office-terakawa のすべての投稿

透明性のガイドライン(WP260 rev.01)を読む(24)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<プロファイリングおよび自動化された意思決定についての情報>
[41]
GDPR第22条(1)およびGDPR第22条(4)で述べられている通り、プロファイリングを含む、自動化された意思決定についての情報は、使用されているロジックおよび当該処理がデータ主体にもたらす重大で、かつ管理者が意図する結果と共にデータ主体に提示されなければなりません。(GDPR第13条(2)(f)およびGDPR第14条(2)(g))

ある特定のプロファイリング環境において、透明性の原理に基づく説明が提供されるべきかについてはWP29が出している、「プロファイリングを含む自動化された意思決定についてのガイドライン」(WP251)を参照してください。GDPR第13条(2)(f)およびGDPR第14条(2)(g)に関連する、プロファイリングを含む、自動化された意思決定に限った話ではなく、データ主体は自身の個人データ処理について驚かされることがあってはならないという原則はGDPR第22条に当てはまらないプロファイリングについても該当することを忘れてはいけません。

透明性のガイドライン(WP260 rev.01)を読む(23)

7月23日(月)から7月25日(水)までシンガポールに出張していました。IAPPのアジアプライバシーフォーラムに参加していました。
そのため、セキュリティ設定の関係で投稿ができていませんでした。本日順次記事をアップしていきます。

プライバシーフォーラムのレポートも書いていきます。お楽しみに。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<その他の「適切な方法」の種類>
[40]
欧州域内ではインターネット接続が日常的に行われており、データ主体は、さまざまな場所から異なる機器を用いていつでもオンラインとなることが可能であるため、WP29は、管理者がデジタル/オンラインでのプレゼンスをメンテナンスしている場合、透明性の原理に関する情報「適切な方法」とは電子媒体によるprivacy statement/noticeを表示することであるという立場をとっています。

しかし、データ取得/処理の状況によっては、データ管理者は情報提供の方法として追加の(または、データ管理者がデジタル/オンラインでのプレゼンスを持たない場合は、代替となる)様式またはフォーマットを採用しなければならないこともあります。

環境ごとでデータ主体に情報を伝える方法として使うことができるだろう様式を以下にまとめています。前述したように、最も重要な情報がデータ主体とコミュニケーションを行う最初の様式の中で必ず確実に伝えられなければなりません。(【36】、【38】参照)その他の情報については階層アプローチを用いて、他の様式と組み合わせて使用することが可能です。

a) ハードコピー/紙面の場合(郵送によって契約締結を行う場合)
書面の説明、リーフレット、契約書内の情報、マンガ、インフォグラフィックス、またはフローチャート

b)電話による場合
質問に答えられるように人による口頭説明を行う、より詳細な情報を聞くオプションを備えた自動/事前録音による情報提供

c)Wi-Fiトラッキング分析等スクリーンを持たないスマート・テクノロジーやIoTの場合
アイコン、QRコード、ボイス・アラート、設定要領書に詳細情報を記載、デジタル版設定要領書にビデオとして含む、スマートデバイス上に記載された情報、SMSまたはe-mailで送付されるメッセージ、情報を含んだ目に見えるボード、公共の場所での看板、公共の場所での情報キャンペーン

d)人対人の場合:例えば意見調査、人を介したサービスへの登録等
口頭での説明、またはハード・コピーまたはソフト・コピーで提供される記載された説明

e)CCTVやドローンによる録画という「リアル・ライフ」の環境:
情報を含んだ目に見えるボード、公共の場所での看板、公共の場所での情報キャンペーン、新聞やメディアでの通知キャンペーン

透明性のガイドライン(WP260 rev.01)を読む(22)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<"push"方式または"pull方式"のnotice>
【39】
透明性の原理に基づいた情報通知のもう一つの方法が、”push”方式または”pull”方式のnoticeです。
“Push”方式の通知は”just-in-time”形式の情報通知です。一方”pull”方式の通知は「パーミッション管理」、プライバシー・ダッシュボードの利用、”learn more”チュートリアル方式等、情報へのアクセスを管理する方法です。

こういった方法の利点は、ユーザ中心の透明性確保が可能となる点です。

(プライバシー・ダッシュボード)
プライバシー・ダッシュボードは、ユーザが「プライバシー関連情報」を閲覧できる場所を一元的に提供するものです。
ユーザはダッシュボードで自身の好みにしたがって、当該サービス内での自身の個人データの使用のされ方を許可したり禁止したりすることができます。

プライバシー・ダッシュボードは、ユーザが複数の装置で同じサービスを使用している場合(例えばgmailをパソコンやスマートフォンで利用している場合)、自身の個人データにアクセスしたり、その利用を管理したりすることができるため、とても有用です。また、データ主体の個人データに対して行われている処理の種類に対応したprivacy statement/noticeを通知するだけでよいため、管理も簡単になります。

プライバシー・ダッシュボードを採用するのであれば、既存のアーキテクトに組み込むべきです。(同じデザイン、同じブランドを採用する)
そうすることでユーザは直感的にアクセス、使用可能となりますし、情報への的確な理解が可能となるからです。

プライバシー・ダッシュボードは、長々と書かれた法律用語によるprivacy noticeと比較して、「プライバシー情報」がサービスの一部として必要なものであり、統合されたものを示すことができる効果的な手法です。

(ジャスト・イン・タイム方式)
ジャスト・イン・タイム方式は、アドホック(一時)形式でもっとも関連する「プライバシー情報」を提供することができます。
ジャスト・イン・タイム方式はデータ取得時に情報提供する方法として有用な方法です。提供される情報が、理解可能な程度の情報量に噛み砕かれて提供されるため、privacy statement/noticeへの依存を減らすことができます。例えば、データ主体がオンラインで商品を購入する場合、関連するフィールドを選択するとポップアップが表示され必要な情報がテキスト情報として提供される、というものがジャスト・イン・タイム方式の一例です。

透明性のガイドライン(WP260 rev.01)を読む(21)

7月17日に日欧EPAが署名され、同時に日本の十分性認定についての最終合意も行われたと報じられました。日本ではこの秋に手続きが完了することが見込まれます。欧州でも手続きが完了し次第発行する見込みです。

越境移転についてSCCの締結が不要となるため、日本の企業にとっては朗報といえます。
SCCは依然としてもっとも確実な越境移転の適法化措置ですが、選択肢がもう一つ増えたことはとてもよいことです。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<電子的な手法でない場合の階層アプローチ>
【38】
透明性の原理に基づく情報は、いわゆるオフライン形式(対面や電話)でも提供されます。
このような場合の階層アプローチについてはパラグラフ【33】からパラグラフ【37】およびパラグラフ【39】、【40】が参考になります。

情報通知の形態がどのような形態をとろうと、WP29の推奨は変わりません。
第一階層、つまり、データ主体が最初に目にする部分に最も重要な情報を掲載しておく必要があります。(【36】参照のこと)
処理の目的の詳細、管理者の身元、データ主体の権利、データ主体に大きな影響を与える処理の存在、またはデータ主体が驚く可能性のあるデータ処理の存在を第一階層で提示してください。

たとえば、データ主体と最初に接するのが電話であれば、この情報は電話の中で提供され、情報の重要度を検討しつつ、GDPR第13条、GDPR第14条で定められている情報を、電話以外の別の方法で伝達するという方法をとるのがよいでしょう。(privacy policyのコピーをメールで送付する、管理者の階層化されたオンライン上のprivacy statement/noticeのリンクをメールで送付する等)

透明性のガイドライン(WP260 rev.01)を読む(20)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

【36】
管理者が階層アプローチを採用する際の最初の階層に提示する情報(データ主体と接する際に管理者が最初に示す方法)、階層化したprivacy statement/noticeの最初の階層に示すべき情報としてWP29が推奨するのは以下の情報です。

(最初の階層に含むべき情報、データ主体が最初に目にすべき情報)

  • 処理の目的の詳細
  • 管理者の身元
  • データ主体の権利
  • これらの情報は個人データを取得する際にデータ主体に直接的に提示されなければなりません。たとえば、データ主体が情報をオンラインフォームを入力しているときに表示される等の方法がその一つです。

    あらかじめ情報を提示する重要性はGDPR前文39に示されています。
    管理者は何を優先的に提示することとし、その理由は何かについて説明責任を負いますが、WP29は、公平性の原理に鑑みて、上記の情報の他、最初の階層にはデータ主体に最も大きな影響を与えるような情報を提示すべきだと考えています。それによってデータ主体は第一階層にある情報だけで、自身にその処理がどういう影響を与え得るかを理解できます。(パラグラフ【10】も参照のこと)

    【37】
    電子形式での情報通知では、オンラインの階層化されたprivacy statement/noticeの他に追加措置をとることも可能でしょう。
    関係するデータ主体個人の立場やデータ主体が利用しようとしている商品、サービスに特有の、テーラーメードの情報を提供する等です。

    WP29は階層化されたオンラインprivacy statements/noticeを使用することを推奨していますが、他の手段を排除するものではないことに注意してください。
    透明性の原理に適合できるようなその他の革新的な方法があれば、ぜひ活用すべきです。

    透明性のガイドライン(WP260 rev.01)を読む(19)

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    【34】
    GDPRはデータ主体にすべての情報を提供するように要求するとともに、正確で、透明性があり、理解可能で容易にアクセスできる形態での情報提供を行うことを要求しています。
    一見相反する要求ですが、説明責任および公平性の原理に鑑みて、管理者は自身が行う個人データの処理の本質、状況、文脈を分析し、GDPRの要求事項とこのガイドライン(の特にパラグラフ【36】)で説明される内容を考慮に入れてデータ主体に提供すべきデータについて、どう優先づけるか、どの程度まで詳細に情報提供を行うべきか、およびどのような形態で情報を通底すべきかについて決定する必要があります。

    <電子的な環境における階層アプローチおよび階層化されたprivacy statements/notice>
    【35】
    電子媒体での情報通知の場合、データ主体に提供される情報量によっては透明性を確保するために階層アプローチをとることも可能です。
    WP29としても、privacy statements/noticeは、すべての情報をスクリーン上にすべて提示するのではなく、データ主体に提供しなければならない情報へのリンクを含んだ構造としておくべきだと考えてます。
    情報が多すぎると情報疲労を起こしてしまうためです。

    privacy statements/noticeを階層化することでユーザは読みたい個所に直接移動でき、情報の完全性と理解しやすさをともに実現するという難題を解決できます。

    階層化するといっても、単にネスト化するだけではいけません。
    ユーザが複数クリックしなければ知りたい情報にたどり着けないというのは好ましくありません。

    privacy statements/noticeの最初の階層は、データ主体が自身の個人データの処理について得ることができる情報を概観し、privacy statements/noticeのどこで(どのように)その情報を入手できるのか理解できるものである必要があります。また、異なる階層に含まれている情報の間で一貫性が保たれていて矛盾がないことも重要です。 

    透明性のガイドライン(WP260 rev.01)を読む(18)

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <GDPR第13条、GDPR第14条の情報に変更があった場合の通知(Timing of notification of changes to Article 13 and Article 14 information)>

    【32】
    GDPR第13条、GDPR第14条に準拠した透明性の原理に基づく提供情報に変更がない場合でも、もしユーザが長期利用していない場合は情報を覚えていない可能性があります。
    そのため、管理者はデータ主体が容易にPrivacy statement/noticeにアクセスし、内容を確認できるようにしておく必要があります。
    管理者は説明責任の原則に従って、どれくらいの間隔でデータ主体にprivacy statement/noticeの内容を再提示し、データ主体がどこで自ら確認できるかについて、管理者はあらかじめ定めておく必要があります。

    <様式:情報提供のフォーマット(Modalities - format of information provision)>

    【33】
    GDPR第13条、GDPR第14条にはともに「以下の情報をデータ主体に提供すること」(“provide the data subject with all of the following information…”)という記載があります。この際大切なことは、管理者は、データ主体に対して能動的にそれらの情報を提示しなければなりません。もしくは、それらの情報を得られる場所を能動的に提示しなければなりません。ダイレクト・リンクを貼る、またはQRコードで読み込ませる、という方法が良いでしょう。

    ウェブサイトやアプリの利用規約の一部とするなど、データ主体が情報を探し回るような状況を作ってはなりません。
    【11】で示した例を確認してください。また【17】で述べたとおり、ウェブサイト上の電子的なフォーム、紙面を問わず、全情報が一つの場所、一つの文書にまとまっている必要があります。全体を読みたいと思ったときにはすぐに(容易に)読める状態にしておく必要があります。

    透明性のガイドライン(WP260 rev.01)を読む(17)

    ダイヤモンドオンラインで「日本企業初の「GDPR」違反の可能性、プリンスホテルなど」という記事が出ていました。
    制裁金に至るまでにはまだ時間がかかるでしょうが、こういった事象が起きたときに説明責任をしっかり果たせるよう準備が必要です。

    中小企業の方も少しずつ対応を開始してくださっており、とても良いことだと思います。
    弊社でもGDPRコンサルティングスタッフを一名追加してご支援対応を強化させていただいております。

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <GDPR第13条、GDPR第14条の情報に変更があった場合の通知(Timing of notification of changes to Article 13 and Article 14 information)>

    【30】
    従前データ主体に提供されていたGDPR第13条、GDPR第14条に準拠した情報に変更があった場合、データ主体にその変更をいつまでに通知する必要があるかについて、
    GDPR上は特に言及がありません。

    (GDPR第13条(3)およびGDPR第14条(4)で言及されている通り、新たな目的の追加については該当処理が発生する前に情報通知する義務があります)

    GDPR第14条でにおける情報通知のタイミングに鑑みると、管理者はデータ主体の合理的期待、変更がデータ主体に及ぼし得る影響の大きさに関連して公平性の原理と説明責任の原理を遵守しなければなりません。
    例えば受領者の種類が増えるまたは第三国へのデータ移転が生じる等、処理の本質に対して大きな変更を説明するための通知となるのであれば、実際の変更がなされるよりも十分前にデータ主体にその変更を通知する必要があります。
    処理の本質に対して大きな変更はないにしろ、データ主体に対して影響があるような変更である場合も同様です。

    その際、データ主体ははっきりと通知されたことを認識し、かつ実効性のある形で通知を受け取らなければなりません。
    データ主体が変更を「見逃さない」こと、そしてその変更の性質と影響について考え、(処理に反対し同意を撤回する等)変更に関してGDPR上で許容される権利行使を行う余地を与えられることが大切です。

    【31】
    管理者は透明性の原理に基づいた情報の更新が必要となる場合について、その文脈と状況を注意深く考えて更新を行わなければなりません。
    つまり、どの程度大きな影響をデータ主体に与えるのか、どのような形でデータ主体に伝えたらよいか、といったことを考える必要があります。

    通知から処理の変更の実施までの時間がどれくらいであったか、そしてそれがなぜデータ主体に対して公平性を保っているかの説明もできなければなりません。

    WP29は、公平性の原理に立てば、データ主体に対して処理の変更がどのような影響を及ぼし得るか説明する義務が、管理者にはあると考えています。

    処理の種類が全く変更になる場合、透明性の原理を果たしただけでは不十分です。
    GDPRの他の規則をすべて遵守すべきである点を忘れてはなりません。

    透明性のガイドライン(WP260 rev.01)を読む(16)

    ブラジルがGDPRの影響を受けた法案をパブリック・コンサルテーションに付しました。
    GDPR型のデータ・プライバシー法がますます広がっています。海外展開している場合は対策を進めてください。

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <情報提供のタイミング(Timing for provision of information)>

    【28】
    GDPR第14条に基づいた情報提供のタイムリミットは、結局1ヶ月以内ということになります。

    一方で、GDPRの原則である「公平性」と「説明責任」に立ち戻るのであれば、管理者は常にデータ主体の合理的期待、データ処理がデータ主体に与える影響、データ処理についてデータ主体が行使できる権利、を考慮しなければなりません。データ主体にいつ情報通知を行う際は、こういった観点から決定してください。
    「説明責任」という意味では、管理者は情報通知を行っているタイミングが正当なものであることを合理的に説明できなければなりません。

    これらを考慮すれば、「ぎりぎり1ヶ月」という選択肢はなくなるでしょう。

    GDPR前文39では以下の点が強調されています。

    「データ主体はそのような個人データの処理がもたらすリスク、処理に関するルール、安全保護策、および処理に付随するデータ主体の権利および権利の行使の仕方」について知らされている必要があります。

    GDPR前文60では「データ主体は個人データの処理が存在すること、処理の公平性と透明性の原理に基づいて処理の目的について知らされていなければならない」という要件について指摘されています。

    上記の理由から、WP29は以下のような立場をとっています。
    データ管理者は、可能である限り、公平性の原理に基づいて、記載されているタイムリミットよりも十分前にデータ主体に対して情報通知を行うべきである。

    処理業務についてデータ主体に通知するタイミングについての適切性および実際にそのような処理業務が行われるまでの感覚については【30】、【31】、【48】で言及します。


    【29】
    透明性の原理はデータ取得時だけではなく、データのライフサイクルすべてに適用されなければなりません。
    たとえば既存のprivacy statement/noticeに大きな変更、差し替えがあった場合はどうすべきでしょうか?

    この場合、データ管理者は最初のprivacy statement/noticeについてあてはまるルールを当てはめます。

    「大きな変更」や「差し替え」が何を指すかは、データ主体への影響の大きさ(データ主体の権利を行使可能かどうかを含む)とその変更がデータ主体の予想を上回るものか、データ主体が驚くようなものか、という点から判断します。

    privacy statement/noticeへの変更は常にデータ主体に伝えられなければなりません。
    特に、処理の目的が変更となった場合、管理者の身元が変更となったとき、処理についてデータ主体が権利講師をするための方法に変更が生じたときは確実に情報を伝える必要があります。

    反対に、WP29が「大きな変更」、「差し替え」に該当しないと考えるのは以下のような場合です。

  • スペルミスの修正
  • スタイルの修正や文法の修正
  • 既存の顧客、ユーザは通常privacy statement/noticeへの変更をちらっと見る程度なので、管理者はあらゆる方法を用いて大半の受領者が変更に気がつくような状態を確実に作らなければなりません。変更の通知は適切な方法をとる必要があるでしょう。たとえば、e-mailを送る、書面の手紙を送付する、ウェブページ上でのポップアップといった、GDPR第12条に記載されている「正確で透明性を保ち、理解可能で、容易にアクセスでき、明快で平易な言葉を使ったコミュニケーション」方法が考えられます。

    Privacy statement/noticeの変更についてはデータ主体が継続的に確認するようにと伝えるだけでは不十分ですし、GDPR第5条(1)(a)の公平性の原理に合致していないと判断されます。

    データ主体に変更について通知するタイミングについては【30】、【31】でさらに検討します。