透明性のガイドライン(WP260 rev.01)を読む(1)

今日からは「透明性のガイドライン(WP260 rev.01)」を読んでいきます。これは、ガイドラインの中でももっとも重要なものの一つで、かつもっとも長いものの一つです。

実際、各国の監督機関は繰り返し「透明性」の重要性に言及してきました。
確実に対応されることを推奨します。

透明性のガイドラインはパラグラフごとに番号がふられています。
全部で70パラグラフあるため、2ヶ月ほどかかりそうですがどうぞお付き合いいただければ幸いです。


はじめに (Introduction)

【1】
このガイドラインは、GDPR下で個人データを処理する際に求められる透明性の義務について、実務上、解釈上の補助となるようにWP29が作成したものです。
透明性の原則はGDPR全体を支配する義務であり、以下の3つの領域で適用されます。

(1)公正な処理に関連してデータ主体に情報を提供すること
(2)GDPR下で管理者がデータ主体にどのように情報を提供するか
(3)データ主体による権利の行使について管理者がどう支援するか

ガイドラインで記載される内容は、あらゆる管理者に適用されますので、管理者である限りはこのガイドラインに記載されていることにしたがっていることが期待されます。
業界、分野、産業ごとに生じうる変数については網羅されませんが、高次でのWP29による解釈を示すものとして理解してください。

【2】
「透明性」は、EU法において長い間確立されてきたものの一つです。
処理の影響を受ける市民が理解し、要すれば処理に対して異議を申し立てることができるようにすることで処理に対する信頼を生み出してきたのが「透明性」です。

欧州人権憲章(Charter of Fundamental Rights of the European Union)の第8章にある個人データの処理に関する「公平性の原理」を実現するのも、「透明性」の果たす役割の一つです。

GDPRでは(個人)データを処理する要件として、適法性、公平性という要件に加え、透明性が加わりました。
透明性は、その性質上、公平性および「説明責任」とも結びついています。

GDPR第5条(2)によれば、管理者はデータ主体に対して透明性をたもった処理を行っていることを示さなければなりません。GDPRではこれに関連して、説明責任の原則に従い、管理者はデータ処理行為の透明性を説明することができなければなりません。

Q&A:海外での展示会出展時に注意すべきことは何ですか?

【2018年7月16日編集】

海外の展示会については”Privacy Notice”を配布し署名をとっているという情報をいただきましたので、内容を修正しました。


今日は「展示会」にまつわる質問です。展示会での名刺交換はどのように行うのが良いのでしょうか?

【Q&A】GDPR:欧州での展示会出展時に注意すべきことは何ですか?

Q&A:海外での名刺交換時に注意すべきことは何ですか?

今日と明日はよくいただく質問への回答をさせていただきたいと思います。
今日は「名刺」にまつわる質問です。名刺は「取引先情報」ですが、個人データに該当します。

gdpr施行後の名刺の保管方法はどうすればよいのでしょうか?
詳しくは、下の記事をご覧ください

海外での名刺交換時に注意すべきことは何ですか?

(この記事はテクニカ・ゼン株式会社の会員制データサイトプライバシー情報サイトに移行しました。会員の方にはGDPR関連情報やテンプレートをご提供しておりますのでぜひご登録ください。)

 

プライバシー・プログラム

交流会:7月9日
Kansai Data Privacy After Hours

JETROセミナー:7月12日
ワークショップ「EU一般データ保護規則(GDPR)対応の基本と対策の始め方」

データ・プライバシーは、最終的にはマネジメントシステムに収れんします。
継続的に改善するための作業であるため、一度体制を作ってしまえばあとは運用の問題となるためそれほど大きな負荷は生じません。
この最初の体制を作るのがとても大変であり、GDPRで問題になったのは主にこの部分だったと理解しています。

従来の業務体制を大きく変更することになった企業も数多くあると思います。

このマネジメントシステムはプライバシー・プログラムとも呼ばれます。
これからプライバシー・プログラムを構築する際には、一般に以下の項目を確認することから始めればよいといわれています。

  • 法令等によって義務として課せられている内容を明確化する
  • プライバシー侵害がもたらすビジネス上のリスク、従業員へのリスク、顧客へのリスクを特定する
  • 既存の社内のドキュメント類、ポリシー類、手順類を特定する
  • プライバシーに関して貢献するようなポリシーや手順書を作成、改訂する
  • ポリシーや手順書を作成する目的は以下です。

  • (最低限)準拠すべき法令、規制を文書化する
  • 消費者の信頼を向上させ、安心感を提供する
  • 組織のイメージを向上させる
  • 社内の従業員、顧客、パートナー、サービス・プロバイダーに対してプライバシー・プログラムの存在を認知してもらう
  • プライバシー・プログラムを継続的に維持、向上させる
  • ごく当たり前のことですが、文書化しようとするとなかなか苦労しますね。
    明文化する中で、すこしずつ社内の方向性がまとまるというのが本当のところではないでしょうか。

    社内業務の文書はプライバシーの専門家の仕事ではありません。
    シックスシグマのブラックベルトが得意とする領域です。

    プライバシーの世界は、さまざまな分野の専門家の力が必要です。
    ダイナミックで面白いのはこのためです。

    主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(12)(最終回)

    交流会:7月9日
    Kansai Data Privacy After Hours

    JETROセミナー:7月12日
    ワークショップ「EU一般データ保護規則(GDPR)対応の基本と対策の始め方」

    Googleが用いているAI開発の7原則を公表しました。
    AI at Google: our principlesという記事です。

    Googleが挙げた7つの原則は以下のものです。

    1. Be socially beneficial. (社会に益があるものであること)
    2. Avoid creating or reinforcing unfair bias.(不当な偏見を生み出したり強化しないこと)
    3. Be built and tested for safety.(安全に作られ、検証されること)
    4. Be accountable to people.(説明可能なものであること)
    5. Incorporate privacy design principles.(プライバシー設計の原則を組み込むこと)
    6. Uphold high standards of scientific excellence.(科学的な卓越性の基準を保ち続けること)
    7. Be made available for uses that accord with these principles. (これらの原則に合致した使用のみを許容すること)

    大きな影響を社会に及ぼす新しい技術は、倫理の問題と対話しながら開発が進みます。
    このブログでも動向を追っていきたいと考えています。

    では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


    3.その他の関連する事項 (Other relevant issues)
    3.2 地域限定の処理(Local processing)

    地域を限定した処理(local processing)はGDPRの協調、一貫性の原理が適用されません。
    たとえば、公的機関によるデータ処理はかならず「地域限定の(local)」処理活動として扱われます。

    そのような処理への対応は、現地尾監督機関の裁量に任されます。

    3.3 EUに拠点を持たない会社(Companies not established within the EU)
    GDPRの協調、一貫性の原理は、欧州域内に拠点を一つないし複数持つ場合にのみ適用されます。

    EU域内に拠点を持たない場合、加盟国内に代理人(representative)がいてもワンストップショップの仕組みを活用することはできません。
    換言すれば、欧州域内に拠点を持たない管理者は、各加盟国の監督機関と、その代理人を通じてやり取りを行う必要があるということです。

    主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(11)

    7月にデータ・プライバシー専門家のネットワーキングイベントを行います。
    ご関心のある方は以下からお申し込みください。

    Kansai Data Privacy After Hours

    この会については、二ヶ月に一度くらいの頻度で引き続き開催していきます。
    IAPPのチャプターイベントの一つにできないかと考えておりますので、CIPP/E、CIPMホルダーの方のご参加をお待ちしております。

    また、JETROさんのセミナーが7月12日広島で決定しました。まだ未定ですが7月13日に岡山でも開催できるよう調整中です。
    7月17日、18日には北陸方面でのセミナーを予定しております。(すべて無料セミナーです)

    お近くにいらっしゃる方はぜひご参加ください。

    引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


    3.その他の関連する事項 (Other relevant issues)
    3.1 「関係する監督機関」の役割(The role of the ‘supervisory authority concerned’)

    「関係する監督機関」の定義はGDPR第4条(22)にあります。

    ‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because:
    a) the controller or processor is established on the territory of the Member State of that supervisory authority;
    b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or
    c) a complaint has been lodged with that supervisory authority;

    「関係する監督機関」とは、以下の理由で個人データの処理に関係している監督機関のこと。
    a) 管理者または処理者が監督機関の所属する加盟国内に拠点を持っている
    b) 監督機関の所属する加盟国内にデータ主体が居住していて、該当する処理によって大きな影響を受けているまたは受ける可能性がある
    c) 該当する監督機関に対して苦情申し立てが行われた

    「主監督機関」を定めると、「主監督機関」以外は軽視されてしまうかもしれません。
    GDPRで「関係する監督機関」という考え方が提示されているのは、これを防ぐためです。

    例えば、主監督機関の法域内に居住していない個人があるデータ処理の影響を大きく受けている場合、主監督機関以外の監督機関が対応に対する発言権をもっているということを明確にするためです。
    上で紹介したGDPR第4条(22)(b) は、データ主体が該当する加盟国の国籍を持っている必要がない点に注意しましょう。

    関係する監督機関が対応を行う場合について書いてあるのがGDPR第56条(2)-(5)です。主監督機関が主導しないと決定した場合は、通知を受けた関係する監督機関が対応を行います。(GDPR第61条(相互補助の原則)、GDPR第62条(監督機関の協業))

    たとえば、次のようなケースが該当します。

    主要な拠点がフランスにあるマーケティング会社がポルトガルのデータ主体のみに影響を与えるようなせいひんを発売したとします。この場合、フランスの監督機関とポルトガルの監督機関の間で、該当する処理についてはポルトガルの監督機関が主導して対応するとの合意がされることとなるでしょう。ポルトガルの監督機関は協力協定に基づいて、データ管理者に処理に関する情報手強を求めることとなるでしょう。

    フランスとポルトガルの監督機関は、GDPR前文127に従い、処理行為がポルトガルのみにしか影響を与えないと判断して役割を分担したということになります。

    GDPRは主監督機関と関係する監督機関が協力し、双方の見解を尊重することで、効果的な対応策がとられることを期待しています。
    公式な一貫性のメカニズム発動プロセスは、最終手段として発動されるべきものとされています。

    決定をmutual acceptance(相互受容)というときには、結論のみならず、監督機関のアクション方法にも影響を及ぼします。(組織全体を調査するのか、一部のみを調査するのか等)

    主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(10)

    弊社では今、ウェブサイトの更新を行っておりますが、そこでデータ・プライバシーの専門家育成を行おうと考えております。
    GDPR対応のご相談では私ひとりでは対応しきれないほどのご相談をいただいております。

    その一方で、データ・プライバシーは欧州にとどまらない問題となっているため、専門家の需要は今後高まる一方です。
    人材育成は即席でできるものではないので1年ほどかけて勉強していただければと考えています。
    ご関心のある方がいらっしゃったらぜひご連絡いただければ幸いです。

    引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


    2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
    2.3 処理者(Processor)

    GDPRでは処理者も主監督機関を持つことが可能です。
    GDPR第4条(16)(b)によると、処理者の主要な拠点は処理者の欧州統括拠点となります。もし欧州統括拠点がない場合は主要な処理活動が行われている欧州域内の拠点が主要な拠点となります。

    ただし、前文36にあるとおり、管理者、処理者両者に関わる問題が生じた場合は管理者の主監督機関が対応を主導します。この場合、処理者の主監督機関は「関連する監督機関」となる点に注意してください。

    これも、管理者が欧州域内に拠点を持つ場合にのみ該当し、GDPR第3条(2)に基づいてGDPRが適用される場合は該当しなくなる点に注意ください。

    クラウドサービス等、異なる国の複数の管理者が使用しているサービスを提供している処理者については、管理者ごとに主監督機関が異なることとなるため、結果的に複数の監督機関に対応することとなってしまいます。

    主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(9)

    前回投稿した投稿に関連してですが、IAPPのKnowledge chapter Tokyoの活動の一環にできないか考えてます。
    現在調整をしていますので、詳細が決まれば改めて周知いたします。

    日本の企業の動きはGDPR施行後、急にあわただしくなってきました。
    かなり遅い印象がぬぐえませんが、何もしはいよりもはるかに良いので、ぜひ対応を進めてほしいと思います。

    GDPR対応は可能であればコンサルティングサービスや弁護士事務所と進めるのが良いと思います。
    独力でも対応可能ですが、その場合は、ガイドラインや関連書籍を読むことをかならずして、適切に対応してください。
    また、Privacy Noticeは法定文書となるため、弁護士事務所に作成、レビューしてもらうことを推奨します。

    逆にマネジメント体制については、弁護士事務所では対応が難しい可能性があるためマネジメントシステムについて深い知識をもった専門家に相談するのが良いでしょう。

    では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


    2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
    2.2 ボーダーライン・ケース(Borderline cases)

    欧州域内に複数の拠点があるけれども、そのいずれもが意思決定を行っておらず、欧州域外の拠点があらゆる処理の決定を行っているケースがあります。
    このようなケースの場合、ワン・ストップ・サービスを享受したくても享受できないことになります。その場合、主監督機関を定めてワン・ストップ・サービスを受けるには欧州域内の拠点の一つに処理行為の決定権をもたせるしかありません。

    GDPRは「フォーラム・ショッピング」を許していません。

    企業が主要な拠点を持っていると主張しても、個人データの処理についての意思決定がそこで実際に行われていない場合は、監督機関はその主観に基づき、証拠を検証することでどの監督機関が「主監督機関」であるかを決定することとなります。企業はさまざまな問い合わせや積極的な協力要請を受けることとなるでしょう。管理者や処理者は証拠を示さなければならなくなります。証拠としては(有効な)データ処理記録が必要となります。

    関連する監督機関が、主要な拠点がどこかを示す証拠書類の提出を求めるケースも生じます。
    その場合、関連する監督機関と主監督機関はその証拠に基づいて吟味し、本当に主監督機関となるべき監督機関がどこかを決定することとなります。

    主監督機関は管理者や処理者が宣言すればそれで妥当とされるものではない点に注意してください。

    各国要件設定の進行状況

    GDPRでは各国が要件を定められる条項が数多くあります。
    昨日ご紹介した、子供の同意に関する要件はその一つです。

    今日はDPOの選任義務と登録について紹介します。

    まず、DPOの選任義務ですが、定常的に(regular)系統だって(systematic)大規模に(large scale)モニタリングを行っている、または大規模な要配慮データ(sensitive data)を扱っている公共セクターではDPOの選任義務があります。

    これに加え、ドイツでは以下の要件があります。

    ドイツ:(BDSG 第38条)

  • 個人データの自動処理を扱う従業員を10人以上定常的に雇用している場合DPOの選任義務がある
  • GDPR 第35条にしたがってDPIAを行う必要があるような処理を行っている場合、または移転、匿名化した移転、市場調査または意見調査目的で商業的に個人データを処理する場合にはDPOの存在が必須です。
  • DPOは監督機関への通知が必要ですが、現状以下の国でオンライン通知が可能となっています。

    ベルギー、ブルガリア、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、イタリア、アイルランド、ラトビア、ルクセンブルグ、オランダ、ポーランド、ポルトガル、ルーマニア(pdfのみ)、スロバキア、スロベニア(pdfのみ)、スペイン、スウェーデン、イギリス

    大規模(large-scale)処理については情報が少ないのですが、

    オランダ DPAは健康情報における大規模(large-scale)は、病院、薬局とも一つのシステムに患者10,000名以上の健康情報が入っている場合が該当するとしています。

    エストニアは5,000名以上に関する特別カテゴリーのデータを持っているとき、大規模(large-scale)処理とみなされるとしています。

    その他、以下の各国要件があります。

    オーストリア:画像処理について追加セキュリティ要件を設定(DSG 3.13)
    ドイツ:データ主体の権利行使を断る場合、その根拠を文書化(BDSG第34条)
    クロアチア:CCTVによる録画に対して、アクセス制限やログの記録等特別な要求を設定。CCTVを従業員、建物スタッフの監視に使用することを禁止(クロアチア法第28条)
    オランダ:社会保障関連の事案(病状によって支払いをサポートする等)については健康情報に関するデータ処理の禁止を除外する(UAVG 第30条)

    公共の利益、科学的調査、歴史的調査におけるアーカイブ目的または統計目的でのデータ処理については特別条項を定めている国が多くなっています。

    同意が有効となる子供の年齢(国別の設定)

    GDPR第8条1項では同意に関して以下の通り定められています。

    Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child.
    Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years.

    同意に基づいて情報社会サービスを直接子供に提供する場合、子供が16歳以上のときのみ、個人データの処理は適法である。子供が16歳未満の場合は親権者による同意を得られた場合にのみ、または親権者によって同意の承認を得られた場合にのみ個人データの処理が適法となる。加盟国は、各国法によって、この年齢制限を13歳を下回らない範囲であるならば、下げることが可能である。

    加盟国ごとの「子供の年齢」はすべて出揃っています。詳しくは、以下の記事をご覧ください。

    GDPRにおける親権者の同意が必要な子供の年齢は各国で異なるのですか?