引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
【36】
管理者が階層アプローチを採用する際の最初の階層に提示する情報（データ主体と接する際に管理者が最初に示す方法）、階層化したprivacy statement/noticeの最初の階層に示すべき情報としてWP29が推奨するのは以下の情報です。

（最初の階層に含むべき情報、データ主体が最初に目にすべき情報）

これらの情報は個人データを取得する際にデータ主体に直接的に提示されなければなりません。たとえば、データ主体が情報をオンラインフォームを入力しているときに表示される等の方法がその一つです。

あらかじめ情報を提示する重要性はGDPR前文39に示されています。
管理者は何を優先的に提示することとし、その理由は何かについて説明責任を負いますが、WP29は、公平性の原理に鑑みて、上記の情報の他、最初の階層にはデータ主体に最も大きな影響を与えるような情報を提示すべきだと考えています。それによってデータ主体は第一階層にある情報だけで、自身にその処理がどういう影響を与え得るかを理解できます。（パラグラフ【10】も参照のこと）

【37】
電子形式での情報通知では、オンラインの階層化されたprivacy statement/noticeの他に追加措置をとることも可能でしょう。
関係するデータ主体個人の立場やデータ主体が利用しようとしている商品、サービスに特有の、テーラーメードの情報を提供する等です。

WP29は階層化されたオンラインprivacy statements/noticeを使用することを推奨していますが、他の手段を排除するものではないことに注意してください。
透明性の原理に適合できるようなその他の革新的な方法があれば、ぜひ活用すべきです。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
【34】
GDPRはデータ主体にすべての情報を提供するように要求するとともに、正確で、透明性があり、理解可能で容易にアクセスできる形態での情報提供を行うことを要求しています。
一見相反する要求ですが、説明責任および公平性の原理に鑑みて、管理者は自身が行う個人データの処理の本質、状況、文脈を分析し、GDPRの要求事項とこのガイドライン（の特にパラグラフ【36】）で説明される内容を考慮に入れてデータ主体に提供すべきデータについて、どう優先づけるか、どの程度まで詳細に情報提供を行うべきか、およびどのような形態で情報を通底すべきかについて決定する必要があります。

＜電子的な環境における階層アプローチおよび階層化されたprivacy statements/notice＞
【35】
電子媒体での情報通知の場合、データ主体に提供される情報量によっては透明性を確保するために階層アプローチをとることも可能です。
WP29としても、privacy statements/noticeは、すべての情報をスクリーン上にすべて提示するのではなく、データ主体に提供しなければならない情報へのリンクを含んだ構造としておくべきだと考えてます。
情報が多すぎると情報疲労を起こしてしまうためです。

privacy statements/noticeを階層化することでユーザは読みたい個所に直接移動でき、情報の完全性と理解しやすさをともに実現するという難題を解決できます。

階層化するといっても、単にネスト化するだけではいけません。
ユーザが複数クリックしなければ知りたい情報にたどり着けないというのは好ましくありません。

privacy statements/noticeの最初の階層は、データ主体が自身の個人データの処理について得ることができる情報を概観し、privacy statements/noticeのどこで（どのように）その情報を入手できるのか理解できるものである必要があります。また、異なる階層に含まれている情報の間で一貫性が保たれていて矛盾がないことも重要です。　

7月12日、7月13日は更新をお休みさせていただきますのでよろしくお願いいたします。
7月17日から再開させていただきます。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜GDPR第13条、GDPR第14条の情報に変更があった場合の通知(Timing of notification of changes to Article 13 and Article 14 information)＞

【32】
GDPR第13条、GDPR第14条に準拠した透明性の原理に基づく提供情報に変更がない場合でも、もしユーザが長期利用していない場合は情報を覚えていない可能性があります。
そのため、管理者はデータ主体が容易にPrivacy statement/noticeにアクセスし、内容を確認できるようにしておく必要があります。
管理者は説明責任の原則に従って、どれくらいの間隔でデータ主体にprivacy statement/noticeの内容を再提示し、データ主体がどこで自ら確認できるかについて、管理者はあらかじめ定めておく必要があります。

<様式：情報提供のフォーマット(Modalities - format of information provision)>

【33】
GDPR第13条、GDPR第14条にはともに「以下の情報をデータ主体に提供すること」(“provide the data subject with all of the following information…”)という記載があります。この際大切なことは、管理者は、データ主体に対して能動的にそれらの情報を提示しなければなりません。もしくは、それらの情報を得られる場所を能動的に提示しなければなりません。ダイレクト・リンクを貼る、またはQRコードで読み込ませる、という方法が良いでしょう。

ウェブサイトやアプリの利用規約の一部とするなど、データ主体が情報を探し回るような状況を作ってはなりません。
【11】で示した例を確認してください。また【17】で述べたとおり、ウェブサイト上の電子的なフォーム、紙面を問わず、全情報が一つの場所、一つの文書にまとまっている必要があります。全体を読みたいと思ったときにはすぐに（容易に）読める状態にしておく必要があります。

ダイヤモンドオンラインで「日本企業初の「GDPR」違反の可能性、プリンスホテルなど」という記事が出ていました。
制裁金に至るまでにはまだ時間がかかるでしょうが、こういった事象が起きたときに説明責任をしっかり果たせるよう準備が必要です。

中小企業の方も少しずつ対応を開始してくださっており、とても良いことだと思います。
弊社でもGDPRコンサルティングスタッフを一名追加してご支援対応を強化させていただいております。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜GDPR第13条、GDPR第14条の情報に変更があった場合の通知(Timing of notification of changes to Article 13 and Article 14 information)＞

【30】
従前データ主体に提供されていたGDPR第13条、GDPR第14条に準拠した情報に変更があった場合、データ主体にその変更をいつまでに通知する必要があるかについて、
GDPR上は特に言及がありません。

（GDPR第13条(3)およびGDPR第14条(4)で言及されている通り、新たな目的の追加については該当処理が発生する前に情報通知する義務があります）

GDPR第14条でにおける情報通知のタイミングに鑑みると、管理者はデータ主体の合理的期待、変更がデータ主体に及ぼし得る影響の大きさに関連して公平性の原理と説明責任の原理を遵守しなければなりません。
例えば受領者の種類が増えるまたは第三国へのデータ移転が生じる等、処理の本質に対して大きな変更を説明するための通知となるのであれば、実際の変更がなされるよりも十分前にデータ主体にその変更を通知する必要があります。
処理の本質に対して大きな変更はないにしろ、データ主体に対して影響があるような変更である場合も同様です。

その際、データ主体ははっきりと通知されたことを認識し、かつ実効性のある形で通知を受け取らなければなりません。
データ主体が変更を「見逃さない」こと、そしてその変更の性質と影響について考え、（処理に反対し同意を撤回する等）変更に関してGDPR上で許容される権利行使を行う余地を与えられることが大切です。

【31】
管理者は透明性の原理に基づいた情報の更新が必要となる場合について、その文脈と状況を注意深く考えて更新を行わなければなりません。
つまり、どの程度大きな影響をデータ主体に与えるのか、どのような形でデータ主体に伝えたらよいか、といったことを考える必要があります。

通知から処理の変更の実施までの時間がどれくらいであったか、そしてそれがなぜデータ主体に対して公平性を保っているかの説明もできなければなりません。

WP29は、公平性の原理に立てば、データ主体に対して処理の変更がどのような影響を及ぼし得るか説明する義務が、管理者にはあると考えています。

処理の種類が全く変更になる場合、透明性の原理を果たしただけでは不十分です。
GDPRの他の規則をすべて遵守すべきである点を忘れてはなりません。

ブラジルがGDPRの影響を受けた法案をパブリック・コンサルテーションに付しました。
GDPR型のデータ・プライバシー法がますます広がっています。海外展開している場合は対策を進めてください。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜情報提供のタイミング(Timing for provision of information)＞

【28】
GDPR第14条に基づいた情報提供のタイムリミットは、結局1ヶ月以内ということになります。

一方で、GDPRの原則である「公平性」と「説明責任」に立ち戻るのであれば、管理者は常にデータ主体の合理的期待、データ処理がデータ主体に与える影響、データ処理についてデータ主体が行使できる権利、を考慮しなければなりません。データ主体にいつ情報通知を行う際は、こういった観点から決定してください。
「説明責任」という意味では、管理者は情報通知を行っているタイミングが正当なものであることを合理的に説明できなければなりません。

これらを考慮すれば、「ぎりぎり１ヶ月」という選択肢はなくなるでしょう。

GDPR前文39では以下の点が強調されています。

「データ主体はそのような個人データの処理がもたらすリスク、処理に関するルール、安全保護策、および処理に付随するデータ主体の権利および権利の行使の仕方」について知らされている必要があります。

GDPR前文60では「データ主体は個人データの処理が存在すること、処理の公平性と透明性の原理に基づいて処理の目的について知らされていなければならない」という要件について指摘されています。

上記の理由から、WP29は以下のような立場をとっています。
データ管理者は、可能である限り、公平性の原理に基づいて、記載されているタイムリミットよりも十分前にデータ主体に対して情報通知を行うべきである。

処理業務についてデータ主体に通知するタイミングについての適切性および実際にそのような処理業務が行われるまでの感覚については【30】、【31】、【48】で言及します。

【29】
透明性の原理はデータ取得時だけではなく、データのライフサイクルすべてに適用されなければなりません。
たとえば既存のprivacy statement/noticeに大きな変更、差し替えがあった場合はどうすべきでしょうか？

この場合、データ管理者は最初のprivacy statement/noticeについてあてはまるルールを当てはめます。

「大きな変更」や「差し替え」が何を指すかは、データ主体への影響の大きさ（データ主体の権利を行使可能かどうかを含む）とその変更がデータ主体の予想を上回るものか、データ主体が驚くようなものか、という点から判断します。

privacy statement/noticeへの変更は常にデータ主体に伝えられなければなりません。
特に、処理の目的が変更となった場合、管理者の身元が変更となったとき、処理についてデータ主体が権利講師をするための方法に変更が生じたときは確実に情報を伝える必要があります。

反対に、WP29が「大きな変更」、「差し替え」に該当しないと考えるのは以下のような場合です。

既存の顧客、ユーザは通常privacy statement/noticeへの変更をちらっと見る程度なので、管理者はあらゆる方法を用いて大半の受領者が変更に気がつくような状態を確実に作らなければなりません。変更の通知は適切な方法をとる必要があるでしょう。たとえば、e-mailを送る、書面の手紙を送付する、ウェブページ上でのポップアップといった、GDPR第12条に記載されている「正確で透明性を保ち、理解可能で、容易にアクセスでき、明快で平易な言葉を使ったコミュニケーション」方法が考えられます。

Privacy statement/noticeの変更についてはデータ主体が継続的に確認するようにと伝えるだけでは不十分ですし、GDPR第5条(1)(a)の公平性の原理に合致していないと判断されます。

データ主体に変更について通知するタイミングについては【30】、【31】でさらに検討します。

JETRO広島さんでのワークショップは日本全国からご参加いただけるようです。それだけGDPRについての情報が足りていないということなのだと思います。
私もJETROさんのご依頼でいろいろとご説明に伺っていますが、月数件が限度であり、まだまだ専門家が足りていないと感じます。

JETROさんではGDPRの専門家をあと3名追加したと聞いています。ぜひご活用いただいたらと思います。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜情報提供のタイミング(Timing for provision of information)＞

【26】
データ処理のサイクルの開始時点でデータ主体に提示しなければならない情報の種類を定めているのがGDPR第13条とGDPR第14条です。
GDPR第13条はデータ主体から直接データを取得するとき、GDPR第14条はデータ主体から間接的にデータを取得するときを想定しています。

直接取得するときとは以下の場合です。

間接的に取得するときとは以下の場合です

【27】
情報提供のタイミングはとても大切です。適切なタイミングに情報を提供できているかどうかで透明性の義務やデータを公正に処理する義務を果たせているかが決まります。
GDPR第13条が該当する場合はGDPR第13条(1)で記載されているように、「個人データが取得されるタイミング」で情報を提示しなければなりません。

GDPR第14条が該当する、間接的に個人データが取得される場合はGDPR第14条(3)(a) – (c)に定められるタイミングでデータ主体に情報を提供しなければなりません。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜適切な方法で(Appropriate measures)＞

【24】
内容と並んで重要なのが、GDPR第13条、GDPR第14条で要求される情報の提供される方法です。
GDPR第13条、GDPR第14条の内容を含んだ通知は、data protection notice、privacy notice、privacy policy、privacy statement、fair processing noticeといった呼び方で呼ばれます。GDPR上にはフォーマットの指定や様式の指定はありませんが、透明性の原理に基づき、「適切な方法」で必要な情報をデータ主体に伝達する義務が管理者にはあるとしています。

管理者はデータが取得される場面、データが処理される場面をよく検討した上で、様式やフォーマットを決定する必要があります。

特に「適切な手段」であるかどうかは、提供するサービス/製品の観点から評価されなければなりません。
使用する装置は何か、管理者とユーザの間のインタフェースはどこにあるか、ユーザとのやり取りはどのようにしているか、といったことを考えてください。
管理者がオンラインでのユーザとの接点を持っている場合は、privacy statement/noticeは階層化された形で提供されるべきです。

【25】
情報提供にもっとも適切な様式を特定する目的でユーザテストを行うこともできます。
ユーザテストでは、提供した方法がユーザにとってどれくらい容易にアクセス可能か、理解できるか、容易に利用できるかを確認できます。
管理者は説明責任を果たす意味でもこのプロセスを文書化しておくとよいでしょう。

情報を伝えるためのもっとも適切な方法を選択する上でのプロセスを明確にすることができます。

アメリカのカリフォルニア州で可決されたプライバシー法は大きなインパクトがあるようですね。
連日大きく報道されています。今後も新しい情報があれば随時アップデートしていきます。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜無料で(…free of charge)＞

【22】
GDPR第12条(5)によると、管理者はGDPR第13条、GDPR第14条に基づく情報通知を行うことへの課金はできません。
同様に、データ主体の権利行使に関するコミュニケーションや行動（GDPR第15条 – GDPR第22条）および個人データ侵害の伝達（GDPR第34条）についても課金はできません。

これを敷衍していえば、透明性の原理に関する要求は無料で行うべきといえます。これは商品・サービスの購入を条件とすることも含んで課金できないということに注意してください。

【データ主体に提供すべき情報（GDPR第13条、GDPR第14条）】
<内容（Content）>
【23】
GDPRでは個人データをデータ主体から直接取得した場合(GDPR第13条)またはデータ主体以外から取得した場合(GDPR第14条)に通知すべき情報を定めています。
この表にはこれらの要求の本質、スコープ、内容についても記載しています。WP29としてはGDPR第13条、GDPR第14条の(1)、(2)の要件に従って提供する情報に本質的な違いはないと考えています。
これらの条項で記載されている情報はどれも等しく重要なので、データ主体に必ず提供されなければなりません。

7月9日の交流会は定員に達しましたので新規の募集を終了いたします。
参加ご希望の方は直接弊社あてにご連絡いただければ幸いです。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜口頭での情報通知も可能(…the information may be provided orally)＞

【20】
GDPR第12条(1)では特に、データ主体からの要求があれば口頭での情報提供も可能とされています。
この場合、データ主体の身元確認を行っておく必要があります。この身元確認は名前の確認だけではなく、より高い確からしさをもってデータ主体が当人であることを確認できる方法である必要があります。

この口頭での情報提供が許容されるのは、GDPR第15条からGDPR第22条およびGDPR第34条に記載されているデータ主体の権利行使を行う場合に限ります。

GDPR第13条、GDPR第14条で要求されている情報通知はこれからユーザとなる人やこれから顧客となる相手に伝えられる必要があります。（それらの相手について管理者は相手を特定する術を持っていません。）
GDPR第13条、GDPR第14条で要求されている情報通知を口頭で行いたい場合は、データ主体の身元確認を必要としない場合のみに許容されることとなります。

【21】
GDPR第13条、GDPR第14条で要求されている高騰での情報提供は、必ずしも人-人のコミュニケーションである必要はありません。
文章での情報に追加する形で自動音声での情報を提供するということも考えられます。

目の不自由な人が情報社会サービスを使用する場合や【19】で言及したようなスクリーンのないスマートデバイスでは自動音声を使用するというオプションがあり得ます。

管理者が音声での情報提供を行う場合、又はデータ主体の要求にしたがって音声での情報提供を行う場合、WP29としては事前に録音しておいた音声情報をもう一度聞けるようにすることが好ましいと考えています。目の不自由なデータ主体や文章での情報通知にアクセスすることができないデータ主体にとっては、自動音声をもう一度聞けるという選択肢があることがとても大切なことです。

データ管理者は(i) 口頭での情報提供の要求があったこと、(ii)データ主体の身元を確認した方法(【20】参照)、(iii)データ主体に情報が提供されたという事実
といったことを確実に記録し、説明責任を果たすために実証できる必要があります。