透明性のガイドライン(WP260 rev.01)を読む(33)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<データ主体の権利行使>
【55】
データ主体の権利行使についてGDPRで規定される要件や必要な情報の性質をみると浮かび上がってくることがあります。
GDPRが意図しているのは、データ主体の権利を擁護し、管理者がデータ主体の個人データ処理について説明責任を果たす、ということです。

GDPR前文59では「データ主体が権利行使を行うためのフォーマットを提供すべき」とされています。また、管理者は「電子的手法で個人データが処理されている場合は特に、電子的な手法で要求可能であるよう整備する必要がある」とされています。

管理者は、データ主体との関係に鑑みて適切な形でデータ主体の権利行使が可能な様式を提供しなければなりません。
そのため、管理者は複数の方法を用意することになるかもしれません。

(例)
あるヘルス・サービス提供業者は、データ主体が自身の個人データにアクセス権を行使するための方法として、オンライン、オフラインで次の二つの様式を準備しています。
1.ウェブサイト上の電子的フォーム
2.ヘルス・クリニックの受付においてある紙面の様式

これに加え、手紙やemailでの問い合わせに対しても対応を行っています。また、データ主体が自身の権利行使について問い合わせをするための専用連絡先(emailまたは電話でアクセス可能)を準備しています。

透明性のガイドライン(WP260 rev.01)を読む(32)

フランスの監督機関(CNIL)がCookie notice違反で25,000ユーロ(約350万円)の制裁金を課金しました。
制裁金を課せられたウェブサイトはCookieの種類を分類しておらず、ユーザがCookieの送付を拒否することを許可していませんでした。また、Cookieの送付を拒否した場合の結果についても通知しておらず、Cookieの保管期間を13ヶ月未満とすることも遵守できていませんでした。

Cookieの管理は今後ますます厳格となることが予想されるため、注意をしてください。
テクニカ・ゼン株式会社では、GDPR/ePrivacy Regulationに準拠したCookie noticeの提供を行っておりますので、お気軽にご相談ください。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<視覚化ツール>
[認証メカニズム、認証シール、認証マーク(Certification mechanisms, seals and marks)]
【53】
標準化されたアイコン以外に、透明性を強化する方法として、GDPR第42条ではデータ保護認証メカニズム、データ保護シール、データ保護マークの活用を推奨しています。WP29は認証メカニズムについてのガイドラインを発行する予定です。

<データ主体の権利行使>
【54】
透明性の原理を遵守するということは、データ主体の権利行使についてデータ管理者に3つの義務を課すことにつながります。

  • データ主体の権利についての情報を提供すること(GDPR第13条(2)(b)GDPR第14条(2)(c))
  • GDPR第15条GDPR第22条およびGDPR第34条で規定されるデータ主体の権利についてデータ主体とやり取りを行う際、透明性の原理を遵守すること(すなわち、GDPR第12条(1)で定められるコミュニケーションの品質を保つこと)
  • GDPR第15条GDPR第22条で規定されるデータ主体の権利が行使可能であるように段取りを行うこと
  • 透明性のガイドライン(WP260 rev.01)を読む(31)

    ブラジルの上院が包括的なデータ保護の法的枠組みを承認しました。

    それによると管理者には、苦情を受け付け従業員がデータ保護を実践するための先導役となるDPOの選任義務が生じました。
    また、管理者はデータ処理に適法根拠を必要とします。(同意、正当な利益、契約の履行、子供の最善の利益)
    新製品や新技術の開発の際にはPIAの実施を義務付けられ、データ・ポータビリティ権、修正権、同意の撤回、自動化された意思決定の見直し要求といったデータ主体の権利行使に応じる義務も生じました。データ侵害が生じた際はDPAに通知し、影響を受けたデータ主体にも通知が必要となります。

    準拠しない場合の制裁金の最大額は1,340万USD(約14億円)です。

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <視覚化ツール>
    [アイコン(Icon)]
    【51】
    GDPR第12条(7)で、「アイコンが電子的な手段で提供されるときは、機械判読が可能であることが必要」とされているということは、アイコンが電子的な手段で提供されないこともある、ということです。

    電子的な手段で提供されないケースとしては、例えば紙、IoT装置、IoT装置のパッケージ、Wi-Fiトラッキングについての公共の場における通知、QRコードの通知、CCTVの通知、といった場合が考えられます。

    【52】
    アイコンを使用する目的は明確で、データ主体が大量の書面による情報を読む必要を軽減することにあります。
    しかし、GDPR第13条、GDPR第14条で規定される情報を効果的に伝達することができるかどうかは、シンボル、イメージが適切かどうかにかかっています。

    世界的に認知されたシンボルまたはEU域内で認知されたシンボルを使用する必要があります。

    GDPRはEDPD(European Data Protection Board)/EC(欧州委員会)に適切なアイコンの開発をするよう定めています。

    GDPR前文166で述べられるように、アイコンは、evidence-based(証拠に準じた)手法で開発されるべきですし、標準化される前に十分な調査および産業・公共の場でのテストが実施される必要があるでしょう。

    透明性のガイドライン(WP260 rev.01)を読む(30)

    中国がセキュリティ製品の認証について既存のアクレディテーション・ボディ(認可団体:accreditation body)に申請するように通達したとの情報があります。
    既に認証を得ているセキュリティ製品メーカは、同一のアクレディテーション・ボディに申請することで際認証を取得できます。

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <視覚化ツール>
    【49】
    GDPRで謳われる透明性の原理は言葉によるコミュニケーションに限定されません。(口頭、書面に関わらず)
    適切な場合は視覚化ツール(特にアイコン、認証メカニズム、データ保護シール/マーク)の使用も可能です。

    GDPR前文58が示すとおり、オンライン環境では情報へのアクセス性が特に重要です。

    [アイコン(Icon)]
    【50】
    GDPR前文60では、標準化されたアイコンを「併用して」、階層化アプローチを行い、データ主体に情報を提供する場合についての記載があります。

    アイコンを使用しても、データ主体の権利や管理者のGDPR第13条GDPR第14条で要求される情報提供義務が軽減されるというわけではありません。
    GDPR第12条(7)で述べられているように、アイコンは情報を捕捉する手段として使用されます。

    The information to be provided to data subjects pursuant to Articles 13 and 14 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing. Where the icons are presented electronically they shall be machine-readable.

    (GDPR第13条、GDPR第14条にしたがって提供される情報は標準化されたアイコンと併用して提供することができる。この目的は視覚性を良くし、判読性を高めることで意図する処理について有意な概要をデータ主体に提供することにある。アイコンが電子的な手段で提供されるときは、機械判読が可能であることが必要である。)

    透明性のガイドライン(WP260 rev.01)を読む(29)

    7月末に、オランダ当局が現地大企業30社に対し立ち入り監査を実施しました。
    立ち入り監査まではしないだろうという意見も以前はあったのですが、この情報を見ていると、GDPRへの準拠を当局も相当真剣にもとめているように感じますね。
    欧州と取引のある企業様は少し注意をされたほうがよいかもしれません。

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <追加の処理に関する情報>
    【48】
    情報通知のタイミングはデータ主体の権利行使と結びつけて考える必要があります。
    公正な処理(fair processing)を実現するための方法として、適切なタイミングでの情報通知は非常に重要です。
    透明性の原理を担保するGDPR第13条、GDPR第14条の要件は、公正な処理(fair processing)とも関連しています。

    「追加の処理(further processing)」は、「情報通知」後十分な時間をとって行うのが「公正な処理」とWP29は考えています。
    「追加の処理」についての情報通知後ただちに当該処理が行われてはなりません。十分な時間をデータ主体に提供する事で、管理者は「透明性」を確保できますし、データ主体は「追加の処理」について十分考慮する時間を得られるということとなるでしょう。(権利行使を行うための時間もデータ主体は確保できることとなりますね)

    「十分な時間」とはどの程度の時間でしょうか?
    これは、一概には言えません。一点言えることは、追加の処理が侵害度の大きい処理である場合や、通常のデータ主体の想定を超えている場合にはより長い時間が必要ということでしょう。

    管理者は、情報を通知するタイミングについても説明責任を負います。
    情報通知を行うためのタイミングとしてなぜそのタイミングを選択したのか、全体としてそのタイミングがデータ主体に対してなぜ公正(fair)といえるのかについて管理者は説明できなければなりません。

    (情報通知を行う適切なタイミングについては【30】、【32】も参照のこと)

    透明性のガイドライン(WP260 rev.01)を読む(28)

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <追加の処理に関する情報>
    【46】
    The controller shall provide the data subject prior to that further processing with information on that other purposes and with any relevant further information as referred to in paragraph 2.
    「管理者は当初の目的以外の追加の処理を行う前に、データ主体に対してパラグラフ2で言及された追加の情報を提供しなければならない」

    と記載されているからといってGDPR第13条(2)GDPR第14条(2)の内容を情報通知する必要がないと理解してはなりません。ここで記載されている情報が欠損している、または適用されない場合を除いて、ここで記載さえている情報を提供することは義務です。

    【47】
    WP29は、「同意」または「加盟国法/EU法」いがいを適法根拠とする場合、GDPR第6条(4)で記載される適合性分析をprivacy statement/noticdの中で行い、データ主体がその情報を入手可能としておくことを推奨しています。これによって管理者は透明性、公平性、説明責任を果たすことができます。

    追加の目的での処理を行う際、当初の目的と比べてなぜその処理の目的が合致しているといえるかを説明するとよいでしょう。

    データ主体は、管理者の行った分析を見てその妥当性を検証することができます。異議があればデータ主体の権利行使を行う(例えば制限権を行使する等)ことができる余地が生まれます。仮に、管理者がそのような情報をprivacy notice/statementに記載しないことを決めた場合は、データ主体に、そのような情報が入手可能な旨を通知することをWP29は推奨しています。

    透明性のガイドライン(WP260 rev.01)を読む(27)

    中国のサイバーセキュリティー法は話題になることが多いのですが、それほど特殊な問題は生じないようです。
    GDPR対応をきっかけにデータ・プライバシーへの取組みを定式化できていれば追加で必要な作業はあまりないでしょう。

    最近はむしろ、AIやIoTとデータ・プライバシーとの関係が大きな関心を呼んでいます。
    今読んでいる透明性のガイドラインはこの分野について理解する上でも大切な概念を提供してくれています。

    法律はいつも遅れて登場します。法律を待っていては開発もままならない状態となるでしょう。指針がない中で良心に従って開発を進めることが求められる。それが新技術の醍醐味です。データ・プライバシーの専門家は、グローバルに展開するビジネスに指針を与える存在でなければなりません。

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <追加の処理に関する情報>
    【45】
    GDPR第13条GDPR第14条も、取得された目的以外に追加で個人データを処理する意図があるかについてデータ主体に知らせるよう義務付けています。

    The controller shall provide the data subject prior to that further processing with information on that other purposes and with any relevant further information as referred to in paragraph 2.
    「管理者は当初の目的以外の追加の処理を行う前に、データ主体に対してパラグラフ2で言及された追加の情報を提供しなければならない」

    これは処理の原則のうちGDPR第5条(1)(b)に対応しています。
    すなわち、個人データは、特定され、明確で、合法な目的のために取得されなければならず、それらの目的に合致しない追加の処理は禁止される、という原則を遵守する上で上記の対応を行うことが重要です。

    ただし、GDPR第5条(1)(b)の後半部分では、公共の利益のため、科学的調査または歴史的調査、統計目的については、GDPR第89条(1)に準拠する場合、初期の目的に対して合致しないとは考えないとされています。

    当初の目的に合致する目的のもと追加で個人データが処理される場合はGDPR第13条(4)GDPR第14条(4)が適用されます。(GDPR第6条(4)でこの問題が取り上げられています。)
    個人データを取得時、または個人データの取得文脈で、そのような処理が行われることをデータ主体が合理的に予測することができるかどうかが大切だというのがGDPRの立場です。
    還元すれば、データ主体が自身の個人データの処理の目的について驚かないことが大切だ、ということです。

    透明性のガイドライン(WP260 rev.01)を読む(26)

    最近、投稿が遅れ気味で申し訳ないです。

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <その他の問題:リスク、ルール、安全保護策>
    【43】
    GDPR第25条で取り上げられているData Protection by Design and by Defaultも透明性の原理に関係します。
    Data Protection by Design and by Defaultは、新規に業務を行う場合やシステムを作る際に、管理者がデータ保護を考慮するよう要求するものです。
    コンプライアンスのために最後にデータ保護を考えるということは避けてください。

    GDPR前文78では、管理者がData Protection by Design and by Defaultを実践する際、その機能についての透明性を保ち、かつ個人データの処理についての透明性を確保するようにかかれています。

    【44】
    共同管理者がいる場合、そのリスク、相互で結んでいるルール、及び安全保護策についてデータ主体に知らせておかなければなりません。
    共同管理者についてはGDPR第26条1項で、双方が透明性を保った形でGDPRの義務を遵守するよう取り決めることが求められています。特にGDPR第13条、GDPR第14条で定められるデータ主体の権利行使に対して双方が担う義務について事前に取り決めが必要である旨が指摘されています。GDPR第26条2項では双方の役割分担のエッセンスがデータ主体に伝えられることを要求しています。

    還元すれば、共同管理者がいる場合、データ主体は権利行使をする際、どちらの管理者に連絡を取ればよいか明確でなければならない、ということです。

    透明性のガイドライン(WP260 rev.01)を読む(25)

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <その他の問題:リスク、ルール、安全保護策>
    [42]
    GDPR前文39には、GDPR第13条GDPR14条で明示的に示されていない内容についての記載があります。
    ここではデータ主体が個人データ処理についてのリスクや適用されるルール、安全保護策、権利について周知されることを要求しています。

    (Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing.)

    そのための方法の一つがDPIAの公開です。WP29の出しているDPIAについてのガイドランで述べられているように、DPIA(またはその一部)を公開することはデータ主体の信頼を得るための一助となるだけではなく、透明性や説明責任の義務を果たしていることを示す有効な手段でもあります。GDPR第40条で示されるcode of conduct(行動規範)に準拠するということも、透明性の確保のためには有効な方法といえます。code of conduct(行動規範)は、公正で透明性のある処理、情報の一般公開、データ主体への情報公開子供への情報提供、子供の保護、といった問題への対応を実現してくれます。

    透明性のガイドライン(WP260 rev.01)を読む(24)

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <プロファイリングおよび自動化された意思決定についての情報>
    [41]
    GDPR第22条(1)およびGDPR第22条(4)で述べられている通り、プロファイリングを含む、自動化された意思決定についての情報は、使用されているロジックおよび当該処理がデータ主体にもたらす重大で、かつ管理者が意図する結果と共にデータ主体に提示されなければなりません。(GDPR第13条(2)(f)およびGDPR第14条(2)(g))

    ある特定のプロファイリング環境において、透明性の原理に基づく説明が提供されるべきかについてはWP29が出している、「プロファイリングを含む自動化された意思決定についてのガイドライン」(WP251)を参照してください。GDPR第13条(2)(f)およびGDPR第14条(2)(g)に関連する、プロファイリングを含む、自動化された意思決定に限った話ではなく、データ主体は自身の個人データ処理について驚かされることがあってはならないという原則はGDPR第22条に当てはまらないプロファイリングについても該当することを忘れてはいけません。