5月25日も押し迫っているので、読者の皆様がGDPRについてある程度ご存知であるという前提でしばらく書き進めていきます。そのため、さまざまなテーマについて取り上げますが、実際のコンサルティングの現場からのフィードバックとして受け止めていただければ幸いです。

Article 5 “Principles relating to processing of personal data”の1項(a)には以下の条文が見られます。

Article 5, 1. Personal data shall be:
(a) processed lawfully, fairly and in a transparent manner in relation to the data subject(‘lawfulness, fairness and transparency’)

個人データは
(a) データ主体に対して、適法に、公正に、そして隠し立てなく（透明性を以って）処理されなければならない（「適法性、公平性、透明性」）

GDPR対策の大切なプロセスのひとつに「適法根拠」を定めることがあります。適法根拠は Article 6 “Lawfulness of processing”から選択することとなります。適法根拠を選択するには個人データに対してどのように処理をしているかを確認し、それを元に判断します。プライバシーチームが判断してもよいでしょうが、できれば欧州方の資格を持った弁護士のリーガルオピニオンをもらいながら決定するとより確実となります。

アセスメントでは、つい自分たちにとって都合のよい適法根拠を選択したくなりますが、「公正」であることも重要なポイントとなります。fairnessというのは、力関係に依存せず、自社の哲学に照らして正しいことを行うということです。GDPR対策がわかりにくいと思われるのは、このfairnessの概念が「自社の哲学」を求めるためでしょう。その根本は意外と単純で「知りて悪をなすな」という点に尽きるのでしょう。「隠し立てなく」という点も実は同じことを言っています。

各処理については適法根拠を定め、記録しておく必要があります。
記録には、なぜその適法根拠となったかも同時に残しておいてください。説明責任を果たすための必要な記録のひとつとなります。