EUデータ保護規則(GDPR)―行動規範と認証/コンプライアンスの仕組みの強化

今回は、EUデータ保護規則によって、規則の適切な適用のために、新しく定められた2つの仕組みについて見ていきましょう。行動規範(Codes of Conduct)と認証(Certifications)です。

行動規範とは何か

行動規範の意義

行動規範とは、業界団体が定め、その業界団体に属する企業が利用する個人データ保護のルールのことです。

EU指令にも行動規範の規定はあり、構成国がデータ保護の遵守を確保するために行動規範の作成を奨励することが予定されていました(第27条第1項)。策定された行動規範案が指令に沿ったものであるか否かを監督機関が確認する手続もありました。しかし、繰り返しになりますが、EU指令では構成国ごとに指令の解釈が異なることがあり、ある行動規範がある構成国の監督機関では指令に沿っているとみなされても、それが他の構成国でも同じようにみなされる保証はありません。
また、EU指令は、行動規範を第29条作業部会に審査のために提出しうることに触れていますが(第27条第3項)、承認をする手続が予定されているわけでもありませんでした。

これに対して、EUデータ保護規則は、行動規範を規則遵守の仕組みの一つとして、EU指令よりも強固なものに位置付けています。

第一に、構成国、監督機関、欧州データ保護評議会および欧州委員会は、中小・零細企業特有のニーズを考慮しながら行動規範を作ることを奨励しています。

第二に、複数の構成国にまたがる個人データの処理に関する行動規範案は、所定の手続を経て、EU内で一般的な有効性を持つことができます。EUのどこでも同じ有効性を持つことになるわけです。

第三に、EU域外の第三国に個人データを移転する場合、移転先の企業が行動規範を遵守し、データ主体の権利などについて拘束力と執行力をもつ適切な保護措置を備えている場合には、個人データの移転ができるようになります。この点は、別の記事”EUデータ保護規則-EU域外への個人データの移転④”にごく簡単に触れましたので、参考にしてください。

上記のような利点がありますので、行動規範を策定する方がビジネスの効率が高まるとともに、顧客に適正な個人データ保護措置を講じている業界であることを示すことにもなります。策定していない業界は準備を行い、すでに策定済みの業界も、規則に沿って行動規範の見直しをすることになるでしょう。

行動規範に盛り込む内容

行動規範には、様々な処理部門の特徴や中小・零細企業のニーズを考慮に入れながら、次の内容を盛り込むことができます(規則第41条第1項、第2項)。

公正で透明性のある処理 §40Ⅱ⒜
特定の状況において管理者の追及する正当な利益 §40Ⅱ⒝
個人データの収集 §40Ⅱ⒞
個人データの匿名化 §40Ⅱ⒟
公衆及びデータ主体に提供する情報 §40Ⅱ⒠
データ主体の権利の行使 §40Ⅱ⒡
子供に提供される子供を保護をする情報および子供に対して親の責任を有する者の同意を取得する方法 §40Ⅱ⒢
管理者の責任およびデザインや初期設定におけるデータ保護の手段および手続、処理の安全性を確保する措置 §40Ⅱ⒣
監督機関への個人データの違反の通知およびデータ主体への個人データの違反の連絡 §40Ⅱ⒤
個人データの第三国又は国際機関への移転 §40Ⅱ⒥
管理者とデータ主体との間の処理に関する紛争を解決するための裁判外手続及びその他の紛争解決手続 §40Ⅱ⒦
認定団体の義務的な監視の仕組み §40Ⅳ

行動規範の承認手続

行動規範は、構成国1国におけるデータ処理を予定する場合と、複数の構成国にまたがるデータ処理を予定する場合とでは、その承認手続が異なっています。

▼構成国1国にとどまるデータ処理に関する行動規範

こちらはシンプルです。業界団体が、行動規範案や既存の行動規範の修正案・拡張案を監督機関に提出し、監督機関が行動規範が規則を遵守しているか否かの意見を提出し、行動規範が十分に適切な保護措置を提供していることを確認した場合に、行動規範案、行動規範の修正案・拡張案を承認します(規則第40条第5項)。監督機関は、承認した行動規範を登録し、一般に公開します(規則第40条第6項)。

▼複数の構成国にまたがるデータ処理に関する行動規範

こちらは少し複雑です。業界団体が既存の行動規範の修正案・拡張案を監督機関に提出するところまでは同じです(規則第40条第5項)。監督機関は、承認する前に、行動規範案、既存の行動規範の修正案・拡張案を欧州データ保護評議会に提出します(規則第40条第7項)。欧州データ保護理事会は、その案が本規則を遵守しているかどうか、第三国への移転の場合に適切な保護措置を提供しているかどうかについて意見を述べます(規則第40条第7項)。その上で監督機関が承認をします。規則の遵守や適切な保護措置の提供を認める場合、欧州データ保護評議会は、欧州委員会にその旨の意見を提出します(規則第40条第8項)。欧州委員会が、実施法令により、行動規範、修正案・拡張案がEU内で一般的な有効性を有すると決定することができます(規則第40条第9項)。欧州委員会は、承認済みの規範について適切な公表を行います(規則第40条第10項)。欧州データ保護評議会は、承認済みの行動規範、修正・拡張を記録に登載し、適切な方法によって一般の利用に供するようにします(規則第40条第11項)。

行動規範の遵守の監視

行動規範の遵守の監視は、認定団体が行います。
監督機関が規則に基づきEUで統一される基準を定めて、この基準に従って、適正な水準の専門性と監視機能を持っていると考えられる団体を認定します(規則第41条第1項ないし第3項)。
特定の企業が行動規範を遵守していないと認める場合には、認定団体は適切な対応を講じることになっており、その企業を行動規範からはずすこともできます(規則第41条第4項)。
認定団体が認定の基準を満たさなくなった場合や認定団体の取った対応が規則に違反している場合には、監督機関が認定を取り消します(規則第41条第5項)。

認証とは何か

認証の意義

認証とは、認証機関が、企業の個人データ保護が一定の基準に達していることを証明する制度です。認証を得た企業は、データ保護シールやデータ保護マークを企業のウェブサイトに掲載するなどして、個人データの保護が図られていることを示すことができます。認証は任意ですので(規則第42条第3項)、取得しても取得しなくてもかまいません。しかし、取得すれば、業種によっては大きなメリットがあります。

EU指令には認証の規定はありませんでしたが、これまでもEUでは認証の取組みがなされてきました。たとえば、EuroPriSeは、EU全体にわたりIT産業に対するプライバシー・シールです。ヨーロッパの広告業界が設立し行動ターゲティング広告の自主規制に関するEDAA(The European Interactive Digital Advertising Alliance)やアメリカで生まれた非営利団体の TRUSTeなどが、プライバシー・シールの仕組みを運用しています。国単位の取組みとしては、フランスの国内監督機関がプライバシー・シール制度を運用しており、ソフトウエアやコンピューター関連の企業に監査や従業員に対するデータ保護教育を提供しています。
民間団体の取組みとしては、日本にもTRUSTeがあります。一般社団法人日本プライバシー認証機構(JPAC)が委託を受けて運用をしています。同様の仕組みがありますので、イメージは沸きやすいでしょう。

EUデータ保護規則は、この認証の取組みを明確にデータ保護の仕組みとして位置付けました。

第一に、構成国、監督機関、欧州データ保護評議会および欧州委員会は、中小・零細企業特有のニーズを考慮しながら、データ保護の認証の仕組みやデータ保護シール・マークを作ることを奨励しています。

第二に、欧州データ保護評議会の承認する基準にしたがった認証は、EU全体にわたる共通の認証となります。

第三に、EU域外の第三国に個人データを移転する場合、移転先の企業が、認証を遵守し、データ主体の権利などについて拘束力と執行力をもつ適切な保護措置を備えている場合には、個人データの移転ができるようになります。この点は、別の記事”EUデータ保護規則-EU域外への個人データの移転④”に簡単に触れましたので、参考にしてください。

認証の発行手続

認証は、監督機関または欧州データ保護評議会が承認する基準に従って、認証機関または監督機関が発行します(規則第42条第5項)。欧州データ保護評議会が承認する基準による場合には、認証はEUで共通の認証となり、欧州データ保護シールとなります(規則第42条第5項)。欧州データ保護理事会は、認証機関とデータ保護シール・マークを記録に登載し、適切な方法により一般に公開します(規則第42条第8項)。

認証を受けるためには、管理者または処理者は、すべての情報と処理へのアクセスを提供しなければなりません(規則第42条第6項)。認証は最長3年の期間で発行され、要件が満たされている限り、同一の条件で更新されます(規則第42条第7項)。認証の要件を満たしていないまたは満たさなくなった場合には、認証機関または監督機関が認証を取り消すことがあります(規則第42条第7項)。

欧州委員会は、データ保護の認証の仕組みについて考慮すべき要件を明示するために委任法令を採択する権限を持ち、認証の仕組みやシール・マークの技術的基準、認証の仕組みやシール・マークを奨励し認定する仕組みを定める実施法令を採択することができます(規則第8項、9項)。今後、委任法令や実施法令で、データ保護の認証の仕組みがより明確になっていくものと思われます。

認証機関の認定

認証機関は、認証の内容に関して独立性および専門性があり、監督機関や欧州データ保護評議会の認証の基準を尊重し、データ保護認証、シール・マークの発行、定期的審査、取消しの手続を確立し、認証の違反や苦情に対応し、データ主体および公衆に対して透明性ある手続と体制を確立し、その職務および権限が利害対立を生じさせないことを証明した場合に、監督機関または国内の認定機関によって認定されます((規則第42条第1項、第2項、欧州議会および欧州評議会の2008年7月9日のEC765号/2008規則)。欧州議会及び欧州評議会の2008年7月9日のEC765号/2008規則は、認定要件や製品のマーケティングに関する市場監視を規定した規則です。
監督機関または国内の認定機関は、認証機関が認定の条件が満たしていない場合または満たさなくなった場合、または認証機関の行為が規則に違反している場合には、認証機関の認定を取り消すことがあります(規則第43条第7項)。

以上のように、行動規範と認証機関は、新しく規則の遵守のための仕組みとして明確に規則の中に位置付けられました。日本企業の場合は、行動規範については、同一業種の業界の動向を、認証については取得するメリットをそれぞれ検討して、規則の施行に備えることが望ましいと思われます。

2016年11月9日更新:欧州データ保護理事会を欧州データ保護評議会と訳し直し、認証団体を認証機関に変更しています。

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。