office-terakawa のすべての投稿

透明性のガイドライン(WP260 rev.01)を読む(29)

7月末に、オランダ当局が現地大企業30社に対し立ち入り監査を実施しました。
立ち入り監査まではしないだろうという意見も以前はあったのですが、この情報を見ていると、GDPRへの準拠を当局も相当真剣にもとめているように感じますね。
欧州と取引のある企業様は少し注意をされたほうがよいかもしれません。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<追加の処理に関する情報>
【48】
情報通知のタイミングはデータ主体の権利行使と結びつけて考える必要があります。
公正な処理(fair processing)を実現するための方法として、適切なタイミングでの情報通知は非常に重要です。
透明性の原理を担保するGDPR第13条、GDPR第14条の要件は、公正な処理(fair processing)とも関連しています。

「追加の処理(further processing)」は、「情報通知」後十分な時間をとって行うのが「公正な処理」とWP29は考えています。
「追加の処理」についての情報通知後ただちに当該処理が行われてはなりません。十分な時間をデータ主体に提供する事で、管理者は「透明性」を確保できますし、データ主体は「追加の処理」について十分考慮する時間を得られるということとなるでしょう。(権利行使を行うための時間もデータ主体は確保できることとなりますね)

「十分な時間」とはどの程度の時間でしょうか?
これは、一概には言えません。一点言えることは、追加の処理が侵害度の大きい処理である場合や、通常のデータ主体の想定を超えている場合にはより長い時間が必要ということでしょう。

管理者は、情報を通知するタイミングについても説明責任を負います。
情報通知を行うためのタイミングとしてなぜそのタイミングを選択したのか、全体としてそのタイミングがデータ主体に対してなぜ公正(fair)といえるのかについて管理者は説明できなければなりません。

(情報通知を行う適切なタイミングについては【30】、【32】も参照のこと)

透明性のガイドライン(WP260 rev.01)を読む(28)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<追加の処理に関する情報>
【46】
The controller shall provide the data subject prior to that further processing with information on that other purposes and with any relevant further information as referred to in paragraph 2.
「管理者は当初の目的以外の追加の処理を行う前に、データ主体に対してパラグラフ2で言及された追加の情報を提供しなければならない」

と記載されているからといってGDPR第13条(2)GDPR第14条(2)の内容を情報通知する必要がないと理解してはなりません。ここで記載されている情報が欠損している、または適用されない場合を除いて、ここで記載さえている情報を提供することは義務です。

【47】
WP29は、「同意」または「加盟国法/EU法」いがいを適法根拠とする場合、GDPR第6条(4)で記載される適合性分析をprivacy statement/noticdの中で行い、データ主体がその情報を入手可能としておくことを推奨しています。これによって管理者は透明性、公平性、説明責任を果たすことができます。

追加の目的での処理を行う際、当初の目的と比べてなぜその処理の目的が合致しているといえるかを説明するとよいでしょう。

データ主体は、管理者の行った分析を見てその妥当性を検証することができます。異議があればデータ主体の権利行使を行う(例えば制限権を行使する等)ことができる余地が生まれます。仮に、管理者がそのような情報をprivacy notice/statementに記載しないことを決めた場合は、データ主体に、そのような情報が入手可能な旨を通知することをWP29は推奨しています。

透明性のガイドライン(WP260 rev.01)を読む(27)

中国のサイバーセキュリティー法は話題になることが多いのですが、それほど特殊な問題は生じないようです。
GDPR対応をきっかけにデータ・プライバシーへの取組みを定式化できていれば追加で必要な作業はあまりないでしょう。

最近はむしろ、AIやIoTとデータ・プライバシーとの関係が大きな関心を呼んでいます。
今読んでいる透明性のガイドラインはこの分野について理解する上でも大切な概念を提供してくれています。

法律はいつも遅れて登場します。法律を待っていては開発もままならない状態となるでしょう。指針がない中で良心に従って開発を進めることが求められる。それが新技術の醍醐味です。データ・プライバシーの専門家は、グローバルに展開するビジネスに指針を与える存在でなければなりません。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<追加の処理に関する情報>
【45】
GDPR第13条GDPR第14条も、取得された目的以外に追加で個人データを処理する意図があるかについてデータ主体に知らせるよう義務付けています。

The controller shall provide the data subject prior to that further processing with information on that other purposes and with any relevant further information as referred to in paragraph 2.
「管理者は当初の目的以外の追加の処理を行う前に、データ主体に対してパラグラフ2で言及された追加の情報を提供しなければならない」

これは処理の原則のうちGDPR第5条(1)(b)に対応しています。
すなわち、個人データは、特定され、明確で、合法な目的のために取得されなければならず、それらの目的に合致しない追加の処理は禁止される、という原則を遵守する上で上記の対応を行うことが重要です。

ただし、GDPR第5条(1)(b)の後半部分では、公共の利益のため、科学的調査または歴史的調査、統計目的については、GDPR第89条(1)に準拠する場合、初期の目的に対して合致しないとは考えないとされています。

当初の目的に合致する目的のもと追加で個人データが処理される場合はGDPR第13条(4)GDPR第14条(4)が適用されます。(GDPR第6条(4)でこの問題が取り上げられています。)
個人データを取得時、または個人データの取得文脈で、そのような処理が行われることをデータ主体が合理的に予測することができるかどうかが大切だというのがGDPRの立場です。
還元すれば、データ主体が自身の個人データの処理の目的について驚かないことが大切だ、ということです。

透明性のガイドライン(WP260 rev.01)を読む(26)

最近、投稿が遅れ気味で申し訳ないです。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<その他の問題:リスク、ルール、安全保護策>
【43】
GDPR第25条で取り上げられているData Protection by Design and by Defaultも透明性の原理に関係します。
Data Protection by Design and by Defaultは、新規に業務を行う場合やシステムを作る際に、管理者がデータ保護を考慮するよう要求するものです。
コンプライアンスのために最後にデータ保護を考えるということは避けてください。

GDPR前文78では、管理者がData Protection by Design and by Defaultを実践する際、その機能についての透明性を保ち、かつ個人データの処理についての透明性を確保するようにかかれています。

【44】
共同管理者がいる場合、そのリスク、相互で結んでいるルール、及び安全保護策についてデータ主体に知らせておかなければなりません。
共同管理者についてはGDPR第26条1項で、双方が透明性を保った形でGDPRの義務を遵守するよう取り決めることが求められています。特にGDPR第13条、GDPR第14条で定められるデータ主体の権利行使に対して双方が担う義務について事前に取り決めが必要である旨が指摘されています。GDPR第26条2項では双方の役割分担のエッセンスがデータ主体に伝えられることを要求しています。

還元すれば、共同管理者がいる場合、データ主体は権利行使をする際、どちらの管理者に連絡を取ればよいか明確でなければならない、ということです。

透明性のガイドライン(WP260 rev.01)を読む(25)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<その他の問題:リスク、ルール、安全保護策>
[42]
GDPR前文39には、GDPR第13条GDPR14条で明示的に示されていない内容についての記載があります。
ここではデータ主体が個人データ処理についてのリスクや適用されるルール、安全保護策、権利について周知されることを要求しています。

(Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing.)

そのための方法の一つがDPIAの公開です。WP29の出しているDPIAについてのガイドランで述べられているように、DPIA(またはその一部)を公開することはデータ主体の信頼を得るための一助となるだけではなく、透明性や説明責任の義務を果たしていることを示す有効な手段でもあります。GDPR第40条で示されるcode of conduct(行動規範)に準拠するということも、透明性の確保のためには有効な方法といえます。code of conduct(行動規範)は、公正で透明性のある処理、情報の一般公開、データ主体への情報公開子供への情報提供、子供の保護、といった問題への対応を実現してくれます。

透明性のガイドライン(WP260 rev.01)を読む(24)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<プロファイリングおよび自動化された意思決定についての情報>
[41]
GDPR第22条(1)およびGDPR第22条(4)で述べられている通り、プロファイリングを含む、自動化された意思決定についての情報は、使用されているロジックおよび当該処理がデータ主体にもたらす重大で、かつ管理者が意図する結果と共にデータ主体に提示されなければなりません。(GDPR第13条(2)(f)およびGDPR第14条(2)(g))

ある特定のプロファイリング環境において、透明性の原理に基づく説明が提供されるべきかについてはWP29が出している、「プロファイリングを含む自動化された意思決定についてのガイドライン」(WP251)を参照してください。GDPR第13条(2)(f)およびGDPR第14条(2)(g)に関連する、プロファイリングを含む、自動化された意思決定に限った話ではなく、データ主体は自身の個人データ処理について驚かされることがあってはならないという原則はGDPR第22条に当てはまらないプロファイリングについても該当することを忘れてはいけません。

透明性のガイドライン(WP260 rev.01)を読む(23)

7月23日(月)から7月25日(水)までシンガポールに出張していました。IAPPのアジアプライバシーフォーラムに参加していました。
そのため、セキュリティ設定の関係で投稿ができていませんでした。本日順次記事をアップしていきます。

プライバシーフォーラムのレポートも書いていきます。お楽しみに。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<その他の「適切な方法」の種類>
[40]
欧州域内ではインターネット接続が日常的に行われており、データ主体は、さまざまな場所から異なる機器を用いていつでもオンラインとなることが可能であるため、WP29は、管理者がデジタル/オンラインでのプレゼンスをメンテナンスしている場合、透明性の原理に関する情報「適切な方法」とは電子媒体によるprivacy statement/noticeを表示することであるという立場をとっています。

しかし、データ取得/処理の状況によっては、データ管理者は情報提供の方法として追加の(または、データ管理者がデジタル/オンラインでのプレゼンスを持たない場合は、代替となる)様式またはフォーマットを採用しなければならないこともあります。

環境ごとでデータ主体に情報を伝える方法として使うことができるだろう様式を以下にまとめています。前述したように、最も重要な情報がデータ主体とコミュニケーションを行う最初の様式の中で必ず確実に伝えられなければなりません。(【36】、【38】参照)その他の情報については階層アプローチを用いて、他の様式と組み合わせて使用することが可能です。

a) ハードコピー/紙面の場合(郵送によって契約締結を行う場合)
書面の説明、リーフレット、契約書内の情報、マンガ、インフォグラフィックス、またはフローチャート

b)電話による場合
質問に答えられるように人による口頭説明を行う、より詳細な情報を聞くオプションを備えた自動/事前録音による情報提供

c)Wi-Fiトラッキング分析等スクリーンを持たないスマート・テクノロジーやIoTの場合
アイコン、QRコード、ボイス・アラート、設定要領書に詳細情報を記載、デジタル版設定要領書にビデオとして含む、スマートデバイス上に記載された情報、SMSまたはe-mailで送付されるメッセージ、情報を含んだ目に見えるボード、公共の場所での看板、公共の場所での情報キャンペーン

d)人対人の場合:例えば意見調査、人を介したサービスへの登録等
口頭での説明、またはハード・コピーまたはソフト・コピーで提供される記載された説明

e)CCTVやドローンによる録画という「リアル・ライフ」の環境:
情報を含んだ目に見えるボード、公共の場所での看板、公共の場所での情報キャンペーン、新聞やメディアでの通知キャンペーン

透明性のガイドライン(WP260 rev.01)を読む(22)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<"push"方式または"pull方式"のnotice>
【39】
透明性の原理に基づいた情報通知のもう一つの方法が、”push”方式または”pull”方式のnoticeです。
“Push”方式の通知は”just-in-time”形式の情報通知です。一方”pull”方式の通知は「パーミッション管理」、プライバシー・ダッシュボードの利用、”learn more”チュートリアル方式等、情報へのアクセスを管理する方法です。

こういった方法の利点は、ユーザ中心の透明性確保が可能となる点です。

(プライバシー・ダッシュボード)
プライバシー・ダッシュボードは、ユーザが「プライバシー関連情報」を閲覧できる場所を一元的に提供するものです。
ユーザはダッシュボードで自身の好みにしたがって、当該サービス内での自身の個人データの使用のされ方を許可したり禁止したりすることができます。

プライバシー・ダッシュボードは、ユーザが複数の装置で同じサービスを使用している場合(例えばgmailをパソコンやスマートフォンで利用している場合)、自身の個人データにアクセスしたり、その利用を管理したりすることができるため、とても有用です。また、データ主体の個人データに対して行われている処理の種類に対応したprivacy statement/noticeを通知するだけでよいため、管理も簡単になります。

プライバシー・ダッシュボードを採用するのであれば、既存のアーキテクトに組み込むべきです。(同じデザイン、同じブランドを採用する)
そうすることでユーザは直感的にアクセス、使用可能となりますし、情報への的確な理解が可能となるからです。

プライバシー・ダッシュボードは、長々と書かれた法律用語によるprivacy noticeと比較して、「プライバシー情報」がサービスの一部として必要なものであり、統合されたものを示すことができる効果的な手法です。

(ジャスト・イン・タイム方式)
ジャスト・イン・タイム方式は、アドホック(一時)形式でもっとも関連する「プライバシー情報」を提供することができます。
ジャスト・イン・タイム方式はデータ取得時に情報提供する方法として有用な方法です。提供される情報が、理解可能な程度の情報量に噛み砕かれて提供されるため、privacy statement/noticeへの依存を減らすことができます。例えば、データ主体がオンラインで商品を購入する場合、関連するフィールドを選択するとポップアップが表示され必要な情報がテキスト情報として提供される、というものがジャスト・イン・タイム方式の一例です。

透明性のガイドライン(WP260 rev.01)を読む(21)

7月17日に日欧EPAが署名され、同時に日本の十分性認定についての最終合意も行われたと報じられました。日本ではこの秋に手続きが完了することが見込まれます。欧州でも手続きが完了し次第発行する見込みです。

越境移転についてSCCの締結が不要となるため、日本の企業にとっては朗報といえます。
SCCは依然としてもっとも確実な越境移転の適法化措置ですが、選択肢がもう一つ増えたことはとてもよいことです。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<電子的な手法でない場合の階層アプローチ>
【38】
透明性の原理に基づく情報は、いわゆるオフライン形式(対面や電話)でも提供されます。
このような場合の階層アプローチについてはパラグラフ【33】からパラグラフ【37】およびパラグラフ【39】、【40】が参考になります。

情報通知の形態がどのような形態をとろうと、WP29の推奨は変わりません。
第一階層、つまり、データ主体が最初に目にする部分に最も重要な情報を掲載しておく必要があります。(【36】参照のこと)
処理の目的の詳細、管理者の身元、データ主体の権利、データ主体に大きな影響を与える処理の存在、またはデータ主体が驚く可能性のあるデータ処理の存在を第一階層で提示してください。

たとえば、データ主体と最初に接するのが電話であれば、この情報は電話の中で提供され、情報の重要度を検討しつつ、GDPR第13条、GDPR第14条で定められている情報を、電話以外の別の方法で伝達するという方法をとるのがよいでしょう。(privacy policyのコピーをメールで送付する、管理者の階層化されたオンライン上のprivacy statement/noticeのリンクをメールで送付する等)

透明性のガイドライン(WP260 rev.01)を読む(20)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

【36】
管理者が階層アプローチを採用する際の最初の階層に提示する情報(データ主体と接する際に管理者が最初に示す方法)、階層化したprivacy statement/noticeの最初の階層に示すべき情報としてWP29が推奨するのは以下の情報です。

(最初の階層に含むべき情報、データ主体が最初に目にすべき情報)

  • 処理の目的の詳細
  • 管理者の身元
  • データ主体の権利
  • これらの情報は個人データを取得する際にデータ主体に直接的に提示されなければなりません。たとえば、データ主体が情報をオンラインフォームを入力しているときに表示される等の方法がその一つです。

    あらかじめ情報を提示する重要性はGDPR前文39に示されています。
    管理者は何を優先的に提示することとし、その理由は何かについて説明責任を負いますが、WP29は、公平性の原理に鑑みて、上記の情報の他、最初の階層にはデータ主体に最も大きな影響を与えるような情報を提示すべきだと考えています。それによってデータ主体は第一階層にある情報だけで、自身にその処理がどういう影響を与え得るかを理解できます。(パラグラフ【10】も参照のこと)

    【37】
    電子形式での情報通知では、オンラインの階層化されたprivacy statement/noticeの他に追加措置をとることも可能でしょう。
    関係するデータ主体個人の立場やデータ主体が利用しようとしている商品、サービスに特有の、テーラーメードの情報を提供する等です。

    WP29は階層化されたオンラインprivacy statements/noticeを使用することを推奨していますが、他の手段を排除するものではないことに注意してください。
    透明性の原理に適合できるようなその他の革新的な方法があれば、ぜひ活用すべきです。