EUデータ保護規則(GDPR)―個人データの処理に関する7つの原則
今回は、個人データの処理に関する原則を見てみます。
指令でも同種の規定がありました(第6条)。
規則は、①合法性、公正性および透明性、②目的制限、③データ最小限性、④正確性、⑤保管制限、⑥完全性および機密性保持、⑦責任という7つの原則を定めています。具体的な条文は第5条になります。
第5条 個人データの処理に関する原則
1 個人データは、
(a)データ主体に関し、合法、公正および透明性ある方法で処理されなければならない<合法性、公正性および透明性>。
(b)特定された明示的で正当な目的のために収集され、かつ当該目的に相容れない方法によって処理してはならない。公益のために保管する目的、科学的もしくは歴史的な研究目的または統計目的でさらに行う処理は、第89条1項に従い、当初の目的と相容れないとみなしてはならない。<目的制限>
(c)データが処理される目的に照らし適正で、関連性があり、必要な範囲に限定されなければならない。<データ最小限性>
(d)正確で、必要な場合には最新の状態にしなければならない。:処理目的に照らし不正確な個人データを遅滞なく削除または訂正することを確保するために、あらゆる適当な措置が採られなければならない。<正確性>
(e)個人データの処理目的に必要とされる期間を超えない間は、データ主体の特定を可能にする形式で保管するものとする。個人データは、第89条1項に従って公益のための保管目的、科学的または歴史的研究目的もしくは統計目的のためにのみ処理される限り、データ主体の権利および自由を保護するために本規則で必要とされる適切な技術的および組織的措置を実施する場合には、より長期間にわたり保管することができる。<保管制限>
(f)適切な技術的又は組織的な措置を講じた、権限のないまたは違法な処理および偶発的な消失、破壊または毀損に対する保護を含む、個人データの適切な安全対策を確保した方法で処理されなければならない。<完全性および機密性保持>
2 処理者は第1項の遵守に責任を負うとともに、遵守を証明できなければならない。<責任>
規則の各条文は、これらの原則は具体化したものといってよいでしょう。原則は抽象的なものではありますが、法律の解釈の指針を示すものですので、押さえておきましょう。