fbpx

データ保護とプライバシー

目的

データ保護は、50年代末にプライバシーの基本的な権利を採択した欧州人権条約から始まった長いヨーロッパの物語です。最初のコンピュータの誕生とインターネットの覚醒に伴い、欧州当局は1995年に世界初の主要なプライバシー法の一つであるEUデータ保護指令を採用することを決定しました。この指令では、企業は個人データの処理について透明性を持ち、そのデータを使用するための正当な目的を持ち、データの取り扱いに注意を払うことが求められました。

世界中で利用されている「クラウドコンピューティング」などの技術の急速な変化や、膨大な量の個人データを処理する大企業の発展に伴い、更新が必要となりました。これが、2016年にEUの立法者が「一般データ保護規則」(GDPR)を採択した理由の一つです。この新しい欧州のプライバシー法は、これまでよりもはるかに多くのデータが収集される世界において、プライバシーの関連性を維持するものです。

2018年5月25日、GDPRは発効し、1995年のEUデータ保護指令に取って代わりました。この新しい欧州のプライバシー法は、(i)世界レベルでの欧州のデータ保護のための新たな景観を創出すること、(ii)個人が自分に関連する個人データに関して持つ権利を強化すること、(iii)データがどこで処理されるかに関わらず、欧州全体でデータ保護法を統一しようとしています。

この文書の目的は、この新しい規則をどのように実施しているかを説明することにあります。

GDPRは何をカバーしていますか?

個人データ

GDPRは個人データの概念を拡大・明確化していますが、基本的には変わりません。

個人データとは、識別可能な自然人(「データ対象者」)に関する情報を意味します。識別可能な自然人とは、特に名前、識別番号、位置情報、オンライン識別子、または自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、社会的アイデンティティに特有の1つ以上の要素を参照することで、直接または間接的に識別可能な自然人を指します。

個人的な日付

GDPRは、個人データを処理する組織にのみ適用されます。一般的には、個人データに関わる自動または手動の処理を指します。

処理とは、収集、記録、組織化、構造化、保存、適応または変更、検索、相談、使用、送信による開示、普及またはその他の方法で利用可能にすること、整列または組み合わせ、制限、消去または破壊など、自動化された手段であるか否かにかかわらず、個人データまたは個人データの集合に対して実行される操作または操作のセットを意味します(GDPR第4条)。

領土の範囲

GDPRは2つの状況をカバーしています。

  1. EUに拠点を置く企業による個人データの処理は、処理がEU内で行われるかどうかに関わらず、すべて対象となります。
  2. EUに拠点を置いていない企業がEU内に所在する個人の個人データを処理する場合、処理活動がEU内のデータ対象者へのサービスの提供に関連している場合(域外法権主義の適用)も対象となります。

「領土の範囲」-本規則は以下に適用される。

  • 処理が組合内で行われるかどうかにかかわらず、組合内の組織の設立の活動に関連して個人データを処理すること。
  • データ対象者の個人データの処理活動が以下に関連している場合には、連邦内に設立されていない組織が連邦内にいるデータ対象者の個人データを処理すること。(a) データ対象者への支払いが必要かどうかに関わらず、商品やサービスの提供、または(b) 同盟内での行動の監視
  • 連邦内に設置されていないが、国際公法(GDPR第3条)に基づき加盟国法が適用される場所での管理者による個人データの処理。

GDPRには何が必要なのか?

EUに所在する個人の個人データを処理する組織(EUの内外を問わず)は、以下のGDPRの原則を遵守しなければなりません。

透明性のあるフェアでローフルな加工

  • 公正性と透明性は、個人データを公正に処理し、個人データがどのように処理されるのか、なぜ処理されるのかについての情報を提供します。
  • 適法性は、正当な法的根拠がある場合にのみ、合法的に個人データを処理します。データ処理は、以下の条件(GDPR第6条)のうち少なくとも1つを遵守しなければなりません。
  • データ主体がデータ処理に同意していること GDPRでは、同意を「自由に与えられた、具体的で、十分な情報を得た上で、声明または明確な肯定的行動を通じてデータ対象者の希望を明確に示したもの」と定義しています(GDPR第4条)
  • データ処理は、データ対象者が当事者である契約の履行のため、または契約締結前にデータ対象者の要求に応じた措置を講じるために必要です。
  • データ処理がデータ管理者の法的義務の一部である場合。
  • データ処理がデータ対象者の重要な利益を保護する場合。
  • データ処理が公共の利益のため、またはデータ管理者に与えられた公的権限の行使のために必要である場合。
  • データ処理は、データ管理者または第三者が追求する正当な利益の目的のために必要であり、そのような利益が、個人データの保護を必要とするデータ対象者の利益または基本的権利と自由によって上書きされる場合を除きます。

目的の制限

個人情報を収集するのは、特定の明確で正当な目的(GDPR第5条第1項)のためにのみ行います。個人の同意を得ている場合や、法律で認められている場合を除き、その後の処理はその目的に沿ったものとします。

データの最小化

収集された個人データは、「適切で、関連性があり、個人データが処理される目的に関連して必要なものに限定されている」ものでなければなりません(GDPR第5条第1項)。この原則について、組織は、目的に必要な最小限の個人データしか保存していないことを確認しなければなりません。

データの精度

データは「正確で、完全で、必要に応じて最新の状態に保たれている」ものでなければなりません(GDPR第5条第1項)。組織は、情報が正確で、有効で、目的に合ったものであることを確認することが求められています。この原則には、組織が処理および保存しているデータをどのように維持するかに対処するためのプロセスとポリシーを持たなければならないということが含まれています。

ストレージの制限

組織は、個人データを収集した目的のために必要な期間、またはさらに許可された目的のために必要な期間のみ、個人データを保管するものとします(GDPR第5条第1項)

誠実さと機密性

個人データは、「不法な処理、偶発的な損失、破壊、損傷からの保護を含む適切な安全性を確保する方法で」取り扱われなければならない(GDPR第5条第1項)。個人データを収集・処理する組織は、データ主体のセキュリティリスクと権利に応じた適切なセキュリティ対策を実施する責任があります。

デザインによるプライバシーとデフォルトによるプライバシー

デザインによるプライバシー(GDPR第25条) – この原則は、組織が新たな処理活動をデザインしたり、新たなサービスを開発したりする際に、プライバシー保護のための最小化、匿名化、適切な保護措置の実施など、GDPRの原則に従わなければならないことを意味しています。

デフォルトでのプライバシー – 組織は、デフォルトでは、処理の特定の目的に必要な個人データのみが処理されることを保証するために、適切な技術的および組織的措置を実施しなければならない。この義務は、収集された個人データの量、処理の範囲、保存期間、アクセス可能性に適用されます。

説明責任

EU居住者の個人データを処理する組織は、前述のすべての原則を遵守していることに責任を持ち、それを証明できるようにしなければなりません。これは、以下のことを意味します。

  • GDPR の遵守を確実にし、実証するための技術的および組織的な対策を講じること。これらの対策には、データ保護責任者(DPO)の任命、セキュリティとデータ保護方針の見直し、スタッフのトレーニング、データ処理の定期的な監査などが含まれます。
  • どのようなデータが、どのように、どのような目的で、どのくらいの期間、どのように処理されるかについての適切な文書を維持すること。
  • デザインによるプライバシーとデフォルトによるプライバシーを設定する。これには、最小化、偽名化、透明性などの原則の適用が含まれます。

データ処理をしているプレイヤーは?

GDPRでは、個人データの権利または個人データの義務のいずれかを持つことになるデータ処理活動の異なるプレーヤーを特定しています。

データ対象者

データ対象者とは、個人データが関係する自然人のことです。このデータ対象者は、GDPRによって保護されるためには、欧州連合内に所在していなければなりません。新しい欧州規則の主な目的は、個人データを組織に提供するこれらの個人の権利を強化することです。

データ管理者

データ管理者とは、個人データがどのような目的で、どのような方法で処理されるかを決定する自然人または法人のことです。

データプロセッサ

データ処理者とは、データ管理者に代わってデータを処理する自然人または法人のことです。

サブプロセッサの日付

副処理者とは、データ処理者の指示に従って個人データを処理することに同意するデータ処理者が選択した自然人または法人を指します。

輸入者の日付

データ輸入者は、十分な保護が確保されていないEU域外に位置する自然人または法人です。

日付 エクスポーター

データ輸出者は、適切なレベルのデータ保護が確保されていない第三国に設立された処理業者またはサブ処理業者に個人データを転送するデータ管理者を指定します。

GDPRプレイヤーの義務とは?

GDPRは、EUの個人情報を処理するすべての組織に対して、その所在地に関わらず、データプライバシー規制の範囲を広く拡大しました。

GPDRは、データ管理者とデータ処理者の間の義務と責任のバランスを根本的に変えます。指令95/46/CEの下での義務とは異なり、GDPRは個人データの処理において遵守すべき新たな義務をデータ処理者に課しています。

データ管理者

データ管理者の概念はGDPRの下では基本的に変更されておらず、その義務も同様です。GDPRに従って、データ管理者は以下のことをしなければなりません。

  • データ保護の原則を実施し、デザインによるデータ保護とデフォルトによるデータ保護の原則を尊重する適切な技術的な組織的措置を採用することにより、GDPR を遵守する(GDPR第 24 条第 1 項および第 25 条)
  • 採用した措置とその有効性を証明する文書でコンプライアンスを実証する(GDPR第30条)
  • 技術的・組織的な対策に関して十分な保証を提供するデータ処理者との契約を締結する(GDPR第28条第1項)
  • 個人データがどのように、なぜ処理されているのかを示すために処理活動を記録する(GDPR第30条第5項)
  • 監督当局に協力する(GDPR第57条)
  • 個人データの漏洩を知ってから72時間以内に監督当局に通知する(GDPR第33条)
  • 個人情報の漏洩が自然人の権利と自由に対する高いリスクをもたらす可能性がある場合には、個人情報の漏洩をデータ対象者に不当な遅延なく伝える(GDPR第34条)
  • 処理がデータ対象者の権利と自由に大きなリスクをもたらす可能性がある場合には、データ保護の影響評価を実施する(GDPR 第 35 条)

データプロセッサ

GDPRは、データ処理者に重要な新たな義務と責任を課しています。GDPRに従って、データ処理者は以下のことをしなければなりません。

  • データ管理者の指示に基づいてのみ個人データを処理する。
  • データ管理者は、データ管理者の指示に基づいてのみ個人データを処理し、サブプロセサーを利用する前に、データ管理者から書面による承認を得る(GDPR第28条第2項)
  • データ管理者は、そのサブプロセサー(第三者または子会社を含む)の身元について情報を提供し、サブプロセサーの追加または交代に関する変更の予定について情報を提供します。
  • 個人情報の機密性を確保する。
  • データ処理活動の記録を維持すること。
  • 契約終了時に、要求に応じてすべての個人データを削除したり、データ管理者に返却したりする(GDPR 第 28 条第 3 項)
  • データ管理者が実施するコンプライアンス監査に貢献する(GDPR 第 28 条第 3 項)
  • GDPR の規則と要件に準拠した契約書のテンプレートを使用する。
  • 定期的に内部コンプライアンス監査を実施する。
  • データ違反が判明した場合は、遅滞なくデータ管理者に通知する(GDPR 第 33 条第 2 項)
  • 個人データが第三国に転送される場合には、適切な保護措置を講じる(GDPR 第 46 条)
  • トレーニングセッションを通じた社内のプライバシー意識向上キャンペーンを推進する。

サブプロセッサの日付

GDPRでは、データ処理者は、データ管理者の事前の書面による同意なしにデータサブプロセッサを任命してはならないとされています。データ処理者とサプライヤー(データサブプロセッサー)との間の契約には、データ処理者とデータ管理者(依頼者)との間の契約と同じデータ保護義務が含まれています。

データ対象者の権利

GDPRでは、データ収集と処理活動に関連したGDPRの下で適用される通知、同意、その他の要件を考慮することに加えて、データ主体の権利が非常に重要視されています。GDPRは、消去権データポータビリティなど、既存の権利に新たな視点をもたらすデータ主体の新しい権利や保護を組み込むことで、個人の既存の権利を統合し、強化しています。

情報提供を受ける権利

この権利により、組織はプライバシー通知のような「公正な処理情報」を提供することが義務付けられています。GDPRでは、個人データの処理の「方法と理由」とデータ対象者の権利について、より詳細な情報を提供することが求められています。また、データ対象者が適切な措置をとることができるように、データ違反が発生した場合にデータ対象者に情報を提供する権利も含まれています。

アクセス権

個人は、自分のデータが処理されていることを確認し、それにアクセスする権利を有しています。アクセス権は、データ対象者に、人間が読める形でデータのコピーを要求する権利を与えます。

整流権

個人は、不正確なデータを修正してもらう権利、および/または補足データで不完全なデータを記入してもらう権利がある。

消去権

「忘れられる権利」として知られることもありますが、企業がデータの処理を継続するための合法的な根拠がない場合、個人は個人データを消去する権利があります。場合によっては、または個人データの種類によっては、会社がデータを消去しない代わりにその使用を制限することもあります(例えば、法的な請求があった場合にのみ使用できるようにするなど)。

処理制限権

先行指令の下では、個人は個人データの処理を「ブロック」したり、抑制したりする権利を持っていました。GDPRの下での処理の制限も同様である。処理が制限されている場合、個人データを保存することは認められていますが、それ以上の処理は認められていません。将来的に制限が尊重されることを確実にするために、個人に関する十分な情報だけを保持することが認められています。

データのポータビリティの権利

個人は、組織に提供した個人データを、一般的に使用されている機械読み取り可能な形式で受け取る権利があり、別の組織と共有することができます。

オブジェクトへの権利

状況によっては、個人は特定の目的のために個人データが使用されることに異議を唱える権利を有しています。例えば、ダイレクトマーケティングの受信や自動化された処理のみに基づく決定を受けることに異議を唱えることができます。

自動化された個別判断の対象とならない権利

GDPRは、人の手を介さずにダメージを与える可能性のある決定が行われるリスクに対する保護措置を提供しています。

SNSでもご購読できます。

コメントを残す

*