主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(8)

関西のプライバシー専門家ネットワーク構築をしたいと考えています。
7月の上旬にPrivacy After Hoursというネットワーキング・イベントを開催する準備をしています。

Data Privacy の専門家、弁護士、ISOの専門家、サイバーセキュリティの専門家で横のつながりを生み、
関西でのData Privacyの活動を盛り上げるきっかけにしたいと思います。

関心のある方はぜひご参加ください。

では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
2.1.2 企業グループ(Groups of undertakings)

企業グループにおける意思決定の仕組みはやや複雑です。これは、他の拠点への越境移転を行う権限を各企業が持つためです。

考え方の目安としては、以下の通りとすればよいでしょう。

企業グループが個人データの処理を行っており、その本社機能が欧州域内にある場合、全体のコントロールを行っている企業拠点が意思決定の場とみなされます。すなわち、全体のコントロールを行っている企業拠点がグループ全体の主要な拠点とみなされます。(処理の目的と手段を決めているのが別の拠点の場合はその拠点を主要な拠点とみなします。)

2.1.3 協同データ管理者(Joint data controllers)
GDPR26条(1)前文79で定義される共同管理者については、主監督機関をどこにすべきかということは定められていません。

ワンス・トップ・サービスを享受するためには、共同管理者の責任区分を明確にする取り決めの中で、処理行為の目的と手段を決定する権限がどの拠点にあるかを明確化しておくと良いでしょう。その拠点を主要な拠点と考えることで主監督機関を選定可能となります。(主要な拠点はGDPR82条(4)の責任を負う点に注意ください。)

主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(7)

「GDPRについて教えてほしい」とおっしゃる際に、よく「名刺データはどうしたらよいのでしょうか」というご質問があります。
特にB2Bのビジネスを行っている企業さんは、名刺データがどの程度機微なものか戸惑われています。

結論から言えば、名刺データは個人データに該当するものの、「個人の自由と権利」を侵害する度合いがそれほど高いものではありません。
特に欧州域内に拠点がない場合はそれほど本格的な対策が求められることはないと考えてもよいでしょう。

とはいえ、欧州の個人データを取り扱っているという認識だけは持っておくのがよろしいかと思います。

では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
2.1.1 管理者の「主要な拠点」が欧州統括拠点と異なる場合に管理者の「主要な拠点」を特定する判定基準(Criteria for identifying a controller’s main establishment in cases where it is not the place of its central administration in the EU.)

管理者の統括拠点の判定基準が該当しない場合はGDPR前文36を参照して管理者の主要な拠点を決めます。この際考慮すべきことは、恒久的な体制として、処理の目的と手段を決定する実質的かつ実際のマネジメント活動が行われているかどうかということです。
GDPR前文36は「個人データの処理または処理活動に用いる技術を使用しているまたはそのための技術が存在している、というだけでは主要な拠点とみなすことはできない」としています。

実質的に処理の目的と手段を決めていること、
その決定が欧州全域の拠点に影響を与えること、
処理の目的と手段を決めているマネジメント体制が恒久的に存在すること

が判断基準になる、ということです。

主監督機関がどこかを決定するのは管理者自身です。
しかし、他の監督機関がその決定に異議を申し立てる可能性があることにも注意をしてください。
(都合のよいように決定しても覆される可能性が残るということです)

統括拠点が欧州域内にない場合、管理者の主要な拠点を決定する上で以下の要素を考慮してください。

  • 処理の目的と手段についての決定に「最終承認」を与えるのはどこか?
  • データ処理を含むビジネス活動についての決定を行うのはどこか?
  • 実質的に決定事項を実装する権限があるのはどこか?
  • 越境処理についての全体的なマネジメント責任をもった責任者はどこに所在するか?
  • 一カ国にしか拠点がない場合、管理者、処理者が法人として登録しているのはどこか?
  • 上記を考慮すればすべてが事足りるというわけではありません。場合によっては上記以外も考慮する必要が出てくるかもしれません。監督機関が管理者の定めた「主要な拠点」の妥当性に疑念を感じ場合、監督機関はその証拠を示す追加の情報を要求することができます。

    主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(6)

    JETROのお仕事をしていると、多くの企業の方がJETROの資料を読み込んでらっしゃることを感じます。
    ただ、GDPR施行前に作成されたもののためか、JETROの資料は少し難しいですね。結局何をしたらいいのかがわからない、となってしまっている印象があります。

    英語が読めるのであれば、海外のGDPR紹介サイト(ICOのGDPRサイト)を読んで理解するほうが早いかもしれません。

    では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


    2.主監督機関を特定するステップ (Steps to identify the lead supervisory authority)
    2.1 管理者の「主要な拠点」を特定する(Identify the ‘main establishment’ for controllers)

    主要な拠点の場所を決定するためには、まず管理者の欧州内における統括拠点を特定する必要があります。GDPRでは、個人データの処理の目的と手段を決定している場所が統括拠点となります。また、そのような場所には処理の目的と手段を決定し、実装する権限があります。

    GDPRで主監督機関を定める主な目的は、越境処理の監督を一つの欧州域内に存在する監督機関だけに行わせることにあります。
    しかし、主監督機関は必ずしもひとつだけというわけではありません。

    欧州統括拠点で越境処理活動についての決定が行われているのであれば、多国籍企業が行うさまざまなデータ処理活動を監督する主監督機関は一つだけとなります。一方で、欧州統括拠点以外の拠点が独立性を保っており、ある特定の処理活動について処理の目的と手段を決定している場合は、主監督機関が二つ以上となる可能性もあります。
    (たとえば多国籍企業が異なる国で異なる処理活動について、意思決定を行う中心的な拠点を個別にもつ場合が該当(例2のケース))

    企業はどこが処理の目的と手段を決定しているか、正確に特定する必要があります。
    管理者、処理者は、主監督機関に対してDPOの選任の連絡やリスクのある処理活動についての相談を行うこととなりますので、管理者、処理者にとってもどの監督機関と協議を行う必要があるか明確になることは有益なことでしょう。

    例1:食品小売会社の例
    本社(統括拠点)がオランダのロッテルダムにある食品小売会社の例です。この会社は欧州域内のさまざまな国に拠点を持ち、それぞれの国の消費者と接点を持っています。
    この会社ではマーケティング目的で、消費者の個人データを全社共通のソフトで管理しています。消費者の個人データの処理について、目的と手段を決定するのはロッテルダム本社です。この場合、この食品小売会社の越境処理についての主監督機関はオランダの監督機関となります。

    例2:銀行の例
    フランクフルトに本社がある銀行の例です。銀行業務の処理活動はすべて本社が主導していますが、保険部門はウィーンにあります。
    もし、ウィーンの拠点が保険に関するデータ処理活動についての決定権をもち、欧州全体に対して実装を行っているのであれば、保険目的の越境処理についてはオーストリアの監督機関が主監督機関となります。銀行業務についての個人データ処理については、顧客の所在地がどこであろうと、ドイツの監督機関(ヘッセン監督機関)が監督することとなります。

    一点注意が必要なことは、主監督機関を決めたら主監督機関としかやり取りをしなくなるというわけではありません。
    地元の監督機関が監督に入る場合も依然として残ります。

    GDPR前文127が示すように、ローカル事案については地元の監督機関が取り扱うことがあります。
    「二つ以上の加盟国に拠点を持つ管理者、処理者について、主監督機関ではない各監督機関が一つの加盟国のみで行われている処理に関するローカル事案について取り扱う権限を保持する。例えば、加盟国の雇用に関連した従業員データ処理についてにの事案の場合等が該当する」

    雇用に関連するHRデータについては複数の監督機関の監督下におかれる可能性があるということです。

    日本の十分生認定について

    日本の十分生認定については昨年からずっと議論が行われていました。
    6月1日付の日経新聞には「個人データ相互移転 日欧が合意 今秋にも枠組み発効」という記事が出ていましたが、要注意です。

    個人情報保護委員会の発表では「お互いの作業の進展について確認するとともに、可能な限り早期に、個人情報保護法第24条に基づく個人情報保護委員会によるEUの指定及びGDPR第45条に基づく欧州委員会による日本の十分性認定に係る手続を完了させるための作業を加速することに合意しました。」としか書かれていません。

    7月にガイドラインを策定、秋に十分性認定の発行ということはどこにも書かれていません。
    新聞、メディアはニュースになることを報道し、時に事実よりもニュース性を優先することがあるため、注意が必要です。
    十分性認定が得られると、移転対策が容易になるといわれています。具体的には域外越境移転を適法化するためのSCC締結を省くことができるようになります。

    一方で十分性認定は恒久的に有効であることは保証されていません。
    定期的に見直され、場合によっては取り消しということも生じます。(アメリカのセーフ・ハーバーが取り消された例があります)

    余裕がある企業はSCCを念のため締結しておくことがよいでしょう。

    日経新聞ではベラ・ヨウロバー欧州委員のインタビューも掲載しています。記事の信憑性にやや疑念がついているのが残念ですが、以下のやり取りは参考になりますね。
    データ漏洩等のデータ侵害事案がきっかけになることを暗示しています。

    また、公的セクターへの取り締まりについても注意が必要です。
    日本は公的セクターを取り締まることはないのですが、欧州は公的セクターを取り締まります。

    GDPRの実効性がどこまであるかわかりませんが、公的セクターへの働きかけも生じるかもしれません。

    =============
    ――日本企業など域外企業の中には体制整備が完了していないところもあります。

     「現在、日本企業について特定の問題は聞いていない。情報漏洩などの問題が起きれば、扱っているデータの量やそれまでとっていた予防措置などを勘案して処分を決めることになる」
     「民間企業だけでなく、公的セクターによる個人データの扱いも注視している。法的権限として認められている範囲を超えたデータを収集していないか、不要になったデータを削除せず抱え込んでいないかを確認したい」

    主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(5)

    データ主体は自身の個人データを事業者に対してある目的を達成するために実質上貸し出しています。
    個人データを取扱っている事業者は「個人データ」を借り受けているという感覚が重要です。

    アナロジーとして、友達に車を貸したときのことを考えてみてください。

  • あなたは車を大切に使ってくれるものと期待することでしょう。傷つけてほしくないし、へこませるなんてもってのほかですね。
  • もし車に何かあれば、友達はすぐに知らせてくれるべきだと期待するでしょう。隠し立てしたら友情が壊れます。
  • 子どもの送り迎えのために車を貸すという約束が、いつの間にか引っ越しの手伝いのために使われていたと分かると気分が悪いですよね。引っ越しの手伝いのために使うのであれば最初から言っておいてほしいというのが本音でしょう。
  • 返すときはガソリン代くらいは払っておいてもらいたいですよね
  • 子どもの送り迎えが終わったのに便利だから買い物用に借り続ける、となると腹が立ちますね。貸したままずっと返してくれないというのはルール違反です。
  • いかがでしょう。「個人データ」をどう扱うかの肌感覚がわかればよいと思います。

    では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


    1.主監督機関の特定:鍵となる考え方 (Identifying a lead supervisory authority: the key concepts.)
    1.3 主要な拠点(Main establishment)

    主要な拠点については、GDPR第4条(16)の定義を参照してください。

    as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment;

    二つ以上の加盟国に拠点がある管理者については、欧州における統括拠点のある場所のことです。ただし、欧州域内の管理者の別の拠点が処理の目的と手段を決め、その実装を決定する権限を持っている場合は、その拠点が主要な拠点とみなされます。

    as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;

    二つ以上の加盟国に拠点がある処理者については、欧州における統括拠点のある場所のことです。欧州域内に統括拠点がない場合、処理者がGDPRの適用を受け、処理者の拠点活動に関連して行われる主な処理活動が行われている
    欧州内の処理者の拠点が主要な拠点となります。(ややこしいですね)