透明性のガイドライン(WP260 rev.01)を読む(45)

【データ主体の権利】オランダのDPA 違反に48,000ユーロ(約650万円)課金
ある個人について保有している個人データの一般情報、処理目的、データの種類、開示先、データの取得元をある銀行が提供できなかったとして、オランダのDPAが1週間につき12,000(約160万円)ユーロの支払いを命じました。
銀行は、当該個人の情報を提供するのに1か月かかりました。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<秘密保持義務による機密>
【67】
法的な秘匿性を含め、加盟国法やEU法によって秘密保持の義務を負う場合、GDPR第14条(5)(d)によって情報提供義務を除外されます。
この条項に基づいて情報提供義務を除外しようとする場合は、管理者は例外規定を明示し、その規定のどの部分が情報提供義務を除外する内容となっているか説明できなければなりません。

例)
医療従事者は患者の医療情報について専門家としての秘密保持義務を負っています。
ある患者が、その親戚が共通して持つ、健康に関する遺伝情報を医療従事者に提供しました。
患者はまた、同じような状況の親戚の個人データも医療従事者に提供しました。

医療従事者はこの場合、その親戚にGDPR第14条に準拠した情報通知を行う必要はありません。
患者に対する秘密保持義務違反となるためです。

透明性のガイドライン(WP260 rev.01)を読む(44)

【データ・ローカライゼーションの動向】インドがECの国家フレームワークを起案
2年間の猶予期間後、e-commerceを行う会社はインド国内にある種のデータを保管するよう求められる模様。インド国内に保管すべきデータは以下。e-commerceプラットフォーム内、ソーシャルメディア、サーチエンジンでインド国内ユーザによって生成されたデータ。その他、不特定多数を目的とした電子コミュニケーションを規制する法的枠組みを強化し、消費者が生成したデータのポータビリティ権を実装しています。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<法律によって明示的にデータ取得、公開を命じられた場合>
【66】
GDPR第14条(5)には、「管理者が従うべき加盟国法によって明示的に」個人データを取得または開示するよう求められた場合、GDPR第14条(1)、GDPR第14条(2)、GDPR第14条(4)の規定が除外されます。
ただし、この場合、加盟国法が「データ主体の正当な利益を適切に保護する手段」を提供していることが条件となっています。

加盟国法は管理者に直接適用されるため、管理者はどのように当該法が適用sれ、個人データを取得・開示しなければならなかったかについて説明できなければなりません。
「データ主体の正当な利益を適切に保護する手段」を規定するのは加盟国法ですが、管理者は、データの取得・開示時に加盟国法の規定を遵守しなければなりません。
同時に、管理者はデータ主体に対して、法的要求に従いデータを取得・開示する場合があることを明言しておく必要があります。(法律で禁止されている場合は除く)

GDPR前文41は、適法根拠、法的手段は明確で正確であり、データ主体が予測可能である必要があるとしています。
GDPR第14条(5)は、GDPR第13条が適用される直接取得の場合には適用されません。

GDPR第13条で例外規定が適用されるのはGDPR第13条(4)が該当する場合のみです。(データ主体が既に当該情報を持っている場合)
詳細は【68】を参照してください。加盟国はGDPR第23条により透明性の権利に制限をかける場合があります。

例)
税務当局は雇用主から雇用者の給与情報の詳細を取得する義務が加盟国法によってあります。
個人データは直接取得されていないので、税務当局はGDPR第14条に準拠する義務があります。
税務当局が雇用主からデータを取得することは明示的に法律で規定されているためGDPR第14条の規程は、税務当局には該当しないと判断できます。

透明性のガイドライン(WP260 rev.01)を読む(43)

フランスの監督機関CNILが行った監査で、マーケティング・ソリューション会社の使用しているアプリが違法と判断されました。
アプリは起動していないときもスマートフォン・ユーザのデータ(位置情報)をターゲットマーケティング目的で取得しており、そのことをユーザに通知していませんでした。
また、位置情報データを必要以上長期にわたって保有していました。(13か月)

CNILは会社に対して同意取得のための期間を3か月与え、保管期間を適正化するポリシーの実装をこの期間内に行うよう指導しました。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<目的を著しく損ねる場合 Serious impairment of objectives>
【65】
この条件に準拠する場合、GDPR第14条(1)で義務付けられている情報を提供だけで目的が損なわれることを証明しなければなりません。
GDPR第14条(5)(b)の前提条件としてGDPR第5条の原則をすべて満足していることがあることも忘れてはなりません。
個人データの処理は、公正で適法根拠を持っている必要があります。

例)
銀行Aは資金洗浄防止法に従う必要があり、同行がもつ口座について疑いのある活動を認めた場合、関連する金融法管轄当局に報告しなければなりません。
銀行Aは別の加盟国にある銀行Bから、銀行Bの口座保有者が銀行Aに資金を移動するよう要求を受けたと通知を受けました。

銀行Aはその資金移動に疑問を抱き、関連する金融法管轄当局に情報を提供しました。
資金洗浄防止法は、口座保有者に情報提供することを有罪行為として規定しています。

このような場合、GDPR第14条(5)(b)の適用が可能となります。GDPR第14条(1)の情報提供を行うことによって、金融法の目的が著しく損なわれ、
口座保有者に情報共有する結果となるためです。

しかし、一般的な情報として銀行Aは開示された情報が資金洗浄防止法のために処理されるケースがあることをすべての講座所有者に通知することはできます。

透明性のガイドライン(WP260 rev.01)を読む(42)

ブラジルで新たなプライバシー法が施行されました。2020年2月15日に施行されます。
管理者は苦情を受け付け、従業員がデータ保護を適切に行うように指導するDPOを任命することを義務付けられます。
管理者は、同意、正当な利益、契約の履行、子どものための最善の利益といった適法根拠をデータ処理に示す必要があります。
新製品、新技術に対してはPIA(プライバシー・インパクト・アセスメント)を行う必要があります。
管理者はデータ主体の要求(ポータビリティー権、修正権、同意の撤回、自動化された意思決定の見直し)に対して対応しなければなりません。
また、セキュリティ事故が発生した場合はDPAおよび影響を受けたデータ主体に通知する必要があります。
違反者には最大15億円の制裁金が課せられます。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

【64】
管理者は「埠頭に過大な労力」を必要とするためGDPR第14条(5)(b)に基づいて情報通知を行わないと決定する際、バランシングテストを実施すべきです。
管理者がデータ主体に情報を提供するとした場合の労力とデータ主体に情報通知を行わない場合のデータ主体への影響を比較します。

バランシングテストの結果はアカウンタビリティの資料として有用となることでしょう。
同時に、管理者はデータ主体の自由と権利を護るために適切な安全保護策を講じておくことが推奨されます。

管理者は各データ主体に通知できないと判断した場合、公にアクセス可能な場所で情報通知を行っておくべきです。
ウェブサイトに掲示する、新聞に掲示する、ポスターを自社の敷地内に掲示する等の方法が取れることでしょう。

また、状況によっては、DPIAを実施する、データに仮名化技術を適用する、取得したデータを最小化する、保管期間を最小化する、高いレベルの安全保護策を組織的、技術的に講じる、といったことが行えます。

データ主体の特定を不要とする処理(仮名化されたデータの処理)の場合は、GDPR第11条(1)で示されているように、わざわざ個人を特定する必要はありません。

透明性のガイドライン(WP260 rev.01)を読む(41)

日経新聞が中国のサイバーセキュリティ法(インターネット安全法)について報道を始めました。
例によって危機感をあおる報道となっていますが、先日参加したIAPPのアジア・プライバシー・フォーラムではアカウンタビリティを果たしていて、
かつ越境移転のプロセスを踏んでいれば大きな問題はないという認識でした。

当社もそれをうけて、中国のサイバーセキュリティ法への対応というよりは、プライバシー・マネジメントのフレームワークを導入するほうが先だとアドバイスをしています。
小手先の対応は結局コスト高になるだけでなく、組織内の混乱を招くことでしょう。新聞報道は「ニュースになる」内容を報道するので、注意が必要です。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<データ主体の権利行使>
【63】
GPDR全文62で言及されている要因(データ主体の下図、データの古さ、適切な安全保護措置)は管理者が「不当に過大な努力」を要すると判断する際の基準となります。

例)
ある姓に基づいて系列を調査する歴史的調査で、2万人のデータ主体に関する系列データセットを間接的に入手したとします。
このデータセットは50年前に収集されたものであり、それ以降更新されておらず、また連絡先情報も含んでいません。
この場合、データサイズが大きいこと、更にデータが古いことに鑑みて、データ主体一人ひとりにコンタクトすることは「不当に過大な努力」を要すると判断できます。

透明性のガイドライン(WP260 rev.01)を読む(40)

イタリアのニュースです。あるメーカーがGPSシステムを社用車に搭載し、120秒ごとに従業員データ(車の位置、運転時間、ブレーキの時間)を取得していました。その会社は、従業員に当該システムについて適切に通知しておらず、1年間取得したデータを保管していました。(それによって従業員を継続的に監視することができていた)

DPAはそれを不当と判断し、取得したデータや保存していたデータについてデータ処理を停止するよう命じられました。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<過大な努力 (Disproportionate effort)>
【62】
GDPR第14条(5)(b)でいう「不可能」または「過大な努力」が何に該当するかは、GDPR第13条のケースと同じ基準で判断します。
両者の違いは、GDPR第14条のケースでは、データが直接個人から取得されたわけではない点です。

GDPR第14条(5)(b)の「不可能」または「過大な努力」を適用する際は、データ主体から直接取得されていないことがポイントとなります。

例)
ある大都市の病院では、日帰り手術、長期入院、予約の際に患者情報を記入するように求めています。この患者情報には二親等の親族情報を記載することとなっています。
この病院では日々多数の患者が出入りしており、フォームの二等親の親族情報に記入されたデータ主体にGDPR第14条で要求される情報を通知することは、事実上不可能と判断できます。

透明性のガイドライン(WP260 rev.01)を読む(39)

ドイツDPAは、従業員は個人データ保護の取り扱いにのみ組織に対して責任を負うことを明言しました。DPOは助言し、組織のデータ保護法に対する相談を受け、監督するする立場に過ぎないことも再確認しました。また、組織は、業務において苦情にどう対応するのか従業員を訓練し、是正方法として従業員を律する方法を考える義務を負うとしました。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<不当に過大な努力を要する場合>
【61】
GDPR第14条(5)(b)では、「情報提供が不可能である場合」と並んで、「不当に過大な努力を要する場合(特に、アーカイブ目的、科学的/歴史的調査目的、または統計目的の場合)」が上げら手います。

GDPR前文62に、この部分についての言及があります。
ここでは、データ主体の数、データの古さ、採用されている安全保護策について考慮するように述べられています。

WP29の立場としては、上記に鑑みて「アーカイブ目的、科学的/歴史的調査目的、または統計目的」で個人データを処理していない管理者は「不当に過大な努力を要する」という例外規定を定常的に利用すべきではないと考えています。

「アーカイブ目的、科学的/歴史的調査目的、または統計目的」場合はGDPR第89条(1)で記載されている安全保護策を適用している必要があり、情報提供は管理者の「当然な努力」に合致するものであるべきと考えてください。

透明性のガイドライン(WP260 rev.01)を読む(38)

中国でAIの標準化についての勧告が出されました。
中国工信部は、AIについての標準について、トップレベルでの設計強化を提言しました。
その目的は産業界の鍵となる開発方針を確立すること、鍵となるAI技術についての調査を促進しオープンで互換性がある安定したシステムを形成すること、プラットフォーム・サポート・技術面・製品サービス・アプリケーション・安全・倫理につちえのAI標準の開発を促進すること、倫理とプライバシーに関連した法を改善することにあります。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<データの出所情報を提供できない場合>
【60】
GDPR前文61では以下の通り述べられています。
「複数のデータ源を用いているため個人データの出所情報をデータ主体に提供できない場合は、一般的な情報を提供しなければならない(where the origin of the personal data cannot be provided to the data subject because various sources have been used, general information should be provided)」

これが該当するケースも、限定的と理解してください。
例えば同一のデータ主体に関する個人データが複数あってある特定の情報源と結びつけることができないケース等です。

複数のデータ主体を含むデータベースをいくつか併せて一つのデータベースにしただけの場合は、(時間がかかり労力がかかるかもしれませんが)情報源を特定することが可能であるため「一般的な情報」を提供するだけでは不十分です。

Data protection by design and by defaultの要求がGDPRにはあるため、組織が受け取った個人データの出所がデータ処理のライフサイクルのどの時点でも追跡可能なように、最初から処理システムに透明性の原理を担保するメカニズムを織り込んでおく必要があります。(【43】参照)

透明性のガイドライン(WP260 rev.01)を読む(37)

ケニヤがデータ保護法案を提出しました。
法案が通ると、商業目的での個人データ処理が許されるのは、同意がある場合または法律によって要求された場合のみとなります。
例外規定に該当したときにのみ特別な個人情報(宗教、人種、健康データ)の処理が可能となります。
プライバシー権は状況によっては制限されることがあります。不正処理や不正アクセスは国の委員会および影響を受けた個人に通知されなければなりません。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<不可能である場合>
【59】
GDPR第14条(5)(b)がいうところの「不可能である場合」というときの「不可能」が何を指すのかは示されていません。
管理者は、「不可能」という限り、当該情報をデータ主体に通知することを妨げている実際の要因を例示しながら「不可能であること」を示さなければなりません。
一定期間経過後、「不可能」であった要因が解消された場合、管理者は直ちにデータ主体に情報を通知する必要があります。

現実問題として、「不可能である場合」と示すことができるケースはごく限られたケースのみとなるでしょう。

例)
あるデータ主体が後払いのオンライン購読サービスに登録したとします。登録後、管理者は信用調査会社からそのデータ主体についての信用データを入手し、サービス提供の可否を確認します。管理者は、GDPR第14条(3)(a)に基づき信用データを入手したことを、入手後3日以内データ主体に通知することにしています。

ところが、このデータ主体の住所も電話番号も公開されたレジストリにはありませんでした。(データ主体は外国に住んでいます。)
データ主体はe-mailアドレスを入力していませんでした。(または誤ったe-mailアドレスを入力していました。)

このような場合、管理者はデータ主体に直接連絡するすべがないということになります。

上記のケースの場合、しかし、信用調査データの収集について管理者は登録前にウェブサイトに記載するという方法をとることができます。
このような場合、GDPR第14条でいわれるところの「不可能」というのは当てはまりません。

透明性のガイドライン(WP260 rev.01)を読む(36)

4月から6月の間にオーストラリアのDPAに対して報告されたデータ侵害の下図は242件でした。
内訳は悪意のある攻撃が59%(フィッシング、不正アクセス、brute-force攻撃(パスワードの総当り攻撃)、書類・装置の盗難)、人的ミスが36%(誤送信、個人情報紛失、BCCの使用ミス)、システムの故障が5%となっています。コンタクト情報、金融情報、アイデンティティ情報、健康情報、納税者番号等が漏洩しました。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<不可能である場合、不当に過大な努力を要する場合、目的を大幅に損なう場合>
【58】
GDPR第14条(5)(b)は、GDPA第14条(1)、GDPA第14条(2)、およびGDPA第14条(4)で提示された情報を提供する義務を免除するケースについて記載しています。

  • 不可能である場合(特にアーカイブ目的、科学的/歴史的調査目的、または統計目的の場合)
  • 不当に過大な努力を要する場合(特に、アーカイブ目的、科学的/歴史的調査目的、または統計目的の場合)
  • GDPA第14条(1)で要求される情報を提供することで処理の目的を果たせなくなる場合、または処理の目的を大幅に損ねる場合