透明性のガイドライン(WP260 rev.01)を読む(22)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<"push"方式または"pull方式"のnotice>
【39】
透明性の原理に基づいた情報通知のもう一つの方法が、”push”方式または”pull”方式のnoticeです。
“Push”方式の通知は”just-in-time”形式の情報通知です。一方”pull”方式の通知は「パーミッション管理」、プライバシー・ダッシュボードの利用、”learn more”チュートリアル方式等、情報へのアクセスを管理する方法です。

こういった方法の利点は、ユーザ中心の透明性確保が可能となる点です。

(プライバシー・ダッシュボード)
プライバシー・ダッシュボードは、ユーザが「プライバシー関連情報」を閲覧できる場所を一元的に提供するものです。
ユーザはダッシュボードで自身の好みにしたがって、当該サービス内での自身の個人データの使用のされ方を許可したり禁止したりすることができます。

プライバシー・ダッシュボードは、ユーザが複数の装置で同じサービスを使用している場合(例えばgmailをパソコンやスマートフォンで利用している場合)、自身の個人データにアクセスしたり、その利用を管理したりすることができるため、とても有用です。また、データ主体の個人データに対して行われている処理の種類に対応したprivacy statement/noticeを通知するだけでよいため、管理も簡単になります。

プライバシー・ダッシュボードを採用するのであれば、既存のアーキテクトに組み込むべきです。(同じデザイン、同じブランドを採用する)
そうすることでユーザは直感的にアクセス、使用可能となりますし、情報への的確な理解が可能となるからです。

プライバシー・ダッシュボードは、長々と書かれた法律用語によるprivacy noticeと比較して、「プライバシー情報」がサービスの一部として必要なものであり、統合されたものを示すことができる効果的な手法です。

(ジャスト・イン・タイム方式)
ジャスト・イン・タイム方式は、アドホック(一時)形式でもっとも関連する「プライバシー情報」を提供することができます。
ジャスト・イン・タイム方式はデータ取得時に情報提供する方法として有用な方法です。提供される情報が、理解可能な程度の情報量に噛み砕かれて提供されるため、privacy statement/noticeへの依存を減らすことができます。例えば、データ主体がオンラインで商品を購入する場合、関連するフィールドを選択するとポップアップが表示され必要な情報がテキスト情報として提供される、というものがジャスト・イン・タイム方式の一例です。

透明性のガイドライン(WP260 rev.01)を読む(21)

7月17日に日欧EPAが署名され、同時に日本の十分性認定についての最終合意も行われたと報じられました。日本ではこの秋に手続きが完了することが見込まれます。欧州でも手続きが完了し次第発行する見込みです。

越境移転についてSCCの締結が不要となるため、日本の企業にとっては朗報といえます。
SCCは依然としてもっとも確実な越境移転の適法化措置ですが、選択肢がもう一つ増えたことはとてもよいことです。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

<電子的な手法でない場合の階層アプローチ>
【38】
透明性の原理に基づく情報は、いわゆるオフライン形式(対面や電話)でも提供されます。
このような場合の階層アプローチについてはパラグラフ【33】からパラグラフ【37】およびパラグラフ【39】、【40】が参考になります。

情報通知の形態がどのような形態をとろうと、WP29の推奨は変わりません。
第一階層、つまり、データ主体が最初に目にする部分に最も重要な情報を掲載しておく必要があります。(【36】参照のこと)
処理の目的の詳細、管理者の身元、データ主体の権利、データ主体に大きな影響を与える処理の存在、またはデータ主体が驚く可能性のあるデータ処理の存在を第一階層で提示してください。

たとえば、データ主体と最初に接するのが電話であれば、この情報は電話の中で提供され、情報の重要度を検討しつつ、GDPR第13条、GDPR第14条で定められている情報を、電話以外の別の方法で伝達するという方法をとるのがよいでしょう。(privacy policyのコピーをメールで送付する、管理者の階層化されたオンライン上のprivacy statement/noticeのリンクをメールで送付する等)

透明性のガイドライン(WP260 rev.01)を読む(20)

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

【36】
管理者が階層アプローチを採用する際の最初の階層に提示する情報(データ主体と接する際に管理者が最初に示す方法)、階層化したprivacy statement/noticeの最初の階層に示すべき情報としてWP29が推奨するのは以下の情報です。

(最初の階層に含むべき情報、データ主体が最初に目にすべき情報)

  • 処理の目的の詳細
  • 管理者の身元
  • データ主体の権利
  • これらの情報は個人データを取得する際にデータ主体に直接的に提示されなければなりません。たとえば、データ主体が情報をオンラインフォームを入力しているときに表示される等の方法がその一つです。

    あらかじめ情報を提示する重要性はGDPR前文39に示されています。
    管理者は何を優先的に提示することとし、その理由は何かについて説明責任を負いますが、WP29は、公平性の原理に鑑みて、上記の情報の他、最初の階層にはデータ主体に最も大きな影響を与えるような情報を提示すべきだと考えています。それによってデータ主体は第一階層にある情報だけで、自身にその処理がどういう影響を与え得るかを理解できます。(パラグラフ【10】も参照のこと)

    【37】
    電子形式での情報通知では、オンラインの階層化されたprivacy statement/noticeの他に追加措置をとることも可能でしょう。
    関係するデータ主体個人の立場やデータ主体が利用しようとしている商品、サービスに特有の、テーラーメードの情報を提供する等です。

    WP29は階層化されたオンラインprivacy statements/noticeを使用することを推奨していますが、他の手段を排除するものではないことに注意してください。
    透明性の原理に適合できるようなその他の革新的な方法があれば、ぜひ活用すべきです。

    透明性のガイドライン(WP260 rev.01)を読む(19)

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    【34】
    GDPRはデータ主体にすべての情報を提供するように要求するとともに、正確で、透明性があり、理解可能で容易にアクセスできる形態での情報提供を行うことを要求しています。
    一見相反する要求ですが、説明責任および公平性の原理に鑑みて、管理者は自身が行う個人データの処理の本質、状況、文脈を分析し、GDPRの要求事項とこのガイドライン(の特にパラグラフ【36】)で説明される内容を考慮に入れてデータ主体に提供すべきデータについて、どう優先づけるか、どの程度まで詳細に情報提供を行うべきか、およびどのような形態で情報を通底すべきかについて決定する必要があります。

    <電子的な環境における階層アプローチおよび階層化されたprivacy statements/notice>
    【35】
    電子媒体での情報通知の場合、データ主体に提供される情報量によっては透明性を確保するために階層アプローチをとることも可能です。
    WP29としても、privacy statements/noticeは、すべての情報をスクリーン上にすべて提示するのではなく、データ主体に提供しなければならない情報へのリンクを含んだ構造としておくべきだと考えてます。
    情報が多すぎると情報疲労を起こしてしまうためです。

    privacy statements/noticeを階層化することでユーザは読みたい個所に直接移動でき、情報の完全性と理解しやすさをともに実現するという難題を解決できます。

    階層化するといっても、単にネスト化するだけではいけません。
    ユーザが複数クリックしなければ知りたい情報にたどり着けないというのは好ましくありません。

    privacy statements/noticeの最初の階層は、データ主体が自身の個人データの処理について得ることができる情報を概観し、privacy statements/noticeのどこで(どのように)その情報を入手できるのか理解できるものである必要があります。また、異なる階層に含まれている情報の間で一貫性が保たれていて矛盾がないことも重要です。 

    透明性のガイドライン(WP260 rev.01)を読む(18)

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <GDPR第13条、GDPR第14条の情報に変更があった場合の通知(Timing of notification of changes to Article 13 and Article 14 information)>

    【32】
    GDPR第13条、GDPR第14条に準拠した透明性の原理に基づく提供情報に変更がない場合でも、もしユーザが長期利用していない場合は情報を覚えていない可能性があります。
    そのため、管理者はデータ主体が容易にPrivacy statement/noticeにアクセスし、内容を確認できるようにしておく必要があります。
    管理者は説明責任の原則に従って、どれくらいの間隔でデータ主体にprivacy statement/noticeの内容を再提示し、データ主体がどこで自ら確認できるかについて、管理者はあらかじめ定めておく必要があります。

    <様式:情報提供のフォーマット(Modalities - format of information provision)>

    【33】
    GDPR第13条、GDPR第14条にはともに「以下の情報をデータ主体に提供すること」(“provide the data subject with all of the following information…”)という記載があります。この際大切なことは、管理者は、データ主体に対して能動的にそれらの情報を提示しなければなりません。もしくは、それらの情報を得られる場所を能動的に提示しなければなりません。ダイレクト・リンクを貼る、またはQRコードで読み込ませる、という方法が良いでしょう。

    ウェブサイトやアプリの利用規約の一部とするなど、データ主体が情報を探し回るような状況を作ってはなりません。
    【11】で示した例を確認してください。また【17】で述べたとおり、ウェブサイト上の電子的なフォーム、紙面を問わず、全情報が一つの場所、一つの文書にまとまっている必要があります。全体を読みたいと思ったときにはすぐに(容易に)読める状態にしておく必要があります。

    透明性のガイドライン(WP260 rev.01)を読む(17)

    ダイヤモンドオンラインで「日本企業初の「GDPR」違反の可能性、プリンスホテルなど」という記事が出ていました。
    制裁金に至るまでにはまだ時間がかかるでしょうが、こういった事象が起きたときに説明責任をしっかり果たせるよう準備が必要です。

    中小企業の方も少しずつ対応を開始してくださっており、とても良いことだと思います。
    弊社でもGDPRコンサルティングスタッフを一名追加してご支援対応を強化させていただいております。

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <GDPR第13条、GDPR第14条の情報に変更があった場合の通知(Timing of notification of changes to Article 13 and Article 14 information)>

    【30】
    従前データ主体に提供されていたGDPR第13条、GDPR第14条に準拠した情報に変更があった場合、データ主体にその変更をいつまでに通知する必要があるかについて、
    GDPR上は特に言及がありません。

    (GDPR第13条(3)およびGDPR第14条(4)で言及されている通り、新たな目的の追加については該当処理が発生する前に情報通知する義務があります)

    GDPR第14条でにおける情報通知のタイミングに鑑みると、管理者はデータ主体の合理的期待、変更がデータ主体に及ぼし得る影響の大きさに関連して公平性の原理と説明責任の原理を遵守しなければなりません。
    例えば受領者の種類が増えるまたは第三国へのデータ移転が生じる等、処理の本質に対して大きな変更を説明するための通知となるのであれば、実際の変更がなされるよりも十分前にデータ主体にその変更を通知する必要があります。
    処理の本質に対して大きな変更はないにしろ、データ主体に対して影響があるような変更である場合も同様です。

    その際、データ主体ははっきりと通知されたことを認識し、かつ実効性のある形で通知を受け取らなければなりません。
    データ主体が変更を「見逃さない」こと、そしてその変更の性質と影響について考え、(処理に反対し同意を撤回する等)変更に関してGDPR上で許容される権利行使を行う余地を与えられることが大切です。

    【31】
    管理者は透明性の原理に基づいた情報の更新が必要となる場合について、その文脈と状況を注意深く考えて更新を行わなければなりません。
    つまり、どの程度大きな影響をデータ主体に与えるのか、どのような形でデータ主体に伝えたらよいか、といったことを考える必要があります。

    通知から処理の変更の実施までの時間がどれくらいであったか、そしてそれがなぜデータ主体に対して公平性を保っているかの説明もできなければなりません。

    WP29は、公平性の原理に立てば、データ主体に対して処理の変更がどのような影響を及ぼし得るか説明する義務が、管理者にはあると考えています。

    処理の種類が全く変更になる場合、透明性の原理を果たしただけでは不十分です。
    GDPRの他の規則をすべて遵守すべきである点を忘れてはなりません。

    透明性のガイドライン(WP260 rev.01)を読む(16)

    ブラジルがGDPRの影響を受けた法案をパブリック・コンサルテーションに付しました。
    GDPR型のデータ・プライバシー法がますます広がっています。海外展開している場合は対策を進めてください。

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <情報提供のタイミング(Timing for provision of information)>

    【28】
    GDPR第14条に基づいた情報提供のタイムリミットは、結局1ヶ月以内ということになります。

    一方で、GDPRの原則である「公平性」と「説明責任」に立ち戻るのであれば、管理者は常にデータ主体の合理的期待、データ処理がデータ主体に与える影響、データ処理についてデータ主体が行使できる権利、を考慮しなければなりません。データ主体にいつ情報通知を行う際は、こういった観点から決定してください。
    「説明責任」という意味では、管理者は情報通知を行っているタイミングが正当なものであることを合理的に説明できなければなりません。

    これらを考慮すれば、「ぎりぎり1ヶ月」という選択肢はなくなるでしょう。

    GDPR前文39では以下の点が強調されています。

    「データ主体はそのような個人データの処理がもたらすリスク、処理に関するルール、安全保護策、および処理に付随するデータ主体の権利および権利の行使の仕方」について知らされている必要があります。

    GDPR前文60では「データ主体は個人データの処理が存在すること、処理の公平性と透明性の原理に基づいて処理の目的について知らされていなければならない」という要件について指摘されています。

    上記の理由から、WP29は以下のような立場をとっています。
    データ管理者は、可能である限り、公平性の原理に基づいて、記載されているタイムリミットよりも十分前にデータ主体に対して情報通知を行うべきである。

    処理業務についてデータ主体に通知するタイミングについての適切性および実際にそのような処理業務が行われるまでの感覚については【30】、【31】、【48】で言及します。


    【29】
    透明性の原理はデータ取得時だけではなく、データのライフサイクルすべてに適用されなければなりません。
    たとえば既存のprivacy statement/noticeに大きな変更、差し替えがあった場合はどうすべきでしょうか?

    この場合、データ管理者は最初のprivacy statement/noticeについてあてはまるルールを当てはめます。

    「大きな変更」や「差し替え」が何を指すかは、データ主体への影響の大きさ(データ主体の権利を行使可能かどうかを含む)とその変更がデータ主体の予想を上回るものか、データ主体が驚くようなものか、という点から判断します。

    privacy statement/noticeへの変更は常にデータ主体に伝えられなければなりません。
    特に、処理の目的が変更となった場合、管理者の身元が変更となったとき、処理についてデータ主体が権利講師をするための方法に変更が生じたときは確実に情報を伝える必要があります。

    反対に、WP29が「大きな変更」、「差し替え」に該当しないと考えるのは以下のような場合です。

  • スペルミスの修正
  • スタイルの修正や文法の修正
  • 既存の顧客、ユーザは通常privacy statement/noticeへの変更をちらっと見る程度なので、管理者はあらゆる方法を用いて大半の受領者が変更に気がつくような状態を確実に作らなければなりません。変更の通知は適切な方法をとる必要があるでしょう。たとえば、e-mailを送る、書面の手紙を送付する、ウェブページ上でのポップアップといった、GDPR第12条に記載されている「正確で透明性を保ち、理解可能で、容易にアクセスでき、明快で平易な言葉を使ったコミュニケーション」方法が考えられます。

    Privacy statement/noticeの変更についてはデータ主体が継続的に確認するようにと伝えるだけでは不十分ですし、GDPR第5条(1)(a)の公平性の原理に合致していないと判断されます。

    データ主体に変更について通知するタイミングについては【30】、【31】でさらに検討します。

    透明性のガイドライン(WP260 rev.01)を読む(15)

    JETRO広島さんでのワークショップは日本全国からご参加いただけるようです。それだけGDPRについての情報が足りていないということなのだと思います。
    私もJETROさんのご依頼でいろいろとご説明に伺っていますが、月数件が限度であり、まだまだ専門家が足りていないと感じます。

    JETROさんではGDPRの専門家をあと3名追加したと聞いています。ぜひご活用いただいたらと思います。

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <情報提供のタイミング(Timing for provision of information)>

    【26】
    データ処理のサイクルの開始時点でデータ主体に提示しなければならない情報の種類を定めているのがGDPR第13条GDPR第14条です。
    GDPR第13条はデータ主体から直接データを取得するとき、GDPR第14条はデータ主体から間接的にデータを取得するときを想定しています。

    直接取得するときとは以下の場合です。

  • データ主体は管理者に対してデータを提供していると認識している場合(e.g.オンラインフォームに入力)
  • 管理者がデータ主体を観察することによってデータを取得している場合(e.g.カメラ、ネットワーク装置、Wi-Fiトラッキング、RFID、その他センサーといった自動的にデータを取得する装置やソフトを用いて取得)
  • 間接的に取得するときとは以下の場合です

  • 第三者の管理者からデータを取得
  • 公に入手可能な情報源から取得
  • データ・ブローカーから購入
  • 当事者以外のデータ主体から取得
  • 【27】
    情報提供のタイミングはとても大切です。適切なタイミングに情報を提供できているかどうかで透明性の義務やデータを公正に処理する義務を果たせているかが決まります。
    GDPR第13条が該当する場合はGDPR第13条(1)で記載されているように、「個人データが取得されるタイミング」で情報を提示しなければなりません。

    GDPR第14条が該当する、間接的に個人データが取得される場合はGDPR第14条(3)(a) – (c)に定められるタイミングでデータ主体に情報を提供しなければなりません。

  • 一般的な要件として、情報提供は個人データを取得した後「合理的な期間」の間に(遅くとも一ヶ月以内に)、個人データが処理された特定の状況に関連して、提供されなければなりません
  • GDPR第14条(3)(a)で定められる1ヶ月という期間は、GDPR第14条(3)(b)をみるとさらに短くなる可能性があります。GDPR第14条(3)(b)では、個人データがデータ主体とのコミュニケーション時に使用される場合について書いていますが、この場合、情報は遅くともデータ主体と最初にやり取りするときに提示されなければなりません。データ主体との最初のコンタクトがデータ取得後1ヶ月以内に行われるのであれば、この場合、1ヶ月よりもはやいタイミングでの情報通知が必要ということになります。反対にデータ主体との最初のコンタクトがデータ取得後1ヶ月を越えたタイミングで行われるのであれば、GDPR第14条(3)(a)に従い、先に情報通知を行う必要があります。
  • データが(第三者であるかを問わず)他の開示先から開示された場合について述べたGDPR第14条(3)(c)も、最初にデータを開示されたタイミングで情報通知を行う必要があるため、1ヶ月よりも早いタイミングで情報通知を行う必要があるケースがでてきます。GDPR第14条(3)(b)で述べたケースと同様に考えてください。
  • 透明性のガイドライン(WP260 rev.01)を読む(14)

    引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。

    <適切な方法で(Appropriate measures)>

    【24】
    内容と並んで重要なのが、GDPR第13条GDPR第14条で要求される情報の提供される方法です。
    GDPR第13条、GDPR第14条の内容を含んだ通知は、data protection notice、privacy notice、privacy policy、privacy statement、fair processing noticeといった呼び方で呼ばれます。GDPR上にはフォーマットの指定や様式の指定はありませんが、透明性の原理に基づき、「適切な方法」で必要な情報をデータ主体に伝達する義務が管理者にはあるとしています。

    管理者はデータが取得される場面、データが処理される場面をよく検討した上で、様式やフォーマットを決定する必要があります。

    特に「適切な手段」であるかどうかは、提供するサービス/製品の観点から評価されなければなりません。
    使用する装置は何か、管理者とユーザの間のインタフェースはどこにあるか、ユーザとのやり取りはどのようにしているか、といったことを考えてください。
    管理者がオンラインでのユーザとの接点を持っている場合は、privacy statement/noticeは階層化された形で提供されるべきです。

    【25】
    情報提供にもっとも適切な様式を特定する目的でユーザテストを行うこともできます。
    ユーザテストでは、提供した方法がユーザにとってどれくらい容易にアクセス可能か、理解できるか、容易に利用できるかを確認できます。
    管理者は説明責任を果たす意味でもこのプロセスを文書化しておくとよいでしょう。

    情報を伝えるためのもっとも適切な方法を選択する上でのプロセスを明確にすることができます。