引き続き、2018年5月にEUで施行される個人データに関する保護制度、EU一般データ保護規則(GDPR)について、株式会社GRCS COO 榎本司氏に解説頂くコラムの第3回目です。(全4回)
「EU一般データ保護規則(GDPR)」とは、EU圏内において個人情報を扱う企業はすべて対象となり、違反が認められる場合は高額な制裁金が課せられるなど、EU圏内でビジネスを展開する日本企業にも大きく影響する制度です。

第3回GDPR(EU一般データ保護規則)とは(3)

7 適法な個人データ処理の要件

管理者は以下6原則の遵守義務を負う 第5条第1項

  1. 適法性、公平性および透明性の原則
    適法、公平かつ透明性のある手段での個人データ処理
  2. 目的の限定の原則
    特定された、明確かつ適法な目的のための個人データ収集に限定
    相容れない方法での更なる処理の禁止
  3. データの最小化の原則
    処理目的の必要性の点から、適切かつ関連性のある最小限の個人データに限定
    不正確な個人データの消去・訂正を担保する合理的な方策の実施
  4. 正確性の原則
    正確・最新の個人データ保持
    不正確な個人データの消去・訂正を担保する合理的な方策の実施
  5. 保管の制限の原則
    処理目的での必要期間を超えて、データ主体の識別可能な状態での保管禁止
  6. 完全性および機密性の原則
    適切なセキュリティを確保した方法での処理(無権限・違法な処理に対する保護、偶発的な滅失・破壊・損壊に対する保護も含む)

管理者は6原則遵守の説明責任を負う 第5条第2項

  • 管理者の責任(遵守保証・証明のため技術的・組織的対策の実施) 第24条

説明責任に基づき実施すべき遵守実証対策

(管理者の責任程度を決する上で考慮すべき事項)

  • By Design及びBy Defaultによるデータ保護 第25条
  • 処理行為の記録 第30条
  • 新技術に関する影響評価 第35条及び事前相談 第36条
  • データ保護責任者(DPO)の選任 第37条
  • 個人データの適法な処理(後述「8」)及びセキュリティに関する義務(後述「9」)
  • データ主体の権利(情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、自動処理に基づく個人に関する決定(判断、評価)に関する権利)の尊重 第12~22条

8 個人データの適法処理

以下の項目のいずれかに該当しない場合、個人データの処理を適法に行うことができない 第6条1項

  1. データ主体が、自己の個人データの処理を任意に同意した場合
    同意の条件
    • 同意が証明できるようにしておく必要 第7条1項
    • 同意の要求を案件別に明示する必要 第7条2項
    • 同意はいつでも撤回でき、同意の撤回は撤回前の同意に基づく処理の適法性に影響を与えないもの 第7条3項
  2. データ主体が当事者である契約履行のために処理が必要な場合、契約締結前のデータ主体の求めに応じた処理が必要な場合
  3. 管理者が従うべき法的義務を遵守するために処理が必要な場合
  4. データ主体(他の自然人)の重大利益保護のために処理が必要な場合
  5. 公共の利益/管理者に与えられた公的権限の行使のために処理が必要な場合
  6. 管理者または第三者の正当な利益のために処理が必要な場合
    (ただし、データ主体のプライバシー権が、当該利益に優先する場合を除く)
    3テスト(必要性、補完性、比例制)および透明性(十分な情報提供)の厳密確認が必要

9 個人データのセキュリティに関する義務

処理のセキュリティ 第32条1項

管理者は、リスクに見合ったセキュリティレベルを確保するために、現時点の技術水準、コスト、処理の目的、データ主体の権利、リスク程度などを考慮し、「適切な技術的および組織的対策」を実施しなければならない

管理者の責任程度を決する上で考慮すべき事項
  1. 個人データの仮名化および暗号化
  2. 処理システムの機密性、完全性、可用性および復旧を確保する能力
  3. 物理的または技術的事故の際、個人データの可用性とそのアクセスを迅速に復旧する能力
  4. 処理の安全を確保するための技術的および組織的対策の効果を定期的に審査し評価するプロセス

セキュリティレベルの適切さの評価にあたっては、個人データに対する偶発的・違法な破壊、滅失、変更、無許可の開示、アクセス等により提起されるリスクを考慮しなければならない

個人データ侵害の監督機関への通知 第33条

個人データの侵害

個人データに対する偶発的・違法な破壊、滅失、変更、無許可の開示、アクセス等をもたらすセキュリティ侵害のことをいう(例:サイバーアタックによる自社サーバ内EEA所在者個人データの漏洩) 第4条(12)

管理者は、個人データの侵害を、遅滞なく(72時間以内*)監督機関に通知しなければならない 第33条1項

*平時から準備がなされていなければ時間内での対応は難しく、マニュアル化等の整備が必要

  1. 個人データ侵害の性質に関する記述(関連するデータ主体の種類および概数、関連する個人データの記録の種類と概数)
  2. データ保護責任者の氏名および連絡先詳細
  3. 個人データ侵害の結果、生じ得る結果に関する記述
  4. 個人データ侵害に対処するために取られてた・取られる対策(悪影響を軽減するための対策を含む)

個人データ侵害のデータ主体への通知第34条

  • 管理者は、個人データ侵害が権利および自由に対して高リスクを引き起こし得る場合、遅滞なくデータ主体に通知しなければならない 第34条1項
  • 管理者は、以下のいずれかの状況に合致する場合には、上記通知を行う必要はない 第34条3項
下記の列挙事由に該当するよう整備して負担軽減することが重要
  • 暗号化のように、個人データが判読できないようにするといった対策をはじめとする適切な技術的および組織的保護対策を適用している場合
  • 管理者が、自然人の権利および自由に対する高リスクが具体化し得ないことを確実にする事後的措置を取った場合
  • 過度な労力を要する場合の代替措置として、データ主体が等しく効果的手法で通知されるように公的な通信またはそれに類似する対策を取る場合
筆者プロフィール

榎本司(株式会社GRCS取締役兼COO)

金融系SIerでの営業、事業開発、日本ヒューレットパッカードにおいてセキュリティソリューションのビジネス開発及びアライアンス、クロスビジネスユニットで日本をリードし、また、インフラソリューションのビジネス開発にも従事。当社においてはCOOとして、ビジネスオペレーション、ビジネス戦略、ソリューション開発、新規ビジネス開発等のリードを行う。

GRCS社がカバーするGDPR対応支援サービス
プロセス 現地調査 → 対応計画 → GDPR対策 → GDPR運用
コンサルティング EU法弁護士 アセスメントおよびリーガルアドバイス
  • EU個人データ移行支援
  • GDPRコンサルティングおよび支援(文書作成支援、体制デザイン、計画支援)
  • 各種セキュリティソリューション
  • 各種セキュリティソリューション運用支援
支援サービス GDPR運用支援クラウドサービス開発中「GDPR NT(仮)」
GDPR対応支援サービスに関して

参考文献

  1. NTTデータ先端技術株式会社「EU一般データ保護規則(GDPR)の概要」
  2. 【海外識者シリーズ】杉本武重氏(全6回)
    第1回 EUで始まる新しい一般データ保護規則「GDPR」とは?
    第2回 新しい一般データ保護規則概説(2)「GDPRの適用範囲と執行制度」
    第3回 新しい一般データ保護規則概説(3)「個人データ処理の要件および個人データのセキュリティ」
  3. JETRO
    「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
    「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)
  4. JIPDEC
    「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)(仮日本語訳)」

関連記事

【特別連載】施行がせまる「EU一般データ保護規則(GDPR)」を学ぼう!