引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
GDPRにおける透明性の要素 (Elements of transparency under the GDPR)

【７】
GDPRで透明性の原理について詳細に記述しているのはGDPR第３章 データ主体の権利(Rights of Data Subject)です。透明性の原理はデータ主体の権利という形で具現します。

GDPR第12条には一般的なルールが記載されています。
１．データ主体への情報提供　（GDPR第13条、GDPR第14条）
２．データ主体の権利行使についてデータ主体に伝えること（GDPR第15条 – GDPR第22条）
３．データ侵害時のコミュニケーション（GDPR第34条）

GDPR第12条では特に、以下のルールに従って情報提供、コミュニケーションがされる必要があると定めています。

＜正確、透明性のある、理解可能であり容易にアクセス可能である＞

【８】
データ主体に対して情報提供し、コミュニケーションを行う際、「正確で透明性がある」方法で行わなければならない、という要求事項は何を意味しているのでしょうか？
これは端的にいうと、管理者は、データ主体に情報疲労を起こさせてはならないということです。

データ主体への情報は、プライバシーに関係しない契約条項や一般的な利用規約とは明確に区別して提供しなければなりません。

オンラインで情報提供を行う場合、階層構造で情報提供するとデータ主体はprivacy statement/notice内の、知りたいと考えている特定の項目に容易にアクセスできます。
長文のprivacy statement/noticeをスクロールダウンして該当箇所を探さないといけないという手間を取らせてはなりません。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
はじめに (Introduction)

【５】
GDPRでは、適法根拠如何に関わらず、処理のライフサイクルを通して透明性が要求されます。
このことはGDPR第12条で以下の処理の段階で透明性を確保するよう規定されていることからも明確です。

透明性の意味 (The meaning of transparency)

【６】
GDPRには透明性の定義がありません。その代わり、GDPR前文39でデータ処理の文脈における透明性の意味とこの原則の効果について情報提供がされています。

It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed. The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used. That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed.

『自身の個人データが収集、使用、参照された自然人に対して透明性を持っていなければならないし、どこまで個人データが使用されているか、または使用される予定なのかについて透明性を持っていなければならない。透明性の原理は、これらの個人データにの処理に関するあらゆる情報やコミュニケーションが容易にアクセス可能であり、容易に理解でき、明確で平易な言葉を使用しているということを要求しています。特に、透明性の原理は管理者の身元や処理の目的、関係する自然人に関して公平で透明な処理を確実なものとすること、処理されている自身の個人データについて、データ主体が確認し、コミュニケーションをとる権利についての情報が明確に示されなければならない。』

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
はじめに (Introduction)

【３】
2018年5月25日以前に既に実施されている処理については、GDPR前文171で示されているように、管理者は2018年5月25日以降に要求される透明性の義務（およびその他の義務項目）を満たしていることを再確認しなければなりません。換言すれば、管理者は2018年5月25日までに、個人データの処理についてデータ主体に提供している情報（Privacy statements/notices）がGDPRで要求される透明性の原則に準拠していることを確認しなければならないということです。

データ主体に提供している情報について変更・追加が必要な場合、それらの変更がGDPR準拠に伴う変更であることをデータ主体に明確に伝えなければなりません。

WP29としては、これらの変更・追加については、必要最小限となるよう注意しつつ、積極的に公開することを推奨しています。（ウェブサイト上で通知する等）
ただし、変更が有形または重大なものとなる場合は、このガイドラインのパラグラフ【29】から【32】で記載の方法に従って、データ主体に積極的に通知しなければなりません。

【４】
管理者が透明性の原理を遵守すると、データ主体は管理者、処理者の処理活動について明確に理解可能となります。
また、同意する、同意を取り下げる、データ主体の権利を行使するといったことを行えるようになり、自身の個人データについてコントロールできるようになります。

GDPRにおける透明性の原理は、ユーザを中心に据えた概念です。
透明性の原則はGDPR中の条文に様々な形で、管理者、処理者に対する実際上の要求として表現されています。

実際上の（提示すべき情報の）要件はGDPR第12条からGDPR第14条に説明されています。
注意してほしいのは、条文に記載している情報のみではなく、情報の質、アクセス性、網羅性も重要な要素だということです。
これらの情報についてはデータ主体に確実に情報提供されなければなりません。

今日からは「透明性のガイドライン(WP260 rev.01)」を読んでいきます。これは、ガイドラインの中でももっとも重要なものの一つで、かつもっとも長いものの一つです。

実際、各国の監督機関は繰り返し「透明性」の重要性に言及してきました。
確実に対応されることを推奨します。

透明性のガイドラインはパラグラフごとに番号がふられています。
全部で70パラグラフあるため、2ヶ月ほどかかりそうですがどうぞお付き合いいただければ幸いです。

—
はじめに (Introduction)

【１】
このガイドラインは、GDPR下で個人データを処理する際に求められる透明性の義務について、実務上、解釈上の補助となるようにWP29が作成したものです。
透明性の原則はGDPR全体を支配する義務であり、以下の３つの領域で適用されます。

（１）公正な処理に関連してデータ主体に情報を提供すること
（２）GDPR下で管理者がデータ主体にどのように情報を提供するか
（３）データ主体による権利の行使について管理者がどう支援するか

ガイドラインで記載される内容は、あらゆる管理者に適用されますので、管理者である限りはこのガイドラインに記載されていることにしたがっていることが期待されます。
業界、分野、産業ごとに生じうる変数については網羅されませんが、高次でのWP29による解釈を示すものとして理解してください。

【２】
「透明性」は、EU法において長い間確立されてきたものの一つです。
処理の影響を受ける市民が理解し、要すれば処理に対して異議を申し立てることができるようにすることで処理に対する信頼を生み出してきたのが「透明性」です。

欧州人権憲章(Charter of Fundamental Rights of the European Union)の第８章にある個人データの処理に関する「公平性の原理」を実現するのも、「透明性」の果たす役割の一つです。

GDPRでは（個人）データを処理する要件として、適法性、公平性という要件に加え、透明性が加わりました。
透明性は、その性質上、公平性および「説明責任」とも結びついています。

GDPR第５条(2)によれば、管理者はデータ主体に対して透明性をたもった処理を行っていることを示さなければなりません。GDPRではこれに関連して、説明責任の原則に従い、管理者はデータ処理行為の透明性を説明することができなければなりません。

【2018年7月16日編集】

海外の展示会については”Privacy Notice”を配布し署名をとっているという情報をいただきましたので、内容を修正しました。

—
今日は「展示会」にまつわる質問です。展示会での名刺交換はどのように行うのが良いのでしょうか？

【Q&A】GDPR：欧州での展示会出展時に注意すべきことは何ですか？

今日と明日はよくいただく質問への回答をさせていただきたいと思います。
今日は「名刺」にまつわる質問です。名刺は「取引先情報」ですが、個人データに該当します。

gdpr施行後の名刺の保管方法はどうすればよいのでしょうか？
詳しくは、下の記事をご覧ください

海外での名刺交換時に注意すべきことは何ですか？

（この記事はテクニカ・ゼン株式会社の会員制データサイトプライバシー情報サイトに移行しました。会員の方にはGDPR関連情報やテンプレートをご提供しておりますのでぜひご登録ください。）

交流会：7月9日
Kansai Data Privacy After Hours

JETROセミナー：7月12日
ワークショップ「EU一般データ保護規則（GDPR）対応の基本と対策の始め方」
—

データ・プライバシーは、最終的にはマネジメントシステムに収れんします。
継続的に改善するための作業であるため、一度体制を作ってしまえばあとは運用の問題となるためそれほど大きな負荷は生じません。
この最初の体制を作るのがとても大変であり、GDPRで問題になったのは主にこの部分だったと理解しています。

従来の業務体制を大きく変更することになった企業も数多くあると思います。

このマネジメントシステムはプライバシー・プログラムとも呼ばれます。
これからプライバシー・プログラムを構築する際には、一般に以下の項目を確認することから始めればよいといわれています。

ポリシーや手順書を作成する目的は以下です。

ごく当たり前のことですが、文書化しようとするとなかなか苦労しますね。
明文化する中で、すこしずつ社内の方向性がまとまるというのが本当のところではないでしょうか。

社内業務の文書はプライバシーの専門家の仕事ではありません。
シックスシグマのブラックベルトが得意とする領域です。

プライバシーの世界は、さまざまな分野の専門家の力が必要です。
ダイナミックで面白いのはこのためです。

交流会：7月9日
Kansai Data Privacy After Hours

JETROセミナー：7月12日
ワークショップ「EU一般データ保護規則（GDPR）対応の基本と対策の始め方」
—

Googleが用いているAI開発の７原則を公表しました。
AI at Google: our principlesという記事です。

Googleが挙げた7つの原則は以下のものです。

1. Be socially beneficial. （社会に益があるものであること）
2. Avoid creating or reinforcing unfair bias.（不当な偏見を生み出したり強化しないこと）
3. Be built and tested for safety.（安全に作られ、検証されること）
4. Be accountable to people.（説明可能なものであること）
5. Incorporate privacy design principles.（プライバシー設計の原則を組み込むこと）
6. Uphold high standards of scientific excellence.（科学的な卓越性の基準を保ち続けること）
7. Be made available for uses that accord with these principles. （これらの原則に合致した使用のみを許容すること）

大きな影響を社会に及ぼす新しい技術は、倫理の問題と対話しながら開発が進みます。
このブログでも動向を追っていきたいと考えています。

では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。

—
3.その他の関連する事項 (Other relevant issues)
3.2　地域限定の処理(Local processing)

地域を限定した処理(local processing)はGDPRの協調、一貫性の原理が適用されません。
たとえば、公的機関によるデータ処理はかならず「地域限定の(local)」処理活動として扱われます。

そのような処理への対応は、現地尾監督機関の裁量に任されます。

3.3　EUに拠点を持たない会社(Companies not established within the EU)
GDPRの協調、一貫性の原理は、欧州域内に拠点を一つないし複数持つ場合にのみ適用されます。

EU域内に拠点を持たない場合、加盟国内に代理人(representative)がいてもワンストップショップの仕組みを活用することはできません。
換言すれば、欧州域内に拠点を持たない管理者は、各加盟国の監督機関と、その代理人を通じてやり取りを行う必要があるということです。

７月にデータ・プライバシー専門家のネットワーキングイベントを行います。
ご関心のある方は以下からお申し込みください。

Kansai Data Privacy After Hours

この会については、二ヶ月に一度くらいの頻度で引き続き開催していきます。
IAPPのチャプターイベントの一つにできないかと考えておりますので、CIPP/E、CIPMホルダーの方のご参加をお待ちしております。

また、JETROさんのセミナーが７月１２日広島で決定しました。まだ未定ですが７月１３日に岡山でも開催できるよう調整中です。
７月１７日、１８日には北陸方面でのセミナーを予定しております。（すべて無料セミナーです）

お近くにいらっしゃる方はぜひご参加ください。

引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。

—
3.その他の関連する事項 (Other relevant issues)
3.1　「関係する監督機関」の役割(The role of the ‘supervisory authority concerned’)

「関係する監督機関」の定義はGDPR第４条(22)にあります。

‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because:
a) the controller or processor is established on the territory of the Member State of that supervisory authority;
b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or
c) a complaint has been lodged with that supervisory authority;

「関係する監督機関」とは、以下の理由で個人データの処理に関係している監督機関のこと。
a) 管理者または処理者が監督機関の所属する加盟国内に拠点を持っている
b) 監督機関の所属する加盟国内にデータ主体が居住していて、該当する処理によって大きな影響を受けているまたは受ける可能性がある
c) 該当する監督機関に対して苦情申し立てが行われた

「主監督機関」を定めると、「主監督機関」以外は軽視されてしまうかもしれません。
GDPRで「関係する監督機関」という考え方が提示されているのは、これを防ぐためです。

例えば、主監督機関の法域内に居住していない個人があるデータ処理の影響を大きく受けている場合、主監督機関以外の監督機関が対応に対する発言権をもっているということを明確にするためです。
上で紹介したGDPR第４条(22)(b) は、データ主体が該当する加盟国の国籍を持っている必要がない点に注意しましょう。

関係する監督機関が対応を行う場合について書いてあるのがGDPR第56条(2)-(5)です。主監督機関が主導しないと決定した場合は、通知を受けた関係する監督機関が対応を行います。（GDPR第61条（相互補助の原則）、GDPR第62条（監督機関の協業））

たとえば、次のようなケースが該当します。

主要な拠点がフランスにあるマーケティング会社がポルトガルのデータ主体のみに影響を与えるようなせいひんを発売したとします。この場合、フランスの監督機関とポルトガルの監督機関の間で、該当する処理についてはポルトガルの監督機関が主導して対応するとの合意がされることとなるでしょう。ポルトガルの監督機関は協力協定に基づいて、データ管理者に処理に関する情報手強を求めることとなるでしょう。

フランスとポルトガルの監督機関は、GDPR前文127に従い、処理行為がポルトガルのみにしか影響を与えないと判断して役割を分担したということになります。

GDPRは主監督機関と関係する監督機関が協力し、双方の見解を尊重することで、効果的な対応策がとられることを期待しています。
公式な一貫性のメカニズム発動プロセスは、最終手段として発動されるべきものとされています。

決定をmutual acceptance(相互受容)というときには、結論のみならず、監督機関のアクション方法にも影響を及ぼします。（組織全体を調査するのか、一部のみを調査するのか等）

弊社では今、ウェブサイトの更新を行っておりますが、そこでデータ・プライバシーの専門家育成を行おうと考えております。
GDPR対応のご相談では私ひとりでは対応しきれないほどのご相談をいただいております。

その一方で、データ・プライバシーは欧州にとどまらない問題となっているため、専門家の需要は今後高まる一方です。
人材育成は即席でできるものではないので１年ほどかけて勉強していただければと考えています。
ご関心のある方がいらっしゃったらぜひご連絡いただければ幸いです。

引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。

—
2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
2.3　処理者(Processor)

GDPRでは処理者も主監督機関を持つことが可能です。
GDPR第4条(16)(b)によると、処理者の主要な拠点は処理者の欧州統括拠点となります。もし欧州統括拠点がない場合は主要な処理活動が行われている欧州域内の拠点が主要な拠点となります。

ただし、前文36にあるとおり、管理者、処理者両者に関わる問題が生じた場合は管理者の主監督機関が対応を主導します。この場合、処理者の主監督機関は「関連する監督機関」となる点に注意してください。

これも、管理者が欧州域内に拠点を持つ場合にのみ該当し、GDPR第３条(2)に基づいてGDPRが適用される場合は該当しなくなる点に注意ください。

クラウドサービス等、異なる国の複数の管理者が使用しているサービスを提供している処理者については、管理者ごとに主監督機関が異なることとなるため、結果的に複数の監督機関に対応することとなってしまいます。