同意には「暗黙の同意(Implied Consent)」というものがあります。

WP29の最新のガイドラインでは「暗黙の同意」に対して否定的な見解が示されていますが、例えば名刺交換等でもらった名刺に書かれたアドレスにe-mailを送る場合は「暗黙の同意」のもと送付する、と考えることができます。
以下はカナダのCanada’s Anti Spam Legislation（カナダアンチスパム法）による説明の引用です。

欧州法とは考え方が異なる可能性がありますが、「暗黙の同意(Implied Consent)」を理解する上で役に立つのでご参照ください。

＜暗黙の同意が成立するケース＞
１．公示されている情報
ウェブサイトや情報誌上に連絡先が掲載されている場合、連絡を取ることに暗黙に同意していると判断されます。

２．公表した情報
名刺を渡したり仕事用アドレスを教えた場合、メールを送信したり連絡を取ることに暗黙に同意したとみなせます。
相手が明示的に自分のメールアドレスをあなたに教えた場合が該当します。

ただし、このようにして得られた情報を活用するのは、あなたの「仕事」に関連する場合のみに限定されます。

３．既存の顧客、取引先の情報
既にビジネス上で取引、見積もり、商品の購入契約や商品・サービスについてのバーター契約がある場合は、連絡先にメールを送ることは「暗黙に同意されている」と考えられます。

４．既存のビジネス外の関係
所属する組織のメンバー、ボランティアグループ、慈善団体等、所属団体のメンバーに対する連絡に対しては「暗黙の同意」が成り立つと考えられます。

名刺についてはGDPR上よく問い合わせがありますが、基本的には「暗黙の同意（Implied Consent）」が成立していると考えてよいでしょう。
GDPRは個人の権利と自由を護るための法律なので、名刺交換による連絡が個人の権利と自由を侵害するというケースは考えにくいといえます。

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

GDPRでは「同意」の要件が非常に厳しくなりました。
個人データの取扱いの適法根拠として「同意」を選択すると、「同意」の記録をとる必要も生じるため注意が必要です。

同意については以下の資料を参考になさってください。

WP29が発行した同意のガイドライン
ICOによる同意のガイドライン

同意を適法根拠にするためにはいくつか要件を満たす必要があります。詳細は以下のページをご覧ください。

Q&A：GDPRにおける「同意」の要件について教えてください

Q&A：加盟国ごとの「子供の同意が有効となる年齢」を教えてください

JETROのGDPR対応ハンドブックによれば、GDPRは個人データの「処理」と「移転」についての法律となっています。
初めて目にする人にはイメージのつかない話ですが、GDPRに慣れるとうまくまとめた言い方だと感じます。

日本でビジネスをしていると「移転」に注目が集まります。欧州から日本に「データを持ってきている」と感じるためです。
しかし、「データの移転」というのは少し意味合いが違うので注意をしてください。

GDPRにはデータの「取得(obtain / collect)」という概念とデータの「移転(transfer)」という概念があります。
「取得」とは「データを入手すること」、「移転」とは「データをある場所から別の場所に移す」ということになります。

したがって、自社のweb site等で欧州の個人にデータを入力してもらう場合、この行為は「取得」となります。
自分で直接取得するので「直接取得」と呼ぶこともあります。

対して「移転」ですが「サーバーA」から「サーバーB」にデータを移す場合、「移転」となります。
「越境（第三国）移転」といわれるのは、「サーバーA」が例えばドイツにあり、「サーバーB」がベルギーにある場合、「サーバーA」から「サーバーB」にデータを移すと国境をまたぐ場合についてです。

ここで、「取得」と「移転」の違いを考えたいと思います。
たとえば、自社のweb site等で欧州の個人にデータを入力してもらい、その保管先が日本のデータセンターにあるデータベース内である場合、これは「取得」でしょうか？それとも「移転」でしょうか？
実は、これは「直接取得」と考えられます。個人データが直接日本のデータサーバに保管されるためです。

欧州から日本にデータが来ているからといって「移転」というわけではないので注意が必要です。

Privacy Professionalという仕事が生まれつつあります。
個人データの法的取り扱い、IT上での取り扱い、そして社内でのマネジメントを担当する仕事です。

私はこの仕事の可能性に着目しています。
それは３つの理由からです。

１．プライバシー、データ保護の重要性がビジネスで増している
２．女性が活躍できる
３．フリーエージェントが活躍できる

Privacy Professionalの役割は、企業と個人の基本的人権の保護を結びつける介在者となることです。
このブログでは繰り返し指摘していますが、個人データ保護とは基本的人権の尊重を実践することです。私はPrivacy Professionalの仕事はnoblesse oblige（ノブレス・オブリージュ）だと考えています。

現在、プライバシーの分野で活躍しているのは弁護士です。
将来的にはPrivacy Professionalという肩書きを持った人が数多く活躍する時代が来ると私は考えています。
弁護士という存在は、その性格上問題が生じたときの対処に強みを持ちます。反面、日常業務の組織運用は不得意とするところです。
Privacy Professionalのフィールドは、弁護士のフィールドと明確なすみわけが可能となります。
弁護士が非常時に対応をする支援者であるとすれば、私たちPrivacy Professionalは何も起こっていない平常時にnoblesse oblige（ノブレス・オブリージュ）を実践する存在です。

IAPPの投稿やスタッフを見ていると自明ですが、この分野は女性が多数活躍しています。Privacyの仕事は女性の感性と強みを活かせる仕事でもあるのです。

日本にも留学経験者や高い学歴を持った女性が増えています。そういった女性が力を十分に発揮できないケースを私は多く見てきました。
私は、Privacy Professionalという新たな役割が、日本でミスマッチの犠牲となっている女性たちに新たな選択肢を提供してくれると考えています。
Privacy Professionalの仕事は、すばらしい才能を持った彼女たちが世界で活躍する道を開いてくれることでしょう。

Privacy Professionalという仕事の面白いところは、フレームワークが固まっているところにあります。フレームワークを抑えてしまうと、あらゆるビジネス形態に応用が利きます。業界への依存度が低いため働く人に自由な仕事の仕方を許容してくれます。価値観の多様化する社会において、これはとても大切なことです。変化の早い時代にあっては、人は常にOne more choice（もう一つの選択肢）を持つべきです。

世界のビジネスがデータ駆動となっている中、Privacyに関わる仕事はますます増えてきます。
このブログが、そんな仕事に興味を持つきっかけになってほしいと願っています。

GDPRの施行日が近づくにつれ、「GDPRが施行される5月26日に何が起こるか」ということに関心が集まっています。
IAPPが毎年3月に行っているGlobal Privacy Summitでは、欧州の監督機関のトップがゲストスピーカーとして招待され、GDPR施行後の見通しについて話をしました。

今回はGDPRそのものではなく、GDPRに関する最新情報をお伝えします。
この記事はIAPPの以下の三つの記事をもとに書いています。もしよろしければ原文もお読みください。

New WP29 chair talks enforcement, role of the DPO
Falque-Pierrotin: We understand GDPR is a learning curve
What will happen on May 26? We asked Helen Dixon

今回登場するのは、次の三人です。

アンドレア・ジェリネック(Andrea Jelinek)： Article 29 Working Partyの議長、オーストリアデータ保護当局　長官
イザベル・ファルク・ピエロタン（Isabelle Falque-Pierrotin）：Article 29 Working Partyの前議長、現 CNIL(情報処理及び自由に関する国家委員会) 委員長
ヘレン・ディクソン（Helen Dixon）アイルランドデータ保護委員会　委員長

アンドレア・ジェリネックはGDPR施行後発足するEDPBの初代長官となる可能性が高いので、特に発言に注目が集まります。

アンドレア・ジェリネックによると、大切なのは監督機関と企業との対話です。DPO（データ保護責任者）はその対話の窓口となる存在なので、非常に重要な役割を担います。DPOは日常的に自社の主監督機関とコミュニケーションを密にとらなければなりません。「DPOはDPA（監督機関）にとって翻訳者のような存在だ」とアンドレア・ジェリネックはいいます。DPOは自社の取締役に何をすべきかを伝え、監督機関には情報提供を行う存在だからです。

アンドレア・ジェリネックによると監督機関としては、「主監督機関がDPOがどのような人で顔が思い浮かぶくらい知っていることが望ましい」と考えています。

また、「是正命令が生じたとしても、それはDPOの責任とならない」ともいっています。「是正命令が発せられるのは、マネジメントの問題であり、会社に対して発せられるものだ。DPOに対してではない。DPOは独立した存在でなければならない」というのが当局の立場です。

アンドレア・ジェリネックは監督機関同士の協力についても発言しています。GDPRではone-stop shopという仕組みが取り入れられるため、監督機関同士の協力が欠かせないからです。現状GDPRについては欧州各国法の整備自体も遅れており、この連携がうまくできるかどうかは見通しが立っていない状態です。アンドレア・ジェリネックが率いるオーストリアの監督機関では、GDPR施行後ハンガリー、ルクセンブルグの監督機関と共同して、one stop shopサービスのシミュレーションを行うことになっています。

企業でも同様にDPOがシミュレーションを実施するとよいでしょう。72時間以内の通知義務というのはなかなかハードルが高いからです。

アンドレア・ジェリネックは制裁金についても言及しています。ただし、彼女によるとこれは最終手段です。制裁金を決定するまでには多くの対話がなされます。丁寧なコミュニケーションが必要です。

CNILのイザベル・ファルク・ピエロタンは、「GDPRは学習段階にある」といっています。監督機関も、すべての企業が5月26日時点で完全に準備が整っているわけではないことを理解しているといっています。

“Even if you’re not finished [preparing for the GDPR] on the 25th,” Falque-Pierrotin said, “this is not a problem. This is a learning curve, and we will take into account, of course, that this is a learning curve.”

これは少し安心できる発言といえるでしょう。ただし、だからといって何もしないわけではありません。大切なのは「今日から」準備を始めることです。

当局は、現実的で、合理的（proportionate）であるべきだというのがイザベル・ファルク・ピエロタンの考えです。

同時に、「プライバシーの問題は法務のみの問題として取り扱ってはならない。会社全体の問題として考えなければならない。すべての会社内の階層で提起され、トップマネジメントの戦略的な決断として決定されなければならない」といいます。

アイルランドデータ保護委員会委員長のヘレン・ディクソンもDPAと企業との間の対話の重要性に触れています。DPOとなる人は、主監督機関を頻繁に訪れ良好な関係を築くことが重要となるでしょう。

ヘレン・ディクソンが特に強調するのは「説明責任」です。説明責任を果たせない場合に制裁金が課せられる可能性があることを示唆しています。

どのようなリスクを重点的に取り締まるのかという質問に対しては、「苦情が多いものから」と明快です。ヘレン・ディクソンは、72時間以内の通知がひとつの分水嶺となると見ています。ここで対応できない企業は、「個人データの濫用や個人データ保護の欠如を露呈するだろう」といいます。

同時に、「透明性」の原則が非常に重要であるとも述べています。現状のプライバシー・ノーティスでは「透明性」が十分担保されていないというのがヘレン・ディクソンの考えです。「Ｘ、Ｙ、Ｚの目的で使用するかもしれない」という書き方は「透明性」に欠いた記載といいます。「過去に個人データをどのように使用して製品等の何を改善したのか記載する」ことが必要ではないかといっています。データ主体にとって、具体的な記載があることで「どこまでなら許容できる」ということを考えられるからです。

ヘレン・ディクソンはまた、主監督機関を定めることを強く勧めています。one-stop shopの制度を用いると、話し相手が一つの監督機関に限定されるからです。複数の監督機関と同時並行で話をしなければならなくなると、有事の場合、複雑なコミュニケーションによって大きな混乱が生まれる可能性があると指摘しています。

監督機関の話を聞くと、GDPR対応のポイントが浮かび上がります。現地の監督機関との対話、説明責任、そして透明性の原則が重要視されています。また、主監督機関の決定や、72時間以内の通知体制を整備することも重要です。

欧州はコミュニケーションを重視する社会です。正しい言葉で正しく説明することが重要となります。DPOは欧州や米国で選出するのが賢明かもしれません。

GDPRの施行まであと50日というなかで、こういう話題がどの程度必要とされているかわかりませんが、念のため書いておきます。以下は私の個人的な見解というよりは、CNILというフランスの監督機関(DPA)が提示しているものをIAPPの資料に基づいてまとめたものです。

GDPRへの対応方法は、実は誰も正解を持っていません。条文に示された内容やガイドラインを見ながら一つずつ丁寧に対応するしかありません。2018年5月25日にすべて完了していることはおそらく難しいでしょうが、これは監督機関も理解しています。大切なのは今すぐ対応を始めることです。

【GDPR対応の６ステップ】
ステップ１：
データ保護責任者（Data Protection Officer）またはデータ保護リーダー(Data Protection Leader)を任命する

ステップ２：
データマッピングを実施する

ステップ３：
コンプライアンスに向けた行動について優先付けを行う

ステップ４：
リスクを管理する

ステップ５：
内部規定（プロセス）を整備する

ステップ６：
コンプライアンスの方法について文書化を行う

＜ステップ１＞
データ保護責任者(DPO)とは、GDPRで新たに導入された役割で、会社内のデータ保護についての取組みを監督する立場の人です。欧州のデータ主体を大規模に、定期的、システマチックに監視する場合等一定の要件を満たす場合、設置が必要となります。ステップ１の意図するところは、事務局となり、GDPRに準拠するための社内の活動を取りまとめる人が必要である、ということです。

＜ステップ２＞
データマッピングとは、自社の保有するデータを把握することです。
この作業は大きく４つのステップから成ります。

a) 社内で個人データを取り扱っている全部署、全サービスにヒアリングを行う
b) システムやアプリケーション軸ではなく、（主たる）目的ごとにデータ処理活動をリスト化する。
c) 各データ処理活動に関与するベンダーやデータ処理者を特定する
d) データの移転先や移転先のホスト、保管場所、保管期間を定める

上からもわかるように、この活動は社内の業務を目的やシステムについてすべて再確認する作業となります。経験上、この部分を外注することは困難なので、自社で取り組む必要のが長期的に見てよいでしょう。

また、データが電子的に保管されているため、システムやアプリケーションに目がいってしまうかもしれませんが、最も重要なのはオペレーション（業務）を適法化させることになります。（実際データ漏洩に対する制裁金の上限は全世界の売上高の２ % で、GDPRの原則に違反した場合と比べて低く設定されています）

データマッピングは一度行ったら終わりではなく、継続的にモニタするものです。大規模なビジネスではエクセルではなく、専用のソフトを使用するとよいでしょう。小さな組織、データ処理が複雑でない組織ではエクセルでもかまいません。

＜ステップ３＞
データ・マッピングの結果、自社内の保有する（欧州）個人データにはどのようなものがあるかを知ることができます。（”data inventory”、これをデータ・インベントリといいます。）GDPR対応のための土台が整っているので、次は、現在、未来にわたり何をすべきか定めるというステップに進みます。

指針となるのが、データ主体の権利と自由を保護するため何から取り組まなければならないかです。一度にすべてを行うことはできないため、優先順位をつけて対応を進めます。
CNILは、ここで以下に示す６つのステップを必ず経るよう推奨しています。

(a) 本当に必要な個人データのみを収集、処理している点を確認する
(b) データ処理の適法根拠を特定する
(c) 既存のGDPRのノーティス（通知）規定に合致するよう、プライバシー・ノーティスを見直す
(d) 取引先のベンダーにGDPRが求める新たな義務事項を理解してもらい、適切に契約書を更新する
(e) データ主体からの要求、データ主体の権利行使があった場合について、対応手順を定める
(f) データ保護策が実装されていることを検証する

具体的には、データ主体の自由と権利を侵害する度合いが高いもの（データ数、データの種類で判断します）から取り組みます。

＜ステップ４＞
たとえば病歴データを収集している場合、そのデータが外部に漏れるとデータ主体の就業に悪影響を与えたり、享受可能なサービスが不当に受けられなくなるようなことが考えられます。このように、自社の個人データ処理が、個人の権利と自由という観点からデータ主体に高いリスクを及ぼす場合、その処理に対してデータ保護影響評価(DPIA: Data Protection Impact Assessment)を実施しなければなりません。

リスクを特定し、リスクを低減するための手段を講じること。これがステップ４で行うことです。

＜ステップ５＞
リスク管理の後は、社内プロセスの整備を行います。社内の個人データの取り扱いが常に安全であるような仕組みを組織内に根付かせます。データ処理活動のライフサイクルを通じて生じうるあらゆる出来事を想定しながらプロセス化します。

社内プロセス化についてのCNILのガイドラインは以下の通りです。

– 設計、適用、実作業において、データ保護の原則が考慮されていること
– 従業員の認知を高めるための社内トレーニング、コミュニケーション計画を建てる。また必要に応じて関係する従業員や上長に情報が確実に上申される仕組みとなること
– 個人のデータ保護権に関するデータ主体のすべての要求にたいおうすること
– 監督機関や影響を受けたデータ主体との組織的コミュニケーションを確実なものとすることにより、データ侵害に備えること（これは72時間以内に対応が必要となるケースもある）

＜ステップ６＞
GDPRの要求に適合していることを示すためには、データ保護とデータの安全策を継続的に確実なものとするためレビュー、更新できるように、書類としてまとめておく必要があります。

具体的には以下の書類を用意します。

– データ処理活動の記録（管理者の場合）、データ処理の種類の記録（処理者の場合）
– リスクの高い処理についてのDPIA結果
– データ移転の安全性を担保するメカニズムの説明
– プライバシー・ノーティス
– 同意が適法根拠であることを示す証拠と同意フォーム
– データ主体のデータ保護権に対応するための手順書
– ベンダーやデータ処理者との契約書
– データ侵害に対する内部手順書

欧州におけるデータ・プライバシー対応を行う際、管理者と処理者を明確に定義する必要があります。

管理者と処理者は親会社か子会社かという関係性ではなく、処理の目的と手段を決めているのは誰かをもとに判断して決めます。

詳しくは、下の記事をご覧ください

【Q&A】Cookie：管理者と処理者について教えてください海外での名刺交換時に注意すべきことは何ですか？

（この記事はテクニカ・ゼン株式会社の会員制データサイトプライバシー情報サイトに移行しました。会員の方にはGDPR関連情報やテンプレートをご提供しておりますのでぜひご登録ください。）

GDPRは個人データの処理について、データ主体（個人）の権利と自由を護る法律です。個人データの処理がIT化した現代では、電子データに対する安全措置がすべてではありませんが、ひとつのポイントとなります。GDPRでは法律の専門家とITの専門家が協力して対応を進めないとならないといわれる理由です。

GDPRの原則である第5条には”appropriate security of personal data”（個人データに対する適切な安全措置）（1項(f)）、”appropriate technical and organisational measures … in order to safeguard the rights and freedoms of the data subject”(データ主体の権利と自由を護るための技術的、組織的適切な手段)といった言葉が見えます。

処理の安全性について記載されているのは第32条です。”Security of processing”（処理の安全性）では、組織に対して保有するデータに対して”ensure a level of security appropriate to the risk”（リスクに応じたセキュリティレベルほ保証すること）とあります。

GDPR 第32条に適合した IT 対策とは具体的に何を指すのでしょうか。詳しくは以下の記事を参照してください。

GDPR 第 32 条で定められている安全保護策とは具体的に何をすることですか?

5月25日も押し迫っているので、読者の皆様がGDPRについてある程度ご存知であるという前提でしばらく書き進めていきます。そのため、さまざまなテーマについて取り上げますが、実際のコンサルティングの現場からのフィードバックとして受け止めていただければ幸いです。

Article 5 “Principles relating to processing of personal data”の1項(a)には以下の条文が見られます。

Article 5, 1. Personal data shall be:
(a) processed lawfully, fairly and in a transparent manner in relation to the data subject(‘lawfulness, fairness and transparency’)

個人データは
(a) データ主体に対して、適法に、公正に、そして隠し立てなく（透明性を以って）処理されなければならない（「適法性、公平性、透明性」）

GDPR対策の大切なプロセスのひとつに「適法根拠」を定めることがあります。適法根拠は Article 6 “Lawfulness of processing”から選択することとなります。適法根拠を選択するには個人データに対してどのように処理をしているかを確認し、それを元に判断します。プライバシーチームが判断してもよいでしょうが、できれば欧州方の資格を持った弁護士のリーガルオピニオンをもらいながら決定するとより確実となります。

アセスメントでは、つい自分たちにとって都合のよい適法根拠を選択したくなりますが、「公正」であることも重要なポイントとなります。fairnessというのは、力関係に依存せず、自社の哲学に照らして正しいことを行うということです。GDPR対策がわかりにくいと思われるのは、このfairnessの概念が「自社の哲学」を求めるためでしょう。その根本は意外と単純で「知りて悪をなすな」という点に尽きるのでしょう。「隠し立てなく」という点も実は同じことを言っています。

各処理については適法根拠を定め、記録しておく必要があります。
記録には、なぜその適法根拠となったかも同時に残しておいてください。説明責任を果たすための必要な記録のひとつとなります。

GDPRが施行される2018年5月25日が迫る中、日本の大手企業各社が急ピッチで準備を進めています。
GDPR対応は5月25日がゴールというわけではありません。むしろ、5月25日はスタート地点に過ぎません。あらためて、GDPRという法律の本質について考えてみます。

GDPRは、その制裁金の金額ばかり着目されていますが、本質は「個人の自由と権利を守る」ことにあります。ここを正しく理解していないと「形ばかりの対応」となり、時間と資金を浪費することとなります。

これについては、Article 5 “Principles relating to processing of personal data”(個人データの処理に関する原則)を正しく理解することが重要です。

GDPRのもうひとつ大切なポイントは「データ保護体制の維持」です。社内で扱っている欧州個人データの保護体制を継続的にモニタし、適切な保護体制が維持されるよう PDCA をまわすこと、すなわちマネジメントシステムを個人データ保護に対しても維持することです。実際は欧州の個人データのみを切り分けて管理するというのは現実的ではないかもしれません。その場合、会社としては全社的に個人データ保護体制の導入を行うことが必要となります。

すでにいくつかのGDPRコンサルティング会社では導入されていますが、データ管理はエクセルではなく、個人データ保護用のソフトを導入するのがよいでしょう。個人データ保護に特化したソフトは、適法根拠の記録、同意の記録、データ移転の記録、DPIA(データ保護影響評価)の記録、その他議事録の記録、データ主体の権利への対応等、必要な機能が一箇所で行えるよう設計されているからです。

IAPP（国際プライバシー専門家協会）がソフトウェアベンダーを紹介しています。ぜひ参照してください。日系企業であれば日本語で対応したくなるかもしれませんが、ソフトの質を考えると海外製品のほうがはるかに使い勝手がよいというのが実情です。

また、プライバシーを専門的に扱うチームを設置し、チームでのデータマネジメントも必要となるでしょう。

日本の企業は法令・規格対応が苦手です。その理由は文面を愚直に守ることに重きを置きすぎるからです。このあたりの感覚を含めて、プライバシーチームには欧米のチームメンバまたはチームリーダを入れておくことがよいでしょう。