「GDPR」カテゴリーアーカイブ

透明性のガイドライン(WP260 rev.01)を読む(5)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<正確で、透明性のある、理解可能であり容易にアクセス可能である>

【9】
情報が「理解可能である」というのは、情報通知を目にするだろうと意図する対象の平均的な人物が理解できる、ということです。
「理解可能である」という要求は、そのまま「明確で平易な言葉を使用」するという要求に結びつきます。

管理者は情報を取得する対象についての知識を持っているはずなので、その情報を元に対象となる人物が理解可能である内容を定めることができると期待されます。
高い専門性を備えた人についての個人データを取得している管理者は、子供の個人データを取得している管理者よりも高い理解能力を対象に期待してよいでしょう。
もし読み手の理解レベル、情報の透明性が不明である場合は、次のような対応が取れます。

ユーザーパネルにより意見を収集する、読解性試験を行う、公式・非公式で該当する産業グループとやり取り・対話を行う、等

【10】
「正確で、透明性のある、理解可能であり容易にアクセス可能である」という透明性に関する条件は次のような考え方を中心に据えています。

データ主体は個人データを管理者に預けるにあたり、それがどのような結果をもたらし得るのか理解し判断したうえで預けるべきです。
個人データを管理者に預けた後「驚かされる」ようなことが生じてはなりません。

上記の考え方はGDPR第5条(1)の「公平性」と呼応しています。
また、GDPR前文39にも呼応しています。

GDPR前文39を見てみましょう。
ここでは

“[n]atural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal …”
「自然人は個人データの処理に伴うリスク、規則、安全保護策および自身の権利について認識した状態とされなければならない」

とされています。

特に複雑で、技術的、予期せぬデータ処理に関しては、GDPR第13条GDPR第14条記載の内容に加え、該当する処理によってもたらされうるもっとも重要な結果はどのようなものか、別途、明瞭な言葉で詳細に記述すべきだ、という立場をWP29はとっています。

privacy statement/noticeに記載された該当する処理が具体的にどのような影響を与えるのかについて記載する、ということです。

データ管理者は説明責任の原則とGDPR前文39に従い、データ主体の注意を喚起すべき処理があるのかどうか検討しなければなりません。
管理者はこのような過程を経ることで、個人データ保護に関連して個人の基本的人権と自由に大きな影響を与え得る処理についての概要をつかんでおくことが可能となります。

透明性のガイドライン(WP260 rev.01)を読む(4)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

GDPRにおける透明性の要素 (Elements of transparency under the GDPR)

【7】
GDPRで透明性の原理について詳細に記述しているのはGDPR第3章 データ主体の権利(Rights of Data Subject)です。透明性の原理はデータ主体の権利という形で具現します。

GDPR第12条には一般的なルールが記載されています。
1.データ主体への情報提供 (GDPR第13条GDPR第14条
2.データ主体の権利行使についてデータ主体に伝えること(GDPR第15条GDPR第22条
3.データ侵害時のコミュニケーション(GDPR第34条

GDPR第12条では特に、以下のルールに従って情報提供、コミュニケーションがされる必要があると定めています。

  • 正確であること、透明性を保つこと、理解可能であること、容易にアクセス可能であること(GDPR第12条(1))
  • 明快で平易な言葉を使用していること(GDPR第12条(1))
  • 子供に対して情報を提供する場合、明快で平易な言葉を使用していることが特に重要(GDPR第12条(1))
  • 適切な場合、電子的な方法を含む、書面またはその他の方法で情報提供、コミュニケーションを行うこと(GDPR第12条(1))
  • データ主体によって要求された場合は、口頭での情報提供も可能(GDPR第12条(1))
  • 通常は無料で提供しなければならない(GDPR第12条(1))
  • <正確、透明性のある、理解可能であり容易にアクセス可能である>

    【8】
    データ主体に対して情報提供し、コミュニケーションを行う際、「正確で透明性がある」方法で行わなければならない、という要求事項は何を意味しているのでしょうか?
    これは端的にいうと、管理者は、データ主体に情報疲労を起こさせてはならないということです。

    データ主体への情報は、プライバシーに関係しない契約条項や一般的な利用規約とは明確に区別して提供しなければなりません。

    オンラインで情報提供を行う場合、階層構造で情報提供するとデータ主体はprivacy statement/notice内の、知りたいと考えている特定の項目に容易にアクセスできます。
    長文のprivacy statement/noticeをスクロールダウンして該当箇所を探さないといけないという手間を取らせてはなりません。

    透明性のガイドライン(WP260 rev.01)を読む(3)

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    はじめに (Introduction)

    【5】
    GDPRでは、適法根拠如何に関わらず、処理のライフサイクルを通して透明性が要求されます。
    このことはGDPR第12条で以下の処理の段階で透明性を確保するよう規定されていることからも明確です。

  • データ処理サイクルの開始以前又は開始時。(データ主体から個人データが収集されたときまたは個人データをその他の方法で入手したとき)
  • 処理機関の間常時。(データ主体の権利についてデータ主体とやり取りをしているとき)
  • 処理が継続しているある特定の時点。(データ侵害が発生したときや処理について有形の変更が生じた場合)
  • 透明性の意味 (The meaning of transparency)

    【6】
    GDPRには透明性の定義がありません。その代わり、GDPR前文39でデータ処理の文脈における透明性の意味とこの原則の効果について情報提供がされています。

    It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed. The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used. That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed.

    『自身の個人データが収集、使用、参照された自然人に対して透明性を持っていなければならないし、どこまで個人データが使用されているか、または使用される予定なのかについて透明性を持っていなければならない。透明性の原理は、これらの個人データにの処理に関するあらゆる情報やコミュニケーションが容易にアクセス可能であり、容易に理解でき、明確で平易な言葉を使用しているということを要求しています。特に、透明性の原理は管理者の身元や処理の目的、関係する自然人に関して公平で透明な処理を確実なものとすること、処理されている自身の個人データについて、データ主体が確認し、コミュニケーションをとる権利についての情報が明確に示されなければならない。』

    透明性のガイドライン(WP260 rev.01)を読む(2)

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    はじめに (Introduction)

    【3】
    2018年5月25日以前に既に実施されている処理については、GDPR前文171で示されているように、管理者は2018年5月25日以降に要求される透明性の義務(およびその他の義務項目)を満たしていることを再確認しなければなりません。換言すれば、管理者は2018年5月25日までに、個人データの処理についてデータ主体に提供している情報(Privacy statements/notices)がGDPRで要求される透明性の原則に準拠していることを確認しなければならないということです。

    データ主体に提供している情報について変更・追加が必要な場合、それらの変更がGDPR準拠に伴う変更であることをデータ主体に明確に伝えなければなりません。

    WP29としては、これらの変更・追加については、必要最小限となるよう注意しつつ、積極的に公開することを推奨しています。(ウェブサイト上で通知する等)
    ただし、変更が有形または重大なものとなる場合は、このガイドラインのパラグラフ【29】から【32】で記載の方法に従って、データ主体に積極的に通知しなければなりません。

    【4】
    管理者が透明性の原理を遵守すると、データ主体は管理者、処理者の処理活動について明確に理解可能となります。
    また、同意する、同意を取り下げる、データ主体の権利を行使するといったことを行えるようになり、自身の個人データについてコントロールできるようになります。

    GDPRにおける透明性の原理は、ユーザを中心に据えた概念です。
    透明性の原則はGDPR中の条文に様々な形で、管理者、処理者に対する実際上の要求として表現されています。

    実際上の(提示すべき情報の)要件はGDPR第12条からGDPR第14条に説明されています。
    注意してほしいのは、条文に記載している情報のみではなく、情報の質、アクセス性、網羅性も重要な要素だということです。
    これらの情報についてはデータ主体に確実に情報提供されなければなりません。

    透明性のガイドライン(WP260 rev.01)を読む(1)

    今日からは「透明性のガイドライン(WP260 rev.01)」を読んでいきます。これは、ガイドラインの中でももっとも重要なものの一つで、かつもっとも長いものの一つです。

    実際、各国の監督機関は繰り返し「透明性」の重要性に言及してきました。
    確実に対応されることを推奨します。

    透明性のガイドラインはパラグラフごとに番号がふられています。
    全部で70パラグラフあるため、2ヶ月ほどかかりそうですがどうぞお付き合いいただければ幸いです。


    はじめに (Introduction)

    【1】
    このガイドラインは、GDPR下で個人データを処理する際に求められる透明性の義務について、実務上、解釈上の補助となるようにWP29が作成したものです。
    透明性の原則はGDPR全体を支配する義務であり、以下の3つの領域で適用されます。

    (1)公正な処理に関連してデータ主体に情報を提供すること
    (2)GDPR下で管理者がデータ主体にどのように情報を提供するか
    (3)データ主体による権利の行使について管理者がどう支援するか

    ガイドラインで記載される内容は、あらゆる管理者に適用されますので、管理者である限りはこのガイドラインに記載されていることにしたがっていることが期待されます。
    業界、分野、産業ごとに生じうる変数については網羅されませんが、高次でのWP29による解釈を示すものとして理解してください。

    【2】
    「透明性」は、EU法において長い間確立されてきたものの一つです。
    処理の影響を受ける市民が理解し、要すれば処理に対して異議を申し立てることができるようにすることで処理に対する信頼を生み出してきたのが「透明性」です。

    欧州人権憲章(Charter of Fundamental Rights of the European Union)の第8章にある個人データの処理に関する「公平性の原理」を実現するのも、「透明性」の果たす役割の一つです。

    GDPRでは(個人)データを処理する要件として、適法性、公平性という要件に加え、透明性が加わりました。
    透明性は、その性質上、公平性および「説明責任」とも結びついています。

    GDPR第5条(2)によれば、管理者はデータ主体に対して透明性をたもった処理を行っていることを示さなければなりません。GDPRではこれに関連して、説明責任の原則に従い、管理者はデータ処理行為の透明性を説明することができなければなりません。

    Q&A:海外での展示会出展時に注意すべきことは何ですか?

    【2018年7月16日編集】

    海外の展示会については”Privacy Notice”を配布し署名をとっているという情報をいただきましたので、内容を修正しました。


    今日は「展示会」にまつわる質問です。展示会での名刺交換はどのように行うのが良いのでしょうか?

    【Q&A】GDPR:欧州での展示会出展時に注意すべきことは何ですか?

    Q&A:海外での名刺交換時に注意すべきことは何ですか?

    今日と明日はよくいただく質問への回答をさせていただきたいと思います。
    今日は「名刺」にまつわる質問です。名刺は「取引先情報」ですが、個人データに該当します。

    gdpr施行後の名刺の保管方法はどうすればよいのでしょうか?
    詳しくは、下の記事をご覧ください

    海外での名刺交換時に注意すべきことは何ですか?

    (この記事はテクニカ・ゼン株式会社の会員制データサイトプライバシー情報サイトに移行しました。会員の方にはGDPR関連情報やテンプレートをご提供しておりますのでぜひご登録ください。)

     

    プライバシー・プログラム

    交流会:7月9日
    Kansai Data Privacy After Hours

    JETROセミナー:7月12日
    ワークショップ「EU一般データ保護規則(GDPR)対応の基本と対策の始め方」

    データ・プライバシーは、最終的にはマネジメントシステムに収れんします。
    継続的に改善するための作業であるため、一度体制を作ってしまえばあとは運用の問題となるためそれほど大きな負荷は生じません。
    この最初の体制を作るのがとても大変であり、GDPRで問題になったのは主にこの部分だったと理解しています。

    従来の業務体制を大きく変更することになった企業も数多くあると思います。

    このマネジメントシステムはプライバシー・プログラムとも呼ばれます。
    これからプライバシー・プログラムを構築する際には、一般に以下の項目を確認することから始めればよいといわれています。

  • 法令等によって義務として課せられている内容を明確化する
  • プライバシー侵害がもたらすビジネス上のリスク、従業員へのリスク、顧客へのリスクを特定する
  • 既存の社内のドキュメント類、ポリシー類、手順類を特定する
  • プライバシーに関して貢献するようなポリシーや手順書を作成、改訂する
  • ポリシーや手順書を作成する目的は以下です。

  • (最低限)準拠すべき法令、規制を文書化する
  • 消費者の信頼を向上させ、安心感を提供する
  • 組織のイメージを向上させる
  • 社内の従業員、顧客、パートナー、サービス・プロバイダーに対してプライバシー・プログラムの存在を認知してもらう
  • プライバシー・プログラムを継続的に維持、向上させる
  • ごく当たり前のことですが、文書化しようとするとなかなか苦労しますね。
    明文化する中で、すこしずつ社内の方向性がまとまるというのが本当のところではないでしょうか。

    社内業務の文書はプライバシーの専門家の仕事ではありません。
    シックスシグマのブラックベルトが得意とする領域です。

    プライバシーの世界は、さまざまな分野の専門家の力が必要です。
    ダイナミックで面白いのはこのためです。

    主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(12)(最終回)

    交流会:7月9日
    Kansai Data Privacy After Hours

    JETROセミナー:7月12日
    ワークショップ「EU一般データ保護規則(GDPR)対応の基本と対策の始め方」

    Googleが用いているAI開発の7原則を公表しました。
    AI at Google: our principlesという記事です。

    Googleが挙げた7つの原則は以下のものです。

    1. Be socially beneficial. (社会に益があるものであること)
    2. Avoid creating or reinforcing unfair bias.(不当な偏見を生み出したり強化しないこと)
    3. Be built and tested for safety.(安全に作られ、検証されること)
    4. Be accountable to people.(説明可能なものであること)
    5. Incorporate privacy design principles.(プライバシー設計の原則を組み込むこと)
    6. Uphold high standards of scientific excellence.(科学的な卓越性の基準を保ち続けること)
    7. Be made available for uses that accord with these principles. (これらの原則に合致した使用のみを許容すること)

    大きな影響を社会に及ぼす新しい技術は、倫理の問題と対話しながら開発が進みます。
    このブログでも動向を追っていきたいと考えています。

    では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


    3.その他の関連する事項 (Other relevant issues)
    3.2 地域限定の処理(Local processing)

    地域を限定した処理(local processing)はGDPRの協調、一貫性の原理が適用されません。
    たとえば、公的機関によるデータ処理はかならず「地域限定の(local)」処理活動として扱われます。

    そのような処理への対応は、現地尾監督機関の裁量に任されます。

    3.3 EUに拠点を持たない会社(Companies not established within the EU)
    GDPRの協調、一貫性の原理は、欧州域内に拠点を一つないし複数持つ場合にのみ適用されます。

    EU域内に拠点を持たない場合、加盟国内に代理人(representative)がいてもワンストップショップの仕組みを活用することはできません。
    換言すれば、欧州域内に拠点を持たない管理者は、各加盟国の監督機関と、その代理人を通じてやり取りを行う必要があるということです。

    主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(11)

    7月にデータ・プライバシー専門家のネットワーキングイベントを行います。
    ご関心のある方は以下からお申し込みください。

    Kansai Data Privacy After Hours

    この会については、二ヶ月に一度くらいの頻度で引き続き開催していきます。
    IAPPのチャプターイベントの一つにできないかと考えておりますので、CIPP/E、CIPMホルダーの方のご参加をお待ちしております。

    また、JETROさんのセミナーが7月12日広島で決定しました。まだ未定ですが7月13日に岡山でも開催できるよう調整中です。
    7月17日、18日には北陸方面でのセミナーを予定しております。(すべて無料セミナーです)

    お近くにいらっしゃる方はぜひご参加ください。

    引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


    3.その他の関連する事項 (Other relevant issues)
    3.1 「関係する監督機関」の役割(The role of the ‘supervisory authority concerned’)

    「関係する監督機関」の定義はGDPR第4条(22)にあります。

    ‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because:
    a) the controller or processor is established on the territory of the Member State of that supervisory authority;
    b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or
    c) a complaint has been lodged with that supervisory authority;

    「関係する監督機関」とは、以下の理由で個人データの処理に関係している監督機関のこと。
    a) 管理者または処理者が監督機関の所属する加盟国内に拠点を持っている
    b) 監督機関の所属する加盟国内にデータ主体が居住していて、該当する処理によって大きな影響を受けているまたは受ける可能性がある
    c) 該当する監督機関に対して苦情申し立てが行われた

    「主監督機関」を定めると、「主監督機関」以外は軽視されてしまうかもしれません。
    GDPRで「関係する監督機関」という考え方が提示されているのは、これを防ぐためです。

    例えば、主監督機関の法域内に居住していない個人があるデータ処理の影響を大きく受けている場合、主監督機関以外の監督機関が対応に対する発言権をもっているということを明確にするためです。
    上で紹介したGDPR第4条(22)(b) は、データ主体が該当する加盟国の国籍を持っている必要がない点に注意しましょう。

    関係する監督機関が対応を行う場合について書いてあるのがGDPR第56条(2)-(5)です。主監督機関が主導しないと決定した場合は、通知を受けた関係する監督機関が対応を行います。(GDPR第61条(相互補助の原則)、GDPR第62条(監督機関の協業))

    たとえば、次のようなケースが該当します。

    主要な拠点がフランスにあるマーケティング会社がポルトガルのデータ主体のみに影響を与えるようなせいひんを発売したとします。この場合、フランスの監督機関とポルトガルの監督機関の間で、該当する処理についてはポルトガルの監督機関が主導して対応するとの合意がされることとなるでしょう。ポルトガルの監督機関は協力協定に基づいて、データ管理者に処理に関する情報手強を求めることとなるでしょう。

    フランスとポルトガルの監督機関は、GDPR前文127に従い、処理行為がポルトガルのみにしか影響を与えないと判断して役割を分担したということになります。

    GDPRは主監督機関と関係する監督機関が協力し、双方の見解を尊重することで、効果的な対応策がとられることを期待しています。
    公式な一貫性のメカニズム発動プロセスは、最終手段として発動されるべきものとされています。

    決定をmutual acceptance(相互受容)というときには、結論のみならず、監督機関のアクション方法にも影響を及ぼします。(組織全体を調査するのか、一部のみを調査するのか等)