GDPRが施行されました。
IAPPでは「プライバシーの新時代の幕開け」として記念碑的な記事が掲載されています。
プライバシーの専門家たちは、この２年ほどGDPRにかかりっきりになっていました。2018年5月25日という一つの区切りにたどり着き、ちょっとした高揚感も感じます。

IAPPの会員数は2017年25,000名だったのが、先週40,000名を超えたとのことです。Data Privacyという非常に狭い分野の協会でこれだけの会員数の伸びが生じるのはまれな出来事でしょう。GDPRが世界に与えているインパクトの大きさをうかがい知れる数字です。

ところで、IAPPが会員向けに公開していたGDPR関連リソースを２ヶ月限定で公開しています。プライバイー・コンサルタントもしばしば参照しているサイトなので、ぜひこの機会をご活用ください。

JETROの相談では、まだまだGDPRの相談がたくさん来ているようです。遅ればせながら、日本の中小企業も少しずつ準備を始めているのでしょう。
私も国内さまざまなところを訪問させていただいています。

今日からは「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。
欧州で越境処理を行っている場合は「主監督機関」を決定することとなります。

—
今日は次の部分について読んでいきましょう。

1.主監督機関の特定：鍵となる考え方 (Identifying a lead supervisory authority: the key concepts.)
1.1　「個人データの越境処理」(‘Cross-border processing of personal data’)

主監督機関を特定する必要が生じるのは、管理者、処理者が個人データの「越境処理」(GDPR 第4条(23))と呼ばれることを行っているときです。

「越境処理」の定義は以下の通りです：
– processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or
管理者、処理者の拠点が二つ以上の欧州加盟国にあり、二つ以上の欧州加盟国に所在する拠点の活動に関連して行われる個人データの処理

または、

– processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State.
欧州内に所在する管理者、処理者の単一拠点の活動に関連して行われるが、二つ以上の加盟国に所在するデータ主体に大きな影響を及ぼす、またはお呼びし得る個人データの処理

たとえば、ある組織の拠点がフランスとルーマニアにあり、その活動の一環で個人データの処理が行われた場合、越境処理となります。
別の例では、ある組織がフランスにある拠点の活動に関連して個人データの処理を行っており、この処理がフランスおよびルーマニアのデータ主体に対して大きな影響を与える、または与え得る場合も越境処理となります。