Glossary―EUデータ保護規則(GDPR)用語集

EUに関する用語集は、別な記事にまとめていますが、EUデータ保護規則に特有の用語を中心にした別記事を作りました。
サイトの進行に併せて、逐次更新していきます。

・adequate decision —–十分性の決定。欧州委員会が、EU域外の第三国について、個人データの保護について十分な保護措置を備えているか否かを審査し、十分性を備えていると判断した場合に決定を下す。十分性の決定を得ている第三国に、EUの構成国から個人データを移転する場合には、特別な手続を必要としない。

・biometric data  —– 生体認証データ。顔画像や指紋認証データなどのような、自然人の固有識別を可能・確認する自然人の身体的、生理的、行動的な特性に関連する特定の技術処理からなる個人データを指します。

・BCRs: Binding Corporate Rules —– 拘束的企業準則。主に多国籍企業が採用する準則で、企業グループ内でEU域外の第三国に個人データを移転する場合に、特別の手続を必要としないで個人データを移転することができる仕組み。EU指令でも同様の仕組みがあったが、EUデータ保護規則によって明確に法令上の位置付けを得た。

・certification: —– 認証とは、認証団体が、企業の個人データ保護が一定の基準に達していることを証明する制度。認証を得た企業は、データ保護シールやデータ保護マークを企業のウェブサイトに掲載するなどして、個人データの保護が図られていることを示すことができる。

・CJEU: the Court of Justice of the European Union —– 欧州司法裁判所。EU法の解釈、構成国や各機関による法の遵守を監督するEUの司法機関。3つの裁判所-司法裁判所、一般裁判所、専門裁判所-で構成されている。
▼欧州評議会(CoE)の機関である欧州人権裁判所と混同しないように注意が必要。

・Codes of Conduct —– 行動規範。業界団体が定め、その業界団体に属する企業が利用する個人データ保護のルール。行動規範を移転元と移転先が遵守している場合には、その他の手続を必要としないで、EU域外の第三国に個人データの移転ができる。

・Commission:European Commission —– 欧州委員会。英語そのままにコミッションとも呼ばれる。法案提出権限を持つEUの行政執行機関。欧州全体の利益を代表し、政治的に独立して政策を実施する。委員は欧州理事会によって選出され、欧州議会がそれを承認する。
EUデータ保護規則も、欧州委員会が提出し、欧州議会の承認を得て成立している。

・consistency mechanism —– 統一する仕組み。欧州データ保護評議会を通じて、EUデータ保護規則の適用を統一する仕組みを指す。たとえば、主たる監督機関と関連監督機関との間の意見が異なり一致をみない場合や、行動規範、認証機関の基準や認証機関の認定に関する監督機関の決定案について、欧州データ保護評議会が意見を述べる。

・controller —– 管理者。管理者。単独でまたは他と共同して、個人データの処理の目的および手段を決定する自然人もしくは法人、公共機関、政府機関またはその他の団体を意味する。EU指令もEU規則も管理者の概念は異なっていない。

・Council —– 欧州理事会。正式な名称はCouncil (of the European Union)。EUの機関。立法機関の一つ。欧州議会(Parliament:European Parliament)と共同で立法行為を行う。欧州連合理事会、EU理事会、閣僚理事会とも呼ばれる。各構成国から閣僚級代表1名が出席。政策分野・内容別に設けられた委員会で活動する。
▼EUとは別の機関である欧州評議会と混同しないように注意が必要。
▼EUデータ保護規則の中には、”Council”という用語が出てくる。これは、欧州データ保護理事会(EDPB: the European Data Protection Board)のことである。

・data subject —– データ主体。特定されたまたは特定可能な自然人を指す。

・Directive —– 指令。EUデータ保護関係で、「指令」という場合は、1995年に制定されたEU指令のことを指す。2018年5月25日のEUデータ保護規則の施行まで、EU指令が適用される。
正式名称は、DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(個人データの処理に係る個人の保護及び当該データの自由な移動に関する1995年10月24日付け欧州議会及び理事会の95/46/EC指令)。

・Directive (EU) 2016/680 —– EUデータ保護規則と同時に制定された指令。犯罪や刑事罰の執行に関するデータ処理について、規則とは別に作成された法令。
正式名称は、Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA(犯罪又は刑事罰の執行における予防、捜査又は起訴を目的とする権限ある機関による個人データの処理に係る個人の保護及び当該データの移動に関する2016年4月27日付け欧州議会及び理事会の2016年680号指令)

・DPA: Data Protection Authority —– 国内データ保護機関。EU指令の下で、指令の執行を監督するために、各構成国に設置された監督機関。

・DPIA: Data Protection Impact Assessment —– データ保護影響評価。データ主体の権利および自由に高い危険を生じさせる可能性があるデータ処理の前に、管理者が行う評価を指す。

・DPO: Data Protection Officer —– データ保護担当者。一定の場合に、管理者または処理者に指名が義務付けられる専門職のことをいう。個人データ保護の分野の専門的知識、経験、技能を持つ人物が指名される必要がある。

・EDPB: the European Data Protection Board —– 欧州データ保護評議会。欧州データ保護役員会、欧州データ保護会議、欧州データ保護局と訳す文献もある。EU規則の下で新しく設置される法人格を有するEUの独立機関。権限は多岐にわたるが、主にEUデータ保護規則の執行にあたり、構成国ごとで解釈が異ならないようにするために採られる統一する仕組み(Consistency Mechanism)のために活動する。これまでも同様の役割を果たしてきたEU指令の下で設置された第29条作業部会が、欧州データ保護理事会になるとされている。構成国の監督機関の長と欧州データ保護監督官またはそれらの代理人によって構成される。事務局も設置される。(規則前文139、140)

・EDPS: the European Data Protection Supervisor —– 欧州データ保護監督官。EUの個人データ保護のために設置された監督機関。EUデータ保護指令に基づき、EUの諸機関が個人データ保護を遵守しているかどうか監督し、助言を行う。

・EEA: the European Economic Area —– 欧州経済域。the European Economic Areaの略語で、欧州経済領域、欧州経済地域と訳されることもある。EEAは、EFTA加盟国がEUに加盟することなく、EUの単一市場に参加することができるための仕組みで、1994年1月1日に発効したEEA協定による。EEA内では物、サービス、人、資本の移動が自由になった。EEA協定では、EUに加盟する場合にはEEAにも加盟しなければならないことになっている。現在、31か国で構成されている。

・establishment —– 事業所。企業等が事業を行う場所を指す。拠点と訳されることもある。

・genetic data —– 遺伝子データ。自然人の生理機能、健康に関する特有の情報を伝えてる自然人の生体試料の分析に由来する、自然人の遺伝によるまたは後天的に獲得した遺伝特性に関する個人データを指します。

・GDPR: the General Data Protection Regulation —– 一般データ保護規則。EUデータ保護規則の一般名称。

・Member states —– 構成国。加盟国と訳す場合もある。EUを構成する国。

・Model Clauses —–EU指令の下で、個人データをEU域外に移転する場合に利用されるデータ保護契約のモデル。管理者から管理者へ移転する場合の契約として2種類、管理者から処理者へ移転する場合の契約として1種類が、欧州委員会によって承認されている。

・Parliament:European Parliament —– 欧州議会。EUの立法機関の一つ。EU構成国民(EU市民)の中から直接選挙により選出される議員で構成。理事会と共同で立法行為を行う。

・personal data —– 個人データ。特定されたまたは特定可能な自然人(データ主体)に関するすべての情報。

・privacy mark —– 認証団体から認証を取得した企業などが、プライバシー・マークをウェブサイトなどに掲載して十分な保護措置を講じていることを示す仕組み。

・processing —– 処理。取扱いと訳されることもある。「処理」とは、自働化された手段によるか否かを問わず、収集、記録、組織化、構造化、保管、修正もしくは変更、復旧、参照、利用、伝送による開示、周知あるいはその他の方法による提供、整列もしくは結合、制限、消去または破棄といった個人データまたは個人データの集合に関して行われる操作または操作の集合をいう。

・processor —– 管理者。単独でまたは他と共同して、個人データの処理の目的および手段を決定する自然人もしくは法人、公共機関、政府機関またはその他の団体。

・profiling —– プロファイリング。人が介在しない自動処理により、個人の嗜好、思想、健康等を決定することをいう。

・Regulation: —– 規則。EUの法令の形式の一つ。データ保護との関連では、2016年に制定され、2018年5月25日に施行されるEUの新しい個人データの保護法令であるEUデータ保護規則を指す。一般データ保護規則とも呼ばれる。
正式名称は、Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (個人データの処理に係る自然人の保護及び当該データの自由な移動並びに1995年46番EC指令(一般データ保護規則)の廃止に関する2016年4月27日付け欧州議会及び理事会の2016年679番EU規則)

・SA: Supervisory Authority —– 監督機関。EUデータ保護規則の執行を監督する機関。各構成国に1つ以上設置される。現在のDPAがSAに発展するのではないかと思われる。

・seal —– 認証団体から認証を取得した企業などが、ウェブサイトなどにシールを掲載し、十分な保護措置を講じていることを示す仕組み。

・sensitive personal data —– センシティブデータ。人種、民族的出自、政治的見解、宗教的・哲学的信条、労働組合加入を示す個人データ、遺伝子データ、自然人を同定する生体認証データ、健康に関するデータ、自然人の性生活もしくは性的指向に関するデータを指す。

・WP29:第29条作業部会。EU指令第29条に基づき設置されているEU指令の解釈の統一や執行を促進するための助言機関。構成国からメンバーが送られているが、構成国から独立して活動している。今後、EDPB(欧州データ保護理事会)に発展することが予定されている。

2016年11月9日更新:説明を記載していなかった部分を追加し、欧州データ保護理事会を、欧州データ保護評議会と訳しなおしました。

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。