ケニヤがデータ保護法案を提出しました。
法案が通ると、商業目的での個人データ処理が許されるのは、同意がある場合または法律によって要求された場合のみとなります。
例外規定に該当したときにのみ特別な個人情報（宗教、人種、健康データ）の処理が可能となります。
プライバシー権は状況によっては制限されることがあります。不正処理や不正アクセスは国の委員会および影響を受けた個人に通知されなければなりません。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜不可能である場合＞
【59】
GDPR第14条(5)(b)がいうところの「不可能である場合」というときの「不可能」が何を指すのかは示されていません。
管理者は、「不可能」という限り、当該情報をデータ主体に通知することを妨げている実際の要因を例示しながら「不可能であること」を示さなければなりません。
一定期間経過後、「不可能」であった要因が解消された場合、管理者は直ちにデータ主体に情報を通知する必要があります。

現実問題として、「不可能である場合」と示すことができるケースはごく限られたケースのみとなるでしょう。

例）
あるデータ主体が後払いのオンライン購読サービスに登録したとします。登録後、管理者は信用調査会社からそのデータ主体についての信用データを入手し、サービス提供の可否を確認します。管理者は、GDPR第14条(3)(a)に基づき信用データを入手したことを、入手後３日以内データ主体に通知することにしています。

ところが、このデータ主体の住所も電話番号も公開されたレジストリにはありませんでした。（データ主体は外国に住んでいます。）
データ主体はe-mailアドレスを入力していませんでした。（または誤ったe-mailアドレスを入力していました。）

このような場合、管理者はデータ主体に直接連絡するすべがないということになります。

上記のケースの場合、しかし、信用調査データの収集について管理者は登録前にウェブサイトに記載するという方法をとることができます。
このような場合、GDPR第14条でいわれるところの「不可能」というのは当てはまりません。

4月から6月の間にオーストラリアのDPAに対して報告されたデータ侵害の下図は242件でした。
内訳は悪意のある攻撃が59%（フィッシング、不正アクセス、brute-force攻撃（パスワードの総当り攻撃）、書類・装置の盗難）、人的ミスが36%（誤送信、個人情報紛失、BCCの使用ミス）、システムの故障が5%となっています。コンタクト情報、金融情報、アイデンティティ情報、健康情報、納税者番号等が漏洩しました。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜不可能である場合、不当に過大な努力を要する場合、目的を大幅に損なう場合＞
【58】
GDPR第14条(5)(b)は、GDPA第14条(1)、GDPA第14条(2)、およびGDPA第14条(4)で提示された情報を提供する義務を免除するケースについて記載しています。

ここ一週間ほど投稿が滞ってしまっている点、大変申し訳ありません。
少し仕事の負荷が高くなり、こちらに手が回っておりません。

来週のお盆休みにかけてなんとか遅れを取り戻したいと考えておりますのでよろしくお願いいたします。

日本の個人情報保護法とGDPRはどこが違うのか、と問われることがあります。
大筋においては両者は似ています。しかし、細かい部分（例えば要配慮データの種類や情報提供の要否）では異なる部分が多くあります。
GDPRに相当なれた後でも、両者を同時に扱うと混乱してしまいます。

一点言えるのは、解釈の指針は、GDPRと日本の個人情報保護法との間で類似しているということです。

GDPRへの対応がまず第一なので、GDPR対応が終わった後に世界各国の法律を横並びにして要件の比較をするのがよいといえるでしょう。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜データ主体に情報通知をする義務がない場合＞
【GDPR第14条の例外事項】

【57】
GDPR第14条が定める例外事項は、管理者が個人データを直接取得する場合に比べて広範です。
とはいえ、拡大解釈はしないでください。狭く限定的に解釈するのが正解です。

データ主体が既に情報を入手している場合以外に、以下の例外事項をGDPR第14条(5)では述べています。

イスラエルのDPA（監督機関）は、制裁金を課すことができるほか、違反者を最大５年間の懲役に課す権限を与えられています。
IT系、ベンチャー系でイスラエルと取引がある場合は要注意です。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜データ主体に情報通知をする義務がない場合＞
【GDPR第13条の例外事項】

【56】
管理者がデータ主体から直接データを取得する際にGDPR第13条に準拠した情報通知を行う必要がないのは、「データ主体が該当する情報を既に手にしている場合(where and insofar as, the data subject already has the information)」に限定されています。この場合においても、管理者は、データ主体が該当する情報を既に手にしているといえる合理的な理由を証明できなければなりません。（文書の提示も必要となるでしょう。）

管理者が示すべき内容は以下の通りです。

“insofar as”(～する限り)という表現が原文(GDPR第13条(4))で使用されているため、管理者はデータ主体がGDPR第13条(1)、(2)で定義された情報を完全な状態で確実に手にしていることを補償する義務があります。

以下に、データ主体に情報通知をする義務がないと考え得る一例を、good practiceとして示します。

（例）
オンラインe-mailサービスにサインアップしたユーザがいるとします。
ユーザはサインアップ時、GDPR第13条(1)(2)で要求されるすべての情報を入手しています。

６ヵ月後、同じユーザがe-mailサービス提供業者の提供するインスタント・メッセージ機能を有効化しました。
その際、電話番号を追加で提供しました。

サービス業者はこの時点で電話番号の処理について、GDPR第13条(1)(2)で要求される情報の一部を追加提供しました。
（処理の目的、処理の適法根拠、開示先、保持期間）しかし、６ヶ月前に既に提供されていた情報については、変更がなかったため情報通知を行いませんでした。
（管理者の身元と連絡先、DPOの身元と連絡先、データ主体の権利、監督機関に苦情申し立てをする権利）

Best Practiceとしては、再度、GDPR第13条(1)(2)で要求される情報をすべて提供しなおすことがよいといえるでしょう。
とはいえ、データ主体はどの情報が「追加」で提供されたものかを理解できる必要もあります。

要はバランスの問題ですが、６ヶ月前に提供された情報をデータ主体が覚えていない可能性があり、権利行使が可能であることを忘れている可能性があります。
すべての情報を通知しなおすのが最もよい方法といえそうです。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜データ主体の権利行使＞
【55】
データ主体の権利行使についてGDPRで規定される要件や必要な情報の性質をみると浮かび上がってくることがあります。
GDPRが意図しているのは、データ主体の権利を擁護し、管理者がデータ主体の個人データ処理について説明責任を果たす、ということです。

GDPR前文59では「データ主体が権利行使を行うためのフォーマットを提供すべき」とされています。また、管理者は「電子的手法で個人データが処理されている場合は特に、電子的な手法で要求可能であるよう整備する必要がある」とされています。

管理者は、データ主体との関係に鑑みて適切な形でデータ主体の権利行使が可能な様式を提供しなければなりません。
そのため、管理者は複数の方法を用意することになるかもしれません。

（例）
あるヘルス・サービス提供業者は、データ主体が自身の個人データにアクセス権を行使するための方法として、オンライン、オフラインで次の二つの様式を準備しています。
１．ウェブサイト上の電子的フォーム
２．ヘルス・クリニックの受付においてある紙面の様式

これに加え、手紙やemailでの問い合わせに対しても対応を行っています。また、データ主体が自身の権利行使について問い合わせをするための専用連絡先（emailまたは電話でアクセス可能）を準備しています。

フランスの監督機関(CNIL)がCookie notice違反で25,000ユーロ(約350万円)の制裁金を課金しました。
制裁金を課せられたウェブサイトはCookieの種類を分類しておらず、ユーザがCookieの送付を拒否することを許可していませんでした。また、Cookieの送付を拒否した場合の結果についても通知しておらず、Cookieの保管期間を13ヶ月未満とすることも遵守できていませんでした。

Cookieの管理は今後ますます厳格となることが予想されるため、注意をしてください。
テクニカ・ゼン株式会社では、GDPR/ePrivacy Regulationに準拠したCookie noticeの提供を行っておりますので、お気軽にご相談ください。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜視覚化ツール＞
[認証メカニズム、認証シール、認証マーク(Certification mechanisms, seals and marks)]
【53】
標準化されたアイコン以外に、透明性を強化する方法として、GDPR第42条ではデータ保護認証メカニズム、データ保護シール、データ保護マークの活用を推奨しています。WP29は認証メカニズムについてのガイドラインを発行する予定です。

＜データ主体の権利行使＞
【54】
透明性の原理を遵守するということは、データ主体の権利行使についてデータ管理者に３つの義務を課すことにつながります。

ブラジルの上院が包括的なデータ保護の法的枠組みを承認しました。

それによると管理者には、苦情を受け付け従業員がデータ保護を実践するための先導役となるDPOの選任義務が生じました。
また、管理者はデータ処理に適法根拠を必要とします。（同意、正当な利益、契約の履行、子供の最善の利益）
新製品や新技術の開発の際にはPIAの実施を義務付けられ、データ・ポータビリティ権、修正権、同意の撤回、自動化された意思決定の見直し要求といったデータ主体の権利行使に応じる義務も生じました。データ侵害が生じた際はDPAに通知し、影響を受けたデータ主体にも通知が必要となります。

準拠しない場合の制裁金の最大額は1,340万USD(約14億円)です。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜視覚化ツール＞
[アイコン(Icon)]
【51】
GDPR第12条(7)で、「アイコンが電子的な手段で提供されるときは、機械判読が可能であることが必要」とされているということは、アイコンが電子的な手段で提供されないこともある、ということです。

電子的な手段で提供されないケースとしては、例えば紙、IoT装置、IoT装置のパッケージ、Wi-Fiトラッキングについての公共の場における通知、QRコードの通知、CCTVの通知、といった場合が考えられます。

【52】
アイコンを使用する目的は明確で、データ主体が大量の書面による情報を読む必要を軽減することにあります。
しかし、GDPR第13条、GDPR第14条で規定される情報を効果的に伝達することができるかどうかは、シンボル、イメージが適切かどうかにかかっています。

世界的に認知されたシンボルまたはEU域内で認知されたシンボルを使用する必要があります。

GDPRはEDPD(European Data Protection Board)/EC（欧州委員会）に適切なアイコンの開発をするよう定めています。

GDPR前文166で述べられるように、アイコンは、evidence-based(証拠に準じた)手法で開発されるべきですし、標準化される前に十分な調査および産業・公共の場でのテストが実施される必要があるでしょう。

中国がセキュリティ製品の認証について既存のアクレディテーション・ボディ(認可団体：accreditation body)に申請するように通達したとの情報があります。
既に認証を得ているセキュリティ製品メーカは、同一のアクレディテーション・ボディに申請することで際認証を取得できます。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜視覚化ツール＞
【49】
GDPRで謳われる透明性の原理は言葉によるコミュニケーションに限定されません。（口頭、書面に関わらず）
適切な場合は視覚化ツール（特にアイコン、認証メカニズム、データ保護シール/マーク）の使用も可能です。

GDPR前文58が示すとおり、オンライン環境では情報へのアクセス性が特に重要です。

[アイコン(Icon)]
【50】
GDPR前文60では、標準化されたアイコンを「併用して」、階層化アプローチを行い、データ主体に情報を提供する場合についての記載があります。

アイコンを使用しても、データ主体の権利や管理者のGDPR第13条、GDPR第14条で要求される情報提供義務が軽減されるというわけではありません。
GDPR第12条(7)で述べられているように、アイコンは情報を捕捉する手段として使用されます。

The information to be provided to data subjects pursuant to Articles 13 and 14 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing. Where the icons are presented electronically they shall be machine-readable.

(GDPR第13条、GDPR第14条にしたがって提供される情報は標準化されたアイコンと併用して提供することができる。この目的は視覚性を良くし、判読性を高めることで意図する処理について有意な概要をデータ主体に提供することにある。アイコンが電子的な手段で提供されるときは、機械判読が可能であることが必要である。)

7月末に、オランダ当局が現地大企業30社に対し立ち入り監査を実施しました。
立ち入り監査まではしないだろうという意見も以前はあったのですが、この情報を見ていると、GDPRへの準拠を当局も相当真剣にもとめているように感じますね。
欧州と取引のある企業様は少し注意をされたほうがよいかもしれません。

引き続き「透明性のガイドライン(WP260 rev.01)」を読んでいきます。
—
＜追加の処理に関する情報＞
【48】
情報通知のタイミングはデータ主体の権利行使と結びつけて考える必要があります。
公正な処理(fair processing)を実現するための方法として、適切なタイミングでの情報通知は非常に重要です。
透明性の原理を担保するGDPR第13条、GDPR第14条の要件は、公正な処理（fair processing）とも関連しています。

「追加の処理(further processing)」は、「情報通知」後十分な時間をとって行うのが「公正な処理」とWP29は考えています。
「追加の処理」についての情報通知後ただちに当該処理が行われてはなりません。十分な時間をデータ主体に提供する事で、管理者は「透明性」を確保できますし、データ主体は「追加の処理」について十分考慮する時間を得られるということとなるでしょう。（権利行使を行うための時間もデータ主体は確保できることとなりますね）

「十分な時間」とはどの程度の時間でしょうか？
これは、一概には言えません。一点言えることは、追加の処理が侵害度の大きい処理である場合や、通常のデータ主体の想定を超えている場合にはより長い時間が必要ということでしょう。

管理者は、情報を通知するタイミングについても説明責任を負います。
情報通知を行うためのタイミングとしてなぜそのタイミングを選択したのか、全体としてそのタイミングがデータ主体に対してなぜ公正(fair)といえるのかについて管理者は説明できなければなりません。

（情報通知を行う適切なタイミングについては【30】、【32】も参照のこと）