“snake oil”という言葉をきいたことはありますか?英語の俗語で、 「(万能薬と称して行商人の売る)いんちき薬(がまの膏の類)」のことです。
GDPRに関しては「これで万全」と謳った”snake oil”が数多く出回ったようです。内実は「セキュリティ関連商品」をパッケージ化して販売しようとするものであるそうです。
売るほうも売るほうですが、買うほうも買うほうで、GDPRが狂想曲の様相を呈している所以でしょう。ハウツーものが溢れかえる現代にあって、改めて「自分の頭で考える」力の大切さを感じます。
GDPR対応とは情報セキュリティと異なります。ある本では、データ保護(data protection)というのをやめてデータ・プライバシー(data privacy)と呼ぶのがよいと書いていました。データ・プライバシーという呼称はなかなかよいと思います。
引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。
—
1.主監督機関の特定:鍵となる考え方 (Identifying a lead supervisory authority: the key concepts.)
1.1 「個人データの越境処理」(‘Cross-border processing of personal data’)
1.1.1 「大きな影響を与える」(‘Substantially affects’)
GDPR4条(23)の定義中に’substantially affects’(大きな影響を与える)とあるのは、「越境処理」の範囲がある程度限定されていることを示すためです。ある単一の拠点の活動に関連して生じる処理が少しでも他の国のデータ主体に影響を与えれば何が何でも越境処理として扱うべきものである、というわけではないということです。
‘substantial’とは「十分な(ample)」、「かなりの量、大きさ(considerable amount or size)」、「相当な大きさ(sizable)」、「かなり大きい(fairly large)」、といった意味です。あるいは「確固たる価値(solid worth or value)のある」、「本当に重要な(real significance)」、「確固たる(solid)」、「重要な(weighty)」、「大切な(important)」といった意味です。
‘affect’とは「影響を与える(to influence)」、「物質的な痕跡を与える(make a material impression on)」といった意味です。’affect’から派生している”effect”という名詞には「結果(results, consequence)」という意味があります。すなわち、「ある人に影響を与える(affect)データ処理」とは、その対象に「影響(impact)」を与えるものでなければならない、ということとなります。
つまり、個人に対して大きな影響を与えることがないようなデータ処理は「越境処理」の二つ目の定義に当てはまらないと判断できます。
しかし、同じデータが、管理者、処理者が複数の加盟国に所在し、欧州加盟国二つ以上に拠点が所在する管理者、処理者の活動の一環として処理される場合は、一つ目の定義に当てはまることとなります。
二つ目の定義については、「大きな影響がある(substantial effect)」可能性を考慮しなければなりません。「実際的な影響(actual effect)」があったかどうかはそれほど重要ではありません。
「恐れがある(likely to)」という言葉は「可能性」を指し示しているため、「可能性」があるのであれば二つ目の定義が当てはまると捕らえるべきでしょう。
(次回に続く)
