いつもWorld-Privacy-Watchをご購読いただき、ありがとうございます。このブログでは4月からほぼ毎日GDPRを中心に更新を進めてきました。
おかげさまでたくさんの方にご購読いただけ、また、活用しているという声も聞くことができうれしく思っています。
GDPRの施行から3ヶ月がたち、GDPR対応については落ち着いてきた印象があります。
このブログでも、ガイドラインについてはまだ「DPIA」や「同意」という大切な分野を訳し残していますが、
ある程度情報も増えてきたのでこれらについては他のリソースに任せてもよいのかなと考えています。
このブログの出発点はそもそもdigital ageにおけるデータ・プライバシー保護の動向モニターにありましたので、そろそろGDPRを離れ、本来意図していた動向モニターにもどろうかと考えています。それに伴い、更新頻度も毎日ではなく、不定期更新とさせていただく予定です。
データプライバシーについてご質問等ございましたらこちらからご連絡いただければ幸いです。
シンガポール当局(PDPC)はあるスポーツ協会に指導を行いました。
当該スポーツ協会はウェブサイトの技術的な更新を怠ったため選手のsensitive dataが選手プロフィールページで閲覧できる状態となっていたとのことです。
当局は90日以内にPDPAの要件に合致するようprivacy policyを更新、実装し、従業員に個人データ保護についてのトレーニングを実施するよう命じました。
長い透明性についてのガイドラインを読み終わり、ようやく一息をついています。
コンテンツとしては重要ですが、目的がある方じゃないとなかなか読みにくい内容だったのではないかと思います。
9月以降は毎日更新するという方針を終了し、随時更新という形態とします。
基本的にはこのブログの趣旨にもどって、世界の動向ウォッチをメインにしようと考えています。
それと同時に、もう一つの柱にしようと考えているのは、データ・プライバシー・マネジメントという考え方です。
データ・プライバシーは継続的に社内で管理し、安全性を継続的に担保しなければなりません。その方法についての情報提供をしようと思います。
この分野はまだ日本ではそれほど強調されていませんが、世界のビジネス環境ではスタンダードとなっている考え方です。
当社ではお客様に早い段階からこの体制を導入するよう推奨しています。
依然として専門性の高い話題が続きますが、個人データを扱う事業者がここで説明するコンセプトをもとに安心・安全な社会作りを促進してくれることを願っています。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
GDPR第13条、GDPR第14条で記載すべきことについてのWP29の見解をまとめておきます。
【データ主体の権利行使】
行使可能な権利の種類、権利行使の方法、権利行使が制限される場合はどのような場合かの情報
処理に反対する権利については明確に、他と区別して最初にデータ主体とコンタクトを取る前に提示すること。
データ・ポータビリティについてはガイドラインを参照のこと。
【同意(又は明確な同意)に基づく処理の場合、同意をいつでも撤回できる権利】
データ主体が同意を撤回する方法。これは同意を与えるのと同じくらい容易である必要がある。
【監督機関に苦情を申し立てる権利】
データ主体は、自身の居住している場所、勤務地の監督機関に、GDPR違反について苦情申し立てができることを明記すること。
【法的要件、契約上の要件、契約の履行に必要、情報提供義務があるか、情報提供を行わなかった場合の結果】
雇用契約の場合は契約上ある一定の情報を現在の従業員または雇用予定の従業員から取得する必要がある。
オンラインフォームの場合は、どの情報が「必須」でどの情報が「任意」か明治
「必須」情報に入力しなかった場合の結果についても記載のこと。
【個人データの入手源、公開データベースから入手したか】
データ取得源は明示すること。
明示できない場合、情報取得源の性質(公的な情報源か、私的に取得された情報源か)
情報取得源の組織、産業、セクターの種類
【プロファイリングを含む自動化した意思決定の有無、該当する場合は有意な使用ロジック情報、そのような処理による重大なまたは意図する結果】
プロファイリングを含む自動化した意思決定についてのガイドライン参照のこと。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
GDPR第13条、GDPR第14条で記載すべきことについてのWP29の見解をまとめておきます。
【個人データの受領者(又は受領者の種類)】
第三者かどうかに関わらず、データを受け取る存在を記載すること。
他のデータ管理者、共同管理者、共同処理者を含む。
実名または受領者の種類を記載すること。
データ主体が、誰にデータが渡るのかを理解できることがポイント。
受領者の種類を記載する場合は、できるだけ特定すること。(受領者の種類、産業、セクター、サブ・セクター等)
【第三国移転の詳細、そこでなされる安全保護策、十分性認定の有無、安全保護策の証拠となるもののコピー】
十分性認定、BCR、SCC、デロゲーションといった安全保護策を特定すること。
関連文書へのアクセス方法、入手先、を提示すること。
【保管期間(可能なら保管期間の判定基準も)】
法的要件、産業ガイドラインに準拠するものでよいが、データ主体がアクセスできるようにしておくこと。
単に「ビジネス上必要な限り」としておくことは不十分である。
個人データの種類ごとに保管期間を変更し、場合によってはアーカイブ期間も記載すること。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
GDPR第13条、GDPR第14条で記載すべきことについてのWP29の見解をまとめておきます。
【管理者/代理人の身元、連絡先】
容易に管理者/代理人が判別可能であること。
複数の連絡手段が記載されていること(電話番号、住所、emailアドレス、等)
【DPOの連絡先】
DPOのガイドランを参照のこと
【処理の目的と適法根拠】
処理の目的と適法根拠を記載すること。
特別カテゴリーのデータについてはどのデータかを特定すること。
犯罪履歴、安全保障、欧州法や加盟国法に基づいて処理する場合、その根拠を特定
【正当な利益を適法根拠とするとき、その内容】
正当な利益の内容を特定。
バランシングテスト(処理以前に実施必要)に関する情報。
情報疲労を起こさせないため、階層構造で情報提供すること。
データ主体はバランシングテストについての情報を請求できると明示すること。
【関連する個人データの種類】
GDPR第14条のみの要件。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<データ主体の権利の制限>
【69】
GDPR第85条ではジャーナリズム、学術研究、アート、文学による表現の自由に関して、各国法で融和法を設定するように示しています。(GDPR第12条 – GDPR第14条で記載される透明性の原理を含む)
<透明性とデータ侵害>
【70】
WP29はデータ侵害についてのガイドラインを出していますが、データ侵害通知においてもGDPR第12条に準拠した透明性の原理の遵守は重要です。
データ侵害通知を行うときは明瞭で平易な言葉を使わなければなりません。GDPR第13条、GDPR第14条で規定される情報を通知する場合と同様の基準を適用してください。
(本文完了)
透明性のガイドラインもあと2回で読み終わります。
なかなか長編で大変でしたが、重要なガイドラインなので、ぜひ折に触れて内容を確認していただければと存じます。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<データ主体の権利の制限>
【68】
GDPR第23条には、加盟国法(又はEU法)でデータ主体の権利を制限できるケースも記載があります。
この場合も、個人の権利と自由が守られ、適切な安全保護策がとられていなければなりません。
これに準拠してデータ主体の権利を制限する場合は、管理者は国家の基準がどのように適用されているのか説明できなければなりません。
GDPR第23条(2)(h)で記載されているように、データ管理者はデータ主体の権利を制限している目的に影響を与えない限り、その事実について情報提供しなければなりません。
また、公平性の原理により、データ管理者は国の法的制限または透明性の義務に準拠していることをデータ主体に情報提供しなければなりません。
このようにしてデータ管理者が準拠している情報を提供し、データ主体が驚かないようにしなければなりません。
データの仮名化と最小化に関しては、GDPR第11条で個人を特定できない場合は個人を特定するためにあえて情報を取得する必要がないとしていますが、データ主体の権利行使については、データ主体からの情報をもとに可能な限り権利行使を可能としなければなりません。
【データ主体の権利】オランダのDPA 違反に48,000ユーロ(約650万円)課金
ある個人について保有している個人データの一般情報、処理目的、データの種類、開示先、データの取得元をある銀行が提供できなかったとして、オランダのDPAが1週間につき12,000(約160万円)ユーロの支払いを命じました。
銀行は、当該個人の情報を提供するのに1か月かかりました。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<秘密保持義務による機密>
【67】
法的な秘匿性を含め、加盟国法やEU法によって秘密保持の義務を負う場合、GDPR第14条(5)(d)によって情報提供義務を除外されます。
この条項に基づいて情報提供義務を除外しようとする場合は、管理者は例外規定を明示し、その規定のどの部分が情報提供義務を除外する内容となっているか説明できなければなりません。
例)
医療従事者は患者の医療情報について専門家としての秘密保持義務を負っています。
ある患者が、その親戚が共通して持つ、健康に関する遺伝情報を医療従事者に提供しました。
患者はまた、同じような状況の親戚の個人データも医療従事者に提供しました。
医療従事者はこの場合、その親戚にGDPR第14条に準拠した情報通知を行う必要はありません。
患者に対する秘密保持義務違反となるためです。
【データ・ローカライゼーションの動向】インドがECの国家フレームワークを起案
2年間の猶予期間後、e-commerceを行う会社はインド国内にある種のデータを保管するよう求められる模様。インド国内に保管すべきデータは以下。e-commerceプラットフォーム内、ソーシャルメディア、サーチエンジンでインド国内ユーザによって生成されたデータ。その他、不特定多数を目的とした電子コミュニケーションを規制する法的枠組みを強化し、消費者が生成したデータのポータビリティ権を実装しています。
引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
<法律によって明示的にデータ取得、公開を命じられた場合>
【66】
GDPR第14条(5)には、「管理者が従うべき加盟国法によって明示的に」個人データを取得または開示するよう求められた場合、GDPR第14条(1)、GDPR第14条(2)、GDPR第14条(4)の規定が除外されます。
ただし、この場合、加盟国法が「データ主体の正当な利益を適切に保護する手段」を提供していることが条件となっています。
加盟国法は管理者に直接適用されるため、管理者はどのように当該法が適用sれ、個人データを取得・開示しなければならなかったかについて説明できなければなりません。
「データ主体の正当な利益を適切に保護する手段」を規定するのは加盟国法ですが、管理者は、データの取得・開示時に加盟国法の規定を遵守しなければなりません。
同時に、管理者はデータ主体に対して、法的要求に従いデータを取得・開示する場合があることを明言しておく必要があります。(法律で禁止されている場合は除く)
GDPR前文41は、適法根拠、法的手段は明確で正確であり、データ主体が予測可能である必要があるとしています。
GDPR第14条(5)は、GDPR第13条が適用される直接取得の場合には適用されません。
GDPR第13条で例外規定が適用されるのはGDPR第13条(4)が該当する場合のみです。(データ主体が既に当該情報を持っている場合)
詳細は【68】を参照してください。加盟国はGDPR第23条により透明性の権利に制限をかける場合があります。
例)
税務当局は雇用主から雇用者の給与情報の詳細を取得する義務が加盟国法によってあります。
個人データは直接取得されていないので、税務当局はGDPR第14条に準拠する義務があります。
税務当局が雇用主からデータを取得することは明示的に法律で規定されているためGDPR第14条の規程は、税務当局には該当しないと判断できます。