fbpx

【徹底解説】GDPR(EU一般データ保護規則)とは何か概要を説明

来るべきGDPRの規制に伴い、個人データの管理者と処理者にはどのような義務が課せられるのか、また、組織はどのように準拠するべきなのか。

要約

本稿では、2016年4月27日に発行され、2018年5月25日から適用される新しいGDPR規制について検討する。

いわゆるデータ対象者である特定または識別可能な人物に関するデータを処理する組織は、GDPRを遵守する必要があり、そうしなかった場合の影響は相当なものになる可能性があります。罰金は、組織の全世界売上高の4%、または最高2,000万ユーロのいずれか高い方に達する可能性があります。

GDPRでは、管理者や処理者に課せられる義務が数多くありますが、その目的は明白ですが、特定の組織やシナリオに直接適用する方法を理解するのは難しいでしょう。このホワイトペーパーでは、主要な要件を見ていき、それらを実践的に理解するための助けを提供していきます。このホワイトペーパーには、組織が準拠するための実用的なGDPRチェックリストが含まれています。

GDPRのスコープ

GDPRは、自動化された手段によるデータ処理に焦点を当てていますが、自動化されていないファイリングシステムの一部を形成するデータにも関連することがあります。

大まかに言えば、欧州市民に関する個人データを処理する者は誰でも、管理者やデータ処理の拠点がEUにあるかどうかに関わらず、GDPRの規則の対象となります。

基本原理

GDPRは、個人データに適用されるいくつかの基本原則を定めています。

第一に、データは合法的に処理される必要があります。実際的には、これはデータ対象者が個人データの処理に同意しているか、処理者かデータ対象者かに関わらず、様々な法的義務の履行のために処理が必要であることを意味します。合法的な同意の定義については、以下の別項で説明します。

データは、指定された明確で正当な目的のためにのみ収集されるものとします。これは目的の制限と呼ばれる原則です。したがって、データ資産を特定かつ正当な目的にマッピングすることが求められます。

データの最小化とは、処理されるデータは、適切で、関連性があり、処理される目的に関連して必要なものに限定される必要があることを意味します。したがって、単に資産を目的に結びつけるだけでなく、収集したデータが適切性、関連性、必要性のテストに合格しているかどうかを継続的に確認し、合格していない場合はデータを消去する必要があります。

データは正確でなければならず、必要に応じて最新の状態に保つ必要があり、不正確なデータは消去または修正されなければならない。これはデータ管理者にとって明らかに困難な課題であり、これを解決する一つの方法は、時間の経過とともに変化する可能性のあるデータ資産またはカテゴリをセットとしてタグ付けし、これらのデータ資産を更新するための変更プロセスを確立することであろう。

データは必要以上に長く保存してはならない。これは、合法的な処理の根拠としての必要性が期限切れになったら、データを消去する必要があることを意味する。合法性が必要性に基づいている場合は、データ資産にその必要性の理由をタグ付けする必要があり、上記のデータの正確性に関するポイントと同様のレビュープロセスで、合法性の基準がまだ満たされているかどうかを定期的にチェックする必要がある。

管理者は、技術的および組織的な対策を用いて個人データの安全性を確保する必要がある。規則ではデータの完全性と機密性について述べていますが、これはデータが変更されておらず、データが暗号化されていることを意味します。GDPRでは、データ資産を保護するために暗号化を使用することを明示的に定めていますが、暗号化だけでは十分ではありません。データが紛失、破損、改ざん、破壊、不法処理されていないことを証明するためには、しっかりとした鍵管理プロセス、ポリシー、コントロールが必要です。

暗号化は技術的な手段でしか達成できないが、理論的には、鍵管理は手動のプロセス、ポリシー、および管理で行うことができる。しかし実際には、複雑なモバイル環境やクラウド環境では、鍵管理のポリシー、手順、コントロールを実行する自動化されたシステムが不可欠です。

同意

同意は、データ対象者による明確な肯定的な行為である必要があります。同意とは、「自由に与えられた、具体的で、情報を得た上で、データ対象者が自分に関する個人データの処理に同意していることを明確に示すもの」であると規定では定義されています。

それは、書面または口頭での声明である可能性があり、それはウェブサイトを訪問するときにボックスにチェックを入れることさえできますが、沈黙の同意、非活動性と事前にチェックを入れたボックスは同意を構成しません。

データ主体の権利

データ対象者は、GDPR によって定義された多くの権利を有しています。これらの権利は、管理者と処理者にとって、関連するデータ資産を迅速に特定し、必要な措置を講じるために検索するという点で、実用的な問題を引き起こします。以下に、留意すべき重要な権利をいくつか挙げます。

アクセス権は、データ対象者に、個人データが処理されているかどうか、処理の目的、データのカテゴリー、 データが誰に開示されるか、データに基づいて自動化された意思決定があるかどうか、データが保存されると予想さ れる期間を知る権利を与える。したがって、コントローラは、この追加情報を迅速に検索して提示できるようにするために、個人データに追加のタグを追加する必要があります。

データ対象者には忘れられる権利があり、これはデータ処理に同意しなくなった、または処理する必要がなくなったデータの消去を要求する権利を意味する。前述したように、このためには、管理者はデータ資産のインベントリを迅速に取得し、どのデータを消去することができるかを確認する必要があります。

データポータビリティの権利とは、データ対象者がいつでも自分に関する個人データを機械可読形式で受け取ることができるようにすることを意味します。この権利はまた、データ対象者がすべての個人データを簡単な方法で新しい管理者とデータ処理者に移動できるようにすることも目的としています。

コントローラとプロセッサの責任

GDPRでは、管理者と処理者の多くの責任について詳細に説明しています。主なものは以下の通りです。

処理者は、管理者の承認なしに他の処理者を雇用してはならない。管理者とデータ処理者の間の契約関係については、詳細な要件があります。

コントローラーは、その処理活動の記録を保持することが要求される。この文書には、必要な記録のテンプレートが添付されている。

セキュリティ

管理者は、処理されたデータの安全性を確保するために、明示的に暗号化を使用することが求められます。管理者は、本記事に記載されているように、基本的な原則、義務、およびデータ主体の権利に基づいて、データ処理を設計し、デフォルトで構築することが求められます。これは例えば、システムがデータ最小化の原則に従って設計されるべきであることを意味し、言い換えれば、適切で、関連性があり、必要なデータのみを保存することを意味する。そうすることで、違反があった場合の責任を軽減することができ、そうしないこと自体が規制の違反となり、責任を問われる可能性があります。データの最小化はゼロトラストの原則にも当てはまる重要な考え方です。ゼロトラストの実現方法に関心がある方は是非他の記事もご覧ください。

重要かつ明確な要件は、管理者および処理者が、管理者または処理者の権限の下で行動し、 個人データにアクセスできる者が、管理者からの指示がある場合を除き、個人データを処理しないようにする ための措置を講じなければならないということである。この後者の要件は、組織的または自動化されたものであっても、しっかりとした鍵となる管理方法と管理方法を採用することによってのみ、合理的に達成することができる。

違反通知

セキュリティ侵害が発生した場合、個人データの侵害が自然人の権利と自由に対するリスクをもたらす可能性が低い場合を除き、管理者は監督当局に報告する義務があります。実際には、これは、違反が発生したときにデータが暗号化されていれば、通知は必要ないという意味に翻訳することができます。

データ対象者への通知義務についても、上記と同じ原則が適用されます。いずれの場合も、違反がリスクにつながる可能性が低いと判断できるかどうかは、暗号化システムの価値は暗号化キー管理に勝るとも劣らないため、管理者が利用できる暗号化キー管理にも依存します。

個人情報の第三国への転送

第三国への移転の基本的な要件は、当該国が十分な保護水準を確保していると欧州委員会が判断したことである。欧州委員会は、関連する第三国のリストを欧州連合の官報に掲載するとともに、欧州連合のウェブサイトに掲載しなければならない。

管理者または処理者に個人データの転送または開示を要求する第三国の裁判所の判決および行政当局の決定は、その国と欧州連合(EU)との間の国際協定に基づいている場合に限り、いかなる方法でも認められるか、または強制力を持つことができます。

賠償責任

GDPRに違反して損害を被ったデータ主体は、被った損害の補償を受ける権利を有しており、その処理によって生じた損害については、管理者が責任を負うものとします。

責任の額は、侵害の性質や重大性、故意か過失か、その他多くの考慮事項によって決まる。しかし、責任のリスクを軽減するための鍵は、基本的な原則と管理者の一般的な責任を遵守するために行動が取られたことを証明する能力にあります。

基本原則、データ主体の権利、および個人データの第三国への移転をめぐる規則の違反に対しては、全世界の売上高の4%または2,000,000,000ユーロのいずれか高い方の最高責任が留保されます。

全世界の売上高の2%または1万ユーロの低額賠償責任は、処理システムのセキュリティ設計の不備を含む、より少ない侵害に適用されます。

考察

GDPRでは、時間をかけてデータをふるいにかけ、それを最新の状態に保つために、管理者や処理者に、現在の一般的なものよりも詳細なデータ資産のインベントリを要求しています。このインベントリは、データ主体の権利を迅速に遵守するための鍵となります。

暗号化技術は明確な要件ですが、暗号化されたデータにアクセスできるのは権限のある者だけであると判断する能力も必要です。これは、手動のポリシーと手順で達成するのは難しく、複雑であるため、デジタルでポリシーを実施する自動化されたシステムが必要とされています。

結論

コンプライアンスのポイントは、まず、データ資産のカテゴリーと、時間、適法性、目的などに関連した多数の修飾タグを包括的にインベントリ化し、容易に検索でき、監査可能な状態にする努力をすることである。関連するデータタグのテンプレートを以下に示す。これらのタグは、簡単に検索可能で監査可能なものでなければならず、基礎となるデータは、消去、変更、移動が可能なものでなければならない。

GDPRのもう一つの鍵は暗号化と鍵管理です。鍵管理のコントロール、手順、ポリシーを実施する自動化された暗号化と鍵管理システムは、データの量やデバイスの消費・保存量が増加し、ますます複雑化する環境において、この規制を遵守する唯一の方法であると考えられます。

SNSでもご購読できます。

コメントを残す

*