7月12日、7月13日は更新をお休みさせていただきますのでよろしくお願いいたします。
7月17日から再開させていただきます。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜GDPR第13条、GDPR第14条の情報に変更があった場合の通知(Timing of notification of changes to Article 13 and Article 14 information)＞

【32】
GDPR第13条、GDPR第14条に準拠した透明性の原理に基づく提供情報に変更がない場合でも、もしユーザが長期利用していない場合は情報を覚えていない可能性があります。
そのため、管理者はデータ主体が容易にPrivacy statement/noticeにアクセスし、内容を確認できるようにしておく必要があります。
管理者は説明責任の原則に従って、どれくらいの間隔でデータ主体にprivacy statement/noticeの内容を再提示し、データ主体がどこで自ら確認できるかについて、管理者はあらかじめ定めておく必要があります。

<様式：情報提供のフォーマット(Modalities - format of information provision)>

【33】
GDPR第13条、GDPR第14条にはともに「以下の情報をデータ主体に提供すること」(“provide the data subject with all of the following information…”)という記載があります。この際大切なことは、管理者は、データ主体に対して能動的にそれらの情報を提示しなければなりません。もしくは、それらの情報を得られる場所を能動的に提示しなければなりません。ダイレクト・リンクを貼る、またはQRコードで読み込ませる、という方法が良いでしょう。

ウェブサイトやアプリの利用規約の一部とするなど、データ主体が情報を探し回るような状況を作ってはなりません。
【11】で示した例を確認してください。また【17】で述べたとおり、ウェブサイト上の電子的なフォーム、紙面を問わず、全情報が一つの場所、一つの文書にまとまっている必要があります。全体を読みたいと思ったときにはすぐに（容易に）読める状態にしておく必要があります。

ダイヤモンドオンラインで「日本企業初の「GDPR」違反の可能性、プリンスホテルなど」という記事が出ていました。
制裁金に至るまでにはまだ時間がかかるでしょうが、こういった事象が起きたときに説明責任をしっかり果たせるよう準備が必要です。

中小企業の方も少しずつ対応を開始してくださっており、とても良いことだと思います。
弊社でもGDPRコンサルティングスタッフを一名追加してご支援対応を強化させていただいております。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜GDPR第13条、GDPR第14条の情報に変更があった場合の通知(Timing of notification of changes to Article 13 and Article 14 information)＞

【30】
従前データ主体に提供されていたGDPR第13条、GDPR第14条に準拠した情報に変更があった場合、データ主体にその変更をいつまでに通知する必要があるかについて、
GDPR上は特に言及がありません。

（GDPR第13条(3)およびGDPR第14条(4)で言及されている通り、新たな目的の追加については該当処理が発生する前に情報通知する義務があります）

GDPR第14条でにおける情報通知のタイミングに鑑みると、管理者はデータ主体の合理的期待、変更がデータ主体に及ぼし得る影響の大きさに関連して公平性の原理と説明責任の原理を遵守しなければなりません。
例えば受領者の種類が増えるまたは第三国へのデータ移転が生じる等、処理の本質に対して大きな変更を説明するための通知となるのであれば、実際の変更がなされるよりも十分前にデータ主体にその変更を通知する必要があります。
処理の本質に対して大きな変更はないにしろ、データ主体に対して影響があるような変更である場合も同様です。

その際、データ主体ははっきりと通知されたことを認識し、かつ実効性のある形で通知を受け取らなければなりません。
データ主体が変更を「見逃さない」こと、そしてその変更の性質と影響について考え、（処理に反対し同意を撤回する等）変更に関してGDPR上で許容される権利行使を行う余地を与えられることが大切です。

【31】
管理者は透明性の原理に基づいた情報の更新が必要となる場合について、その文脈と状況を注意深く考えて更新を行わなければなりません。
つまり、どの程度大きな影響をデータ主体に与えるのか、どのような形でデータ主体に伝えたらよいか、といったことを考える必要があります。

通知から処理の変更の実施までの時間がどれくらいであったか、そしてそれがなぜデータ主体に対して公平性を保っているかの説明もできなければなりません。

WP29は、公平性の原理に立てば、データ主体に対して処理の変更がどのような影響を及ぼし得るか説明する義務が、管理者にはあると考えています。

処理の種類が全く変更になる場合、透明性の原理を果たしただけでは不十分です。
GDPRの他の規則をすべて遵守すべきである点を忘れてはなりません。

ブラジルがGDPRの影響を受けた法案をパブリック・コンサルテーションに付しました。
GDPR型のデータ・プライバシー法がますます広がっています。海外展開している場合は対策を進めてください。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜情報提供のタイミング(Timing for provision of information)＞

【28】
GDPR第14条に基づいた情報提供のタイムリミットは、結局1ヶ月以内ということになります。

一方で、GDPRの原則である「公平性」と「説明責任」に立ち戻るのであれば、管理者は常にデータ主体の合理的期待、データ処理がデータ主体に与える影響、データ処理についてデータ主体が行使できる権利、を考慮しなければなりません。データ主体にいつ情報通知を行う際は、こういった観点から決定してください。
「説明責任」という意味では、管理者は情報通知を行っているタイミングが正当なものであることを合理的に説明できなければなりません。

これらを考慮すれば、「ぎりぎり１ヶ月」という選択肢はなくなるでしょう。

GDPR前文39では以下の点が強調されています。

「データ主体はそのような個人データの処理がもたらすリスク、処理に関するルール、安全保護策、および処理に付随するデータ主体の権利および権利の行使の仕方」について知らされている必要があります。

GDPR前文60では「データ主体は個人データの処理が存在すること、処理の公平性と透明性の原理に基づいて処理の目的について知らされていなければならない」という要件について指摘されています。

上記の理由から、WP29は以下のような立場をとっています。
データ管理者は、可能である限り、公平性の原理に基づいて、記載されているタイムリミットよりも十分前にデータ主体に対して情報通知を行うべきである。

処理業務についてデータ主体に通知するタイミングについての適切性および実際にそのような処理業務が行われるまでの感覚については【30】、【31】、【48】で言及します。

【29】
透明性の原理はデータ取得時だけではなく、データのライフサイクルすべてに適用されなければなりません。
たとえば既存のprivacy statement/noticeに大きな変更、差し替えがあった場合はどうすべきでしょうか？

この場合、データ管理者は最初のprivacy statement/noticeについてあてはまるルールを当てはめます。

「大きな変更」や「差し替え」が何を指すかは、データ主体への影響の大きさ（データ主体の権利を行使可能かどうかを含む）とその変更がデータ主体の予想を上回るものか、データ主体が驚くようなものか、という点から判断します。

privacy statement/noticeへの変更は常にデータ主体に伝えられなければなりません。
特に、処理の目的が変更となった場合、管理者の身元が変更となったとき、処理についてデータ主体が権利講師をするための方法に変更が生じたときは確実に情報を伝える必要があります。

反対に、WP29が「大きな変更」、「差し替え」に該当しないと考えるのは以下のような場合です。

既存の顧客、ユーザは通常privacy statement/noticeへの変更をちらっと見る程度なので、管理者はあらゆる方法を用いて大半の受領者が変更に気がつくような状態を確実に作らなければなりません。変更の通知は適切な方法をとる必要があるでしょう。たとえば、e-mailを送る、書面の手紙を送付する、ウェブページ上でのポップアップといった、GDPR第12条に記載されている「正確で透明性を保ち、理解可能で、容易にアクセスでき、明快で平易な言葉を使ったコミュニケーション」方法が考えられます。

Privacy statement/noticeの変更についてはデータ主体が継続的に確認するようにと伝えるだけでは不十分ですし、GDPR第5条(1)(a)の公平性の原理に合致していないと判断されます。

データ主体に変更について通知するタイミングについては【30】、【31】でさらに検討します。

JETRO広島さんでのワークショップは日本全国からご参加いただけるようです。それだけGDPRについての情報が足りていないということなのだと思います。
私もJETROさんのご依頼でいろいろとご説明に伺っていますが、月数件が限度であり、まだまだ専門家が足りていないと感じます。

JETROさんではGDPRの専門家をあと3名追加したと聞いています。ぜひご活用いただいたらと思います。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜情報提供のタイミング(Timing for provision of information)＞

【26】
データ処理のサイクルの開始時点でデータ主体に提示しなければならない情報の種類を定めているのがGDPR第13条とGDPR第14条です。
GDPR第13条はデータ主体から直接データを取得するとき、GDPR第14条はデータ主体から間接的にデータを取得するときを想定しています。

直接取得するときとは以下の場合です。

間接的に取得するときとは以下の場合です

【27】
情報提供のタイミングはとても大切です。適切なタイミングに情報を提供できているかどうかで透明性の義務やデータを公正に処理する義務を果たせているかが決まります。
GDPR第13条が該当する場合はGDPR第13条(1)で記載されているように、「個人データが取得されるタイミング」で情報を提示しなければなりません。

GDPR第14条が該当する、間接的に個人データが取得される場合はGDPR第14条(3)(a) – (c)に定められるタイミングでデータ主体に情報を提供しなければなりません。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜適切な方法で(Appropriate measures)＞

【24】
内容と並んで重要なのが、GDPR第13条、GDPR第14条で要求される情報の提供される方法です。
GDPR第13条、GDPR第14条の内容を含んだ通知は、data protection notice、privacy notice、privacy policy、privacy statement、fair processing noticeといった呼び方で呼ばれます。GDPR上にはフォーマットの指定や様式の指定はありませんが、透明性の原理に基づき、「適切な方法」で必要な情報をデータ主体に伝達する義務が管理者にはあるとしています。

管理者はデータが取得される場面、データが処理される場面をよく検討した上で、様式やフォーマットを決定する必要があります。

特に「適切な手段」であるかどうかは、提供するサービス/製品の観点から評価されなければなりません。
使用する装置は何か、管理者とユーザの間のインタフェースはどこにあるか、ユーザとのやり取りはどのようにしているか、といったことを考えてください。
管理者がオンラインでのユーザとの接点を持っている場合は、privacy statement/noticeは階層化された形で提供されるべきです。

【25】
情報提供にもっとも適切な様式を特定する目的でユーザテストを行うこともできます。
ユーザテストでは、提供した方法がユーザにとってどれくらい容易にアクセス可能か、理解できるか、容易に利用できるかを確認できます。
管理者は説明責任を果たす意味でもこのプロセスを文書化しておくとよいでしょう。

情報を伝えるためのもっとも適切な方法を選択する上でのプロセスを明確にすることができます。

アメリカのカリフォルニア州で可決されたプライバシー法は大きなインパクトがあるようですね。
連日大きく報道されています。今後も新しい情報があれば随時アップデートしていきます。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜無料で(…free of charge)＞

【22】
GDPR第12条(5)によると、管理者はGDPR第13条、GDPR第14条に基づく情報通知を行うことへの課金はできません。
同様に、データ主体の権利行使に関するコミュニケーションや行動（GDPR第15条 – GDPR第22条）および個人データ侵害の伝達（GDPR第34条）についても課金はできません。

これを敷衍していえば、透明性の原理に関する要求は無料で行うべきといえます。これは商品・サービスの購入を条件とすることも含んで課金できないということに注意してください。

【データ主体に提供すべき情報（GDPR第13条、GDPR第14条）】
<内容（Content）>
【23】
GDPRでは個人データをデータ主体から直接取得した場合(GDPR第13条)またはデータ主体以外から取得した場合(GDPR第14条)に通知すべき情報を定めています。
この表にはこれらの要求の本質、スコープ、内容についても記載しています。WP29としてはGDPR第13条、GDPR第14条の(1)、(2)の要件に従って提供する情報に本質的な違いはないと考えています。
これらの条項で記載されている情報はどれも等しく重要なので、データ主体に必ず提供されなければなりません。

7月9日の交流会は定員に達しましたので新規の募集を終了いたします。
参加ご希望の方は直接弊社あてにご連絡いただければ幸いです。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜口頭での情報通知も可能(…the information may be provided orally)＞

【20】
GDPR第12条(1)では特に、データ主体からの要求があれば口頭での情報提供も可能とされています。
この場合、データ主体の身元確認を行っておく必要があります。この身元確認は名前の確認だけではなく、より高い確からしさをもってデータ主体が当人であることを確認できる方法である必要があります。

この口頭での情報提供が許容されるのは、GDPR第15条からGDPR第22条およびGDPR第34条に記載されているデータ主体の権利行使を行う場合に限ります。

GDPR第13条、GDPR第14条で要求されている情報通知はこれからユーザとなる人やこれから顧客となる相手に伝えられる必要があります。（それらの相手について管理者は相手を特定する術を持っていません。）
GDPR第13条、GDPR第14条で要求されている情報通知を口頭で行いたい場合は、データ主体の身元確認を必要としない場合のみに許容されることとなります。

【21】
GDPR第13条、GDPR第14条で要求されている高騰での情報提供は、必ずしも人-人のコミュニケーションである必要はありません。
文章での情報に追加する形で自動音声での情報を提供するということも考えられます。

目の不自由な人が情報社会サービスを使用する場合や【19】で言及したようなスクリーンのないスマートデバイスでは自動音声を使用するというオプションがあり得ます。

管理者が音声での情報提供を行う場合、又はデータ主体の要求にしたがって音声での情報提供を行う場合、WP29としては事前に録音しておいた音声情報をもう一度聞けるようにすることが好ましいと考えています。目の不自由なデータ主体や文章での情報通知にアクセスすることができないデータ主体にとっては、自動音声をもう一度聞けるという選択肢があることがとても大切なことです。

データ管理者は(i) 口頭での情報提供の要求があったこと、(ii)データ主体の身元を確認した方法(【20】参照)、(iii)データ主体に情報が提供されたという事実
といったことを確実に記録し、説明責任を果たすために実証できる必要があります。

2018年6月29日アメリカのカリフォルニア州で新しいprivacy法が誕生しました。
California Consumer Privacy Act of 2018と呼ばれるこの法律はGDPRに近い内容の法律であり、世界中の法律がGDPRに倣い始めていることのあらわれと言って良いと思います。チリでも同様の動きがあり、新憲法にプライバシー法が追記されました。

特に処理の原則については同等の要求が世界中でなされることとなるでしょう。
GDPRを契機に社内のデータ保護体制を見直し始めたほうが良いかもしれません。

GDPRについて、少し気になるニュースも出ています。
6月25日にスロバキアのデータ保護当局が次のようなコメントを出しています。
「２年の準備期間は与えられたのだから零細、小規模、中規模の企業に対して更なる猶予を与えることはない」

GDPRについて何もしないというのは少し難しい状況になりつつあるのではないかと感じます。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜書面またはその他の方法で＞

【18】
電子媒体で階層構造となったprivacy statement/noticeを使用する以外の方法でも、文章による電子的な情報通知を行うことは可能です。
例えば「ジャスト・イン・タイム」方式で文脈に合った情報通知が表示される、3Dで表示される、宙に浮くような形態で表示される、プライバシーダッシュボード等で掲載される等さまざまな方法が取れることでしょう。ビデオやスマートフォン・IoTでの音声によるアラート等、文章によらない情報通知方法も選択肢としてとることが可能です。

電子媒体でないという選択肢もあります。
マンガ、インフォグラフィックス、フローチャートといったものを活用するのも良いでしょう。

子供に向けて透明性の原理についての説明を行う場合は、特に、子供にとってどういう方法がもっともアクセス性が高いかを考えてください。
マンガなのか、ピクトグラムなのか、アニメなのか、といったさまざまな選択肢を取れると思います。

【19】
情報通知を行う方法を選ぶ際は、管理者とデータ主体が接触する場面やデータ主体のデータが取得される場面にふさわしい形で情報通知が行われることを心がけてください。
IoTデバイスやスマートデバイス等、ウェブサイトにアクセスできない、またはスクリーン上で情報通知を確認することができないようなときに、オンライン上でprivacy statement/noticeを掲示しているだけでは不十分といわざるを得ません。

そのような場合、適切な追加措置を行わなければなりません。取扱説明書にprivacy statement/noticeを（ハードコピー形式で）記載する、ハードコピーの取扱説明書やパッケージそのものにprivacy statement/noticeを確認可能なURLウェブサイトアドレスを記載する、といった方法がその一つとして考えられるでしょう。

スクリーンがない装置で音声を用いることができる場合は、音声による情報通知を追加措置として使用することが可能です。
WP29はIoTについて意見(opinion)を出しています。（Opinion 8/2014）IoT製品にQRコードをつけて透明性に関する情報を提示する等、データ主体への情報提供のあり方を掲載しています。GDPR対応を行ううえでも参考にしてください。