利があることについての情報 開示する 開示する
監督官庁に苦情を申し立てる権利についての情報 開示する 開示する
個人情報の情報源およびそれが公開情報源であるが否かについての情報 開示する
個人情報の提供が法的または契約上の要件、または義務の何れかの一部を構成するものであるか、および個人情報提供に起因して発生の可能背がある結果についての情報 開示する
プロファイリングおよび意思決定方法についての情報を含めコンピュータ使用の自動的意思決定が存在することについての情報。 開示する 開示する
3. 個人の権利の再検討及びその実施
個人情報に関してGDPRが規定する個人の権利には下記を含む::
知らされる権利
閲覧する権利
修正する権利;
抹消する権利;
データの取扱いを規制する権利;
データポータビリティ権;
反対する権利
プロファイリングを含めコンピュータの自動意思決定に従わない権利
企業は前もって準備されている個人データについて閲覧および抹消のような個人の要求に対し如何に対応出来るかについて実務的な見地を検討すべきである。個人データは標準化され機械での読み取りを可能にする必要がある。企業は個人からの要求に対し1か月以内に回答し、要求が明らかに根拠のないものであるか、過剰なものでない限り無料で対応する必要がある。拒絶の場合は、要求者に対する拒絶理由と、彼らが監督官庁への苦情申し立ての権利および司法救済の道があることを通知する必要がある。
4. “データ保護効果アセスメント(PIA)”“プライバシー効果アセスメント(DPIA)”の実施を検討する
効果アセスメントはグッドプラクティスであるとされている。GDPRにおいてはデータ処理により個人に大きなリスクをもたらす結果となる場合、このアセスメントは必須である。その例とする状況は下記の通りである。
新技術が配備される場合。
プロファイリングの実施が個人に深刻な影響を及ぼす可能性がある場合。
特別なカテゴリーにおいて大規模なデータを処理する場合、
したがって、企業はDPIAを実施することが必要か否かを考慮し現実的なステップを踏まなければならない。
5. 同意獲得手順の再検討
企業は現在どのように同意を得ているかについて再調査を行い、それがGDPRの下でのより厳しい定義に対応していない場合は然るべく調整する必要がある。同意の記録は証明出来るものでなくてはならず、企業は日付付き同意の記録が推奨される。
6. 児童(16歳以下)の個人情報を考察する
GDPR には、特にソーシャルネットワークのような商業インターネットサービスについて児童の個人情報の特別な保護規定がある。企業は年齢確認および両親または保護者の許諾の取得に関する新制度を実施すべきか否かを検討する必要がある。
7. 個人情報保護管理者の任命を検討する
大手企業は個人情報について、もしその役職がまだ存在していないなら、法令遵守を管理し、記録をとって保管する個人情報保護管理者を置く必要性があることを認識すべきである。
GDPRの下、一定の場合個人情報保護管理者を指名する必要がある。例えば、ある関係者が“日常的、組織的に行う個人の監視”を“大規模”に行う場合である。 “日常的、組織的な監視”および“大規模”についての具体的定義は特にないが、“日常的、組織的な監視”にはインターネット上、広告目的のものも含めて、進行中の/日常的なトラッキング、プロファイリング用フォームの全てを含むとする欧州委員会の刊行資料から推測できる。“大規模”データの収集には例として下記が含まれる:
病院の業務上通常の手順として患者データを処理する場合。
公共の都市交通システムを利用して個人の旅行データを処理する場合(例えばトラベルカードからの検索)。
国際的ファーストフードチェーン顧客のリアルタイム位置情報をその処理の専門家が統計の目的で処理する場合。
保険会社または銀行が通常業務の一環として顧客情報を処理する場合。
宣伝目的の個人情報から検索エンジンを使用して情報を処理する場合。
電話またはインターネットサービスプロバイダーがデータ(コンテンツ、交通情報、位置情報)を処理する場合。
8. 管轄の個人情報保護監督機関を確認する。
法令順守のため、EU域内の2か国以上で運営する企業はその本社が所在する場所に従って管轄する個人情報保護機関がどこかを確認する必要がある。国境を越えてデータ処理を行う企業に関しては、主要な施設はその本社とするか、またはデータ処理の目的と方法を決定し実行する場所となる。企業の構成によっては、主要な施設の決定の際に、決定権者、データ処理者、データ収集者の所在を図示することが必要がある場合もあろう。
その他の記事はブログをご覧ください。
