office-terakawa のすべての投稿

主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(11)

7月にデータ・プライバシー専門家のネットワーキングイベントを行います。
ご関心のある方は以下からお申し込みください。

Kansai Data Privacy After Hours

この会については、二ヶ月に一度くらいの頻度で引き続き開催していきます。
IAPPのチャプターイベントの一つにできないかと考えておりますので、CIPP/E、CIPMホルダーの方のご参加をお待ちしております。

また、JETROさんのセミナーが7月12日広島で決定しました。まだ未定ですが7月13日に岡山でも開催できるよう調整中です。
7月17日、18日には北陸方面でのセミナーを予定しております。(すべて無料セミナーです)

お近くにいらっしゃる方はぜひご参加ください。

引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


3.その他の関連する事項 (Other relevant issues)
3.1 「関係する監督機関」の役割(The role of the ‘supervisory authority concerned’)

「関係する監督機関」の定義はGDPR第4条(22)にあります。

‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because:
a) the controller or processor is established on the territory of the Member State of that supervisory authority;
b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or
c) a complaint has been lodged with that supervisory authority;

「関係する監督機関」とは、以下の理由で個人データの処理に関係している監督機関のこと。
a) 管理者または処理者が監督機関の所属する加盟国内に拠点を持っている
b) 監督機関の所属する加盟国内にデータ主体が居住していて、該当する処理によって大きな影響を受けているまたは受ける可能性がある
c) 該当する監督機関に対して苦情申し立てが行われた

「主監督機関」を定めると、「主監督機関」以外は軽視されてしまうかもしれません。
GDPRで「関係する監督機関」という考え方が提示されているのは、これを防ぐためです。

例えば、主監督機関の法域内に居住していない個人があるデータ処理の影響を大きく受けている場合、主監督機関以外の監督機関が対応に対する発言権をもっているということを明確にするためです。
上で紹介したGDPR第4条(22)(b) は、データ主体が該当する加盟国の国籍を持っている必要がない点に注意しましょう。

関係する監督機関が対応を行う場合について書いてあるのがGDPR第56条(2)-(5)です。主監督機関が主導しないと決定した場合は、通知を受けた関係する監督機関が対応を行います。(GDPR第61条(相互補助の原則)、GDPR第62条(監督機関の協業))

たとえば、次のようなケースが該当します。

主要な拠点がフランスにあるマーケティング会社がポルトガルのデータ主体のみに影響を与えるようなせいひんを発売したとします。この場合、フランスの監督機関とポルトガルの監督機関の間で、該当する処理についてはポルトガルの監督機関が主導して対応するとの合意がされることとなるでしょう。ポルトガルの監督機関は協力協定に基づいて、データ管理者に処理に関する情報手強を求めることとなるでしょう。

フランスとポルトガルの監督機関は、GDPR前文127に従い、処理行為がポルトガルのみにしか影響を与えないと判断して役割を分担したということになります。

GDPRは主監督機関と関係する監督機関が協力し、双方の見解を尊重することで、効果的な対応策がとられることを期待しています。
公式な一貫性のメカニズム発動プロセスは、最終手段として発動されるべきものとされています。

決定をmutual acceptance(相互受容)というときには、結論のみならず、監督機関のアクション方法にも影響を及ぼします。(組織全体を調査するのか、一部のみを調査するのか等)

主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(10)

弊社では今、ウェブサイトの更新を行っておりますが、そこでデータ・プライバシーの専門家育成を行おうと考えております。
GDPR対応のご相談では私ひとりでは対応しきれないほどのご相談をいただいております。

その一方で、データ・プライバシーは欧州にとどまらない問題となっているため、専門家の需要は今後高まる一方です。
人材育成は即席でできるものではないので1年ほどかけて勉強していただければと考えています。
ご関心のある方がいらっしゃったらぜひご連絡いただければ幸いです。

引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
2.3 処理者(Processor)

GDPRでは処理者も主監督機関を持つことが可能です。
GDPR第4条(16)(b)によると、処理者の主要な拠点は処理者の欧州統括拠点となります。もし欧州統括拠点がない場合は主要な処理活動が行われている欧州域内の拠点が主要な拠点となります。

ただし、前文36にあるとおり、管理者、処理者両者に関わる問題が生じた場合は管理者の主監督機関が対応を主導します。この場合、処理者の主監督機関は「関連する監督機関」となる点に注意してください。

これも、管理者が欧州域内に拠点を持つ場合にのみ該当し、GDPR第3条(2)に基づいてGDPRが適用される場合は該当しなくなる点に注意ください。

クラウドサービス等、異なる国の複数の管理者が使用しているサービスを提供している処理者については、管理者ごとに主監督機関が異なることとなるため、結果的に複数の監督機関に対応することとなってしまいます。

主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(9)

前回投稿した投稿に関連してですが、IAPPのKnowledge chapter Tokyoの活動の一環にできないか考えてます。
現在調整をしていますので、詳細が決まれば改めて周知いたします。

日本の企業の動きはGDPR施行後、急にあわただしくなってきました。
かなり遅い印象がぬぐえませんが、何もしはいよりもはるかに良いので、ぜひ対応を進めてほしいと思います。

GDPR対応は可能であればコンサルティングサービスや弁護士事務所と進めるのが良いと思います。
独力でも対応可能ですが、その場合は、ガイドラインや関連書籍を読むことをかならずして、適切に対応してください。
また、Privacy Noticeは法定文書となるため、弁護士事務所に作成、レビューしてもらうことを推奨します。

逆にマネジメント体制については、弁護士事務所では対応が難しい可能性があるためマネジメントシステムについて深い知識をもった専門家に相談するのが良いでしょう。

では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
2.2 ボーダーライン・ケース(Borderline cases)

欧州域内に複数の拠点があるけれども、そのいずれもが意思決定を行っておらず、欧州域外の拠点があらゆる処理の決定を行っているケースがあります。
このようなケースの場合、ワン・ストップ・サービスを享受したくても享受できないことになります。その場合、主監督機関を定めてワン・ストップ・サービスを受けるには欧州域内の拠点の一つに処理行為の決定権をもたせるしかありません。

GDPRは「フォーラム・ショッピング」を許していません。

企業が主要な拠点を持っていると主張しても、個人データの処理についての意思決定がそこで実際に行われていない場合は、監督機関はその主観に基づき、証拠を検証することでどの監督機関が「主監督機関」であるかを決定することとなります。企業はさまざまな問い合わせや積極的な協力要請を受けることとなるでしょう。管理者や処理者は証拠を示さなければならなくなります。証拠としては(有効な)データ処理記録が必要となります。

関連する監督機関が、主要な拠点がどこかを示す証拠書類の提出を求めるケースも生じます。
その場合、関連する監督機関と主監督機関はその証拠に基づいて吟味し、本当に主監督機関となるべき監督機関がどこかを決定することとなります。

主監督機関は管理者や処理者が宣言すればそれで妥当とされるものではない点に注意してください。

各国要件設定の進行状況

GDPRでは各国が要件を定められる条項が数多くあります。
昨日ご紹介した、子供の同意に関する要件はその一つです。

今日はDPOの選任義務と登録について紹介します。

まず、DPOの選任義務ですが、定常的に(regular)系統だって(systematic)大規模に(large scale)モニタリングを行っている、または大規模な要配慮データ(sensitive data)を扱っている公共セクターではDPOの選任義務があります。

これに加え、ドイツでは以下の要件があります。

ドイツ:(BDSG 第38条)

  • 個人データの自動処理を扱う従業員を10人以上定常的に雇用している場合DPOの選任義務がある
  • GDPR 第35条にしたがってDPIAを行う必要があるような処理を行っている場合、または移転、匿名化した移転、市場調査または意見調査目的で商業的に個人データを処理する場合にはDPOの存在が必須です。
  • DPOは監督機関への通知が必要ですが、現状以下の国でオンライン通知が可能となっています。

    ベルギー、ブルガリア、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、イタリア、アイルランド、ラトビア、ルクセンブルグ、オランダ、ポーランド、ポルトガル、ルーマニア(pdfのみ)、スロバキア、スロベニア(pdfのみ)、スペイン、スウェーデン、イギリス

    大規模(large-scale)処理については情報が少ないのですが、

    オランダ DPAは健康情報における大規模(large-scale)は、病院、薬局とも一つのシステムに患者10,000名以上の健康情報が入っている場合が該当するとしています。

    エストニアは5,000名以上に関する特別カテゴリーのデータを持っているとき、大規模(large-scale)処理とみなされるとしています。

    その他、以下の各国要件があります。

    オーストリア:画像処理について追加セキュリティ要件を設定(DSG 3.13)
    ドイツ:データ主体の権利行使を断る場合、その根拠を文書化(BDSG第34条)
    クロアチア:CCTVによる録画に対して、アクセス制限やログの記録等特別な要求を設定。CCTVを従業員、建物スタッフの監視に使用することを禁止(クロアチア法第28条)
    オランダ:社会保障関連の事案(病状によって支払いをサポートする等)については健康情報に関するデータ処理の禁止を除外する(UAVG 第30条)

    公共の利益、科学的調査、歴史的調査におけるアーカイブ目的または統計目的でのデータ処理については特別条項を定めている国が多くなっています。

    同意が有効となる子供の年齢(国別の設定)

    GDPR第8条1項では同意に関して以下の通り定められています。

    Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child.
    Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years.

    同意に基づいて情報社会サービスを直接子供に提供する場合、子供が16歳以上のときのみ、個人データの処理は適法である。子供が16歳未満の場合は親権者による同意を得られた場合にのみ、または親権者によって同意の承認を得られた場合にのみ個人データの処理が適法となる。加盟国は、各国法によって、この年齢制限を13歳を下回らない範囲であるならば、下げることが可能である。

    加盟国ごとの「子供の年齢」はすべて出揃っています。詳しくは、以下の記事をご覧ください。

    GDPRにおける親権者の同意が必要な子供の年齢は各国で異なるのですか?

    主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(8)

    関西のプライバシー専門家ネットワーク構築をしたいと考えています。
    7月の上旬にPrivacy After Hoursというネットワーキング・イベントを開催する準備をしています。

    Data Privacy の専門家、弁護士、ISOの専門家、サイバーセキュリティの専門家で横のつながりを生み、
    関西でのData Privacyの活動を盛り上げるきっかけにしたいと思います。

    関心のある方はぜひご参加ください。

    では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


    2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
    2.1.2 企業グループ(Groups of undertakings)

    企業グループにおける意思決定の仕組みはやや複雑です。これは、他の拠点への越境移転を行う権限を各企業が持つためです。

    考え方の目安としては、以下の通りとすればよいでしょう。

    企業グループが個人データの処理を行っており、その本社機能が欧州域内にある場合、全体のコントロールを行っている企業拠点が意思決定の場とみなされます。すなわち、全体のコントロールを行っている企業拠点がグループ全体の主要な拠点とみなされます。(処理の目的と手段を決めているのが別の拠点の場合はその拠点を主要な拠点とみなします。)

    2.1.3 協同データ管理者(Joint data controllers)
    GDPR26条(1)前文79で定義される共同管理者については、主監督機関をどこにすべきかということは定められていません。

    ワンス・トップ・サービスを享受するためには、共同管理者の責任区分を明確にする取り決めの中で、処理行為の目的と手段を決定する権限がどの拠点にあるかを明確化しておくと良いでしょう。その拠点を主要な拠点と考えることで主監督機関を選定可能となります。(主要な拠点はGDPR82条(4)の責任を負う点に注意ください。)

    主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(7)

    「GDPRについて教えてほしい」とおっしゃる際に、よく「名刺データはどうしたらよいのでしょうか」というご質問があります。
    特にB2Bのビジネスを行っている企業さんは、名刺データがどの程度機微なものか戸惑われています。

    結論から言えば、名刺データは個人データに該当するものの、「個人の自由と権利」を侵害する度合いがそれほど高いものではありません。
    特に欧州域内に拠点がない場合はそれほど本格的な対策が求められることはないと考えてもよいでしょう。

    とはいえ、欧州の個人データを取り扱っているという認識だけは持っておくのがよろしいかと思います。

    では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


    2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
    2.1.1 管理者の「主要な拠点」が欧州統括拠点と異なる場合に管理者の「主要な拠点」を特定する判定基準(Criteria for identifying a controller’s main establishment in cases where it is not the place of its central administration in the EU.)

    管理者の統括拠点の判定基準が該当しない場合はGDPR前文36を参照して管理者の主要な拠点を決めます。この際考慮すべきことは、恒久的な体制として、処理の目的と手段を決定する実質的かつ実際のマネジメント活動が行われているかどうかということです。
    GDPR前文36は「個人データの処理または処理活動に用いる技術を使用しているまたはそのための技術が存在している、というだけでは主要な拠点とみなすことはできない」としています。

    実質的に処理の目的と手段を決めていること、
    その決定が欧州全域の拠点に影響を与えること、
    処理の目的と手段を決めているマネジメント体制が恒久的に存在すること

    が判断基準になる、ということです。

    主監督機関がどこかを決定するのは管理者自身です。
    しかし、他の監督機関がその決定に異議を申し立てる可能性があることにも注意をしてください。
    (都合のよいように決定しても覆される可能性が残るということです)

    統括拠点が欧州域内にない場合、管理者の主要な拠点を決定する上で以下の要素を考慮してください。

  • 処理の目的と手段についての決定に「最終承認」を与えるのはどこか?
  • データ処理を含むビジネス活動についての決定を行うのはどこか?
  • 実質的に決定事項を実装する権限があるのはどこか?
  • 越境処理についての全体的なマネジメント責任をもった責任者はどこに所在するか?
  • 一カ国にしか拠点がない場合、管理者、処理者が法人として登録しているのはどこか?
  • 上記を考慮すればすべてが事足りるというわけではありません。場合によっては上記以外も考慮する必要が出てくるかもしれません。監督機関が管理者の定めた「主要な拠点」の妥当性に疑念を感じ場合、監督機関はその証拠を示す追加の情報を要求することができます。

    主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(6)

    JETROのお仕事をしていると、多くの企業の方がJETROの資料を読み込んでらっしゃることを感じます。
    ただ、GDPR施行前に作成されたもののためか、JETROの資料は少し難しいですね。結局何をしたらいいのかがわからない、となってしまっている印象があります。

    英語が読めるのであれば、海外のGDPR紹介サイト(ICOのGDPRサイト)を読んで理解するほうが早いかもしれません。

    では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


    2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
    2.1 管理者の「主要な拠点」を特定する(Identify the ‘main establishment’ for controllers)

    主要な拠点の場所を決定するためには、まず管理者の欧州内における統括拠点を特定する必要があります。GDPRでは、個人データの処理の目的と手段を決定している場所が統括拠点となります。また、そのような場所には処理の目的と手段を決定し、実装する権限があります。

    GDPRで主監督機関を定める主な目的は、越境処理の監督を一つの欧州域内に存在する監督機関だけに行わせることにあります。
    しかし、主監督機関は必ずしもひとつだけというわけではありません。

    欧州統括拠点で越境処理活動についての決定が行われているのであれば、多国籍企業が行うさまざまなデータ処理活動を監督する主監督機関は一つだけとなります。一方で、欧州統括拠点以外の拠点が独立性を保っており、ある特定の処理活動について処理の目的と手段を決定している場合は、主監督機関が二つ以上となる可能性もあります。
    (たとえば多国籍企業が異なる国で異なる処理活動について、意思決定を行う中心的な拠点を個別にもつ場合が該当(例2のケース))

    企業はどこが処理の目的と手段を決定しているか、正確に特定する必要があります。
    管理者、処理者は、主監督機関に対してDPOの選任の連絡やリスクのある処理活動についての相談を行うこととなりますので、管理者、処理者にとってもどの監督機関と協議を行う必要があるか明確になることは有益なことでしょう。

    例1:食品小売会社の例
    本社(統括拠点)がオランダのロッテルダムにある食品小売会社の例です。この会社は欧州域内のさまざまな国に拠点を持ち、それぞれの国の消費者と接点を持っています。
    この会社ではマーケティング目的で、消費者の個人データを全社共通のソフトで管理しています。消費者の個人データの処理について、目的と手段を決定するのはロッテルダム本社です。この場合、この食品小売会社の越境処理についての主監督機関はオランダの監督機関となります。

    例2:銀行の例
    フランクフルトに本社がある銀行の例です。銀行業務の処理活動はすべて本社が主導していますが、保険部門はウィーンにあります。
    もし、ウィーンの拠点が保険に関するデータ処理活動についての決定権をもち、欧州全体に対して実装を行っているのであれば、保険目的の越境処理についてはオーストリアの監督機関が主監督機関となります。銀行業務についての個人データ処理については、顧客の所在地がどこであろうと、ドイツの監督機関(ヘッセン監督機関)が監督することとなります。

    一点注意が必要なことは、主監督機関を決めたら主監督機関としかやり取りをしなくなるというわけではありません。
    地元の監督機関が監督に入る場合も依然として残ります。

    GDPR前文127が示すように、ローカル事案については地元の監督機関が取り扱うことがあります。
    「二つ以上の加盟国に拠点を持つ管理者、処理者について、主監督機関ではない各監督機関が一つの加盟国のみで行われている処理に関するローカル事案について取り扱う権限を保持する。例えば、加盟国の雇用に関連した従業員データ処理についてにの事案の場合等が該当する」

    雇用に関連するHRデータについては複数の監督機関の監督下におかれる可能性があるということです。

    日本の十分生認定について

    日本の十分生認定については昨年からずっと議論が行われていました。
    6月1日付の日経新聞には「個人データ相互移転 日欧が合意 今秋にも枠組み発効」という記事が出ていましたが、要注意です。

    個人情報保護委員会の発表では「お互いの作業の進展について確認するとともに、可能な限り早期に、個人情報保護法第24条に基づく個人情報保護委員会によるEUの指定及びGDPR第45条に基づく欧州委員会による日本の十分性認定に係る手続を完了させるための作業を加速することに合意しました。」としか書かれていません。

    7月にガイドラインを策定、秋に十分性認定の発行ということはどこにも書かれていません。
    新聞、メディアはニュースになることを報道し、時に事実よりもニュース性を優先することがあるため、注意が必要です。
    十分性認定が得られると、移転対策が容易になるといわれています。具体的には域外越境移転を適法化するためのSCC締結を省くことができるようになります。

    一方で十分性認定は恒久的に有効であることは保証されていません。
    定期的に見直され、場合によっては取り消しということも生じます。(アメリカのセーフ・ハーバーが取り消された例があります)

    余裕がある企業はSCCを念のため締結しておくことがよいでしょう。

    日経新聞ではベラ・ヨウロバー欧州委員のインタビューも掲載しています。記事の信憑性にやや疑念がついているのが残念ですが、以下のやり取りは参考になりますね。
    データ漏洩等のデータ侵害事案がきっかけになることを暗示しています。

    また、公的セクターへの取り締まりについても注意が必要です。
    日本は公的セクターを取り締まることはないのですが、欧州は公的セクターを取り締まります。

    GDPRの実効性がどこまであるかわかりませんが、公的セクターへの働きかけも生じるかもしれません。

    =============
    ――日本企業など域外企業の中には体制整備が完了していないところもあります。

     「現在、日本企業について特定の問題は聞いていない。情報漏洩などの問題が起きれば、扱っているデータの量やそれまでとっていた予防措置などを勘案して処分を決めることになる」
     「民間企業だけでなく、公的セクターによる個人データの扱いも注視している。法的権限として認められている範囲を超えたデータを収集していないか、不要になったデータを削除せず抱え込んでいないかを確認したい」

    主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(5)

    データ主体は自身の個人データを事業者に対してある目的を達成するために実質上貸し出しています。
    個人データを取扱っている事業者は「個人データ」を借り受けているという感覚が重要です。

    アナロジーとして、友達に車を貸したときのことを考えてみてください。

  • あなたは車を大切に使ってくれるものと期待することでしょう。傷つけてほしくないし、へこませるなんてもってのほかですね。
  • もし車に何かあれば、友達はすぐに知らせてくれるべきだと期待するでしょう。隠し立てしたら友情が壊れます。
  • 子どもの送り迎えのために車を貸すという約束が、いつの間にか引っ越しの手伝いのために使われていたと分かると気分が悪いですよね。引っ越しの手伝いのために使うのであれば最初から言っておいてほしいというのが本音でしょう。
  • 返すときはガソリン代くらいは払っておいてもらいたいですよね
  • 子どもの送り迎えが終わったのに便利だから買い物用に借り続ける、となると腹が立ちますね。貸したままずっと返してくれないというのはルール違反です。
  • いかがでしょう。「個人データ」をどう扱うかの肌感覚がわかればよいと思います。

    では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


    1.主監督機関の特定:鍵となる考え方 (Identifying a lead supervisory authority: the key concepts.)
    1.3 主要な拠点(Main establishment)

    主要な拠点については、GDPR第4条(16)の定義を参照してください。

    as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment;

    二つ以上の加盟国に拠点がある管理者については、欧州における統括拠点のある場所のことです。ただし、欧州域内の管理者の別の拠点が処理の目的と手段を決め、その実装を決定する権限を持っている場合は、その拠点が主要な拠点とみなされます。

    as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;

    二つ以上の加盟国に拠点がある処理者については、欧州における統括拠点のある場所のことです。欧州域内に統括拠点がない場合、処理者がGDPRの適用を受け、処理者の拠点活動に関連して行われる主な処理活動が行われている
    欧州内の処理者の拠点が主要な拠点となります。(ややこしいですね)