主監督機関の選択についてのガイドライン(WP244 rev.01)を読む(3)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

GDPRの次はePrivacy regulationというのが目下の話題です。
ePrivacy regulationでは行動ターゲティング広告が困難となるため、オンラインでビジネスをしている企業にとっては注意が必要です。

とはいっても、まだGDPR対応が間に合っていない企業も数多くあるため、データ・プライバシーの専門家はあと一年程度はGDPR対応で忙しい日々を過ごすこととなるかもしれません。
あと一年もすれば、Privacy NoticeやPrivacy Policyのフォーマットも固まり始めることでしょう。少しずつGDPR対応が定着していくことと思います。

このブログではずっとお伝えしていますが、GDPRさえ対応したら問題ない、という認識は誤っています。
世界中のデータ・プライバシーの兆候を常にモニターしておく必要があります。

新技術とプライバシーの関係も注意が必要な分野です。

IAPPの東京ナレッジチャプターでは、7月19日にISACAと合同で「AIとプライバシー」というテーマの勉強会を行います。
東京ですが、ご都合がつけば、ぜひいらっしゃってください。

では、引き続き「主監督機関の特定方法についてのガイドライン(WP244 rev.01)」を読んでいきます。


1.主監督機関の特定:鍵となる考え方 (Identifying a lead supervisory authority: the key concepts.)
1.1 「個人データの越境処理」(‘Cross-border processing of personal data’)
1.1.1 「大きな影響を与える」(‘Substantially affects’)
昨日の続きです。

さまざまな加盟国に所在する個人のデータを数多く(かなり多く)処理することが、すぐに大きな影響を与える(可能性がある)というわけではありません。
たとえデータ数が多くても大きな影響を与えない処理は、二つ目の定義でいう越境処理の要件を満たしません。

「大きな影響」がどういうものかについては監督機関の時々の判断にゆだねられることでしょう。
どういう文脈で処理されているのか、どのようなデータが処理されているのか、処理の目的は何かといったことの他、以下のことを考慮しておくことが大切です。

  • 個人に危害、損失、苦悩をもたらすか、またはもたらす可能性があるか
  • 権利を制限したり機会を否定するような実際的影響を持つか、または持つ可能性があるか
  • 個人の健康と福祉、精神の平安に対して影響を与えるか、または影響を与える可能性があるか
  • 個人の経済的、または経済的状況・環境に影響を与えるか、または影響を与える可能性があるか
  • 個人を差別にさらすこととなるか、または不当な扱いにさらすこととなるか
  • 特別カテゴリーの個人データまたはその他の相手をないがしろにするようなデータ、特に子供の個人データを含んだものについて解析を行っているか
  • 個人がその行動を大幅に変更するようなものか、行動を大幅に変更する可能性のあるものか
  • 評判を損なう等、辱めを与えるまたはその他の否定的な結果をもたらすものか
  • 広範な個人データを処理するものか
  • 「大きな影響を与える(substantial effect)」かどうかの判断は、最終的には監督機関間での調整にゆだねられます。(GDPR前文135)