EUデータ保護規則(GDPR)ー管理者の責任と義務:ざっと見てみました

これまで、EUデータ保護規則(GDPR)の保障するデータ主体の権利について8回に分けて見てきましたが、データ主体の権利は、管理者の側からみればその権利に関する義務が発生している関係になります。また、様々な事項について、管理者が情報を通知する義務を負っていることは、別の記事”EUデータ保護規則(GDPR)ー管理者の義務:情報の通知(Information Notices)”で確認したとおりです。
本記事は、これらの義務を除くその他の管理者の義務と責任について概観します。

Contents

管理者の責任

個人データの処理に関する原則を定めたEUデータ保護規則第5条は、第2項で管理者の責任を規定しています。

Article 5 Principles relating to processing of personal data
2. The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’).

管理者は、第1項に対する責任を負い、その遵守を証明できなければならない(責任)。

第1項とは、6つの原則―合法性・正当性・透明性、目的制限、データ最小化、正確性、保管制限、完全性・機密保持の原則―を指しています。”EUデータ保護規則(GDPR)-個人データの処理に関する7つの原則”を参照してください。

なお、EU指令でも、EUデータ保護規則第5条第2項に相当する規定として、管理者が個人データの処理の合法性に関する一般準則を遵守する義務を負う旨の規定がありました(第6条第2項)が、これから述べるような具体的義務については、ごく一部が定められるに止まっていました。

技術的・組織的措置を講じる義務

EUデータ保護規則は、管理者の義務として、組織的・技術的な措置を一般的な義務の1つとして定めています。EU指令でも同様の規定がありました(第17条)。規則では、第24条第1項になります。

Article 24 Responsibility of the controller
1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.

処理の性質、範囲、背景および目的ならびに自然人の有する権利および自由に対する危険の様々な可能性および重大性を考慮した上で、管理者は、処理が本規則に従って行われていることを確保し証明できるような適切な技術的および組織的措置を講じなければならない。これらの措置は、見直され必要に応じて最新のものにされなければならない。

この管理者の負う組織的・技術的措置に関する義務については、さらに具体的な義務や任意に行う取組みが示されています。これらは、EU指令では明確に規定されていなかったところです。一覧するために表を作成してみました。

データ保護方針の実施 §24Ⅱ
データ保護バイデザイン・デフォルト §25
処理の安全性(仮名化・暗号化その他) §32
データ保護影響評価と事前相談 §35,§36
処理行為の記録の保存 §30
データ保護担当者の任命 §37
*行動規範 §40
*認証 §42

(注)行動規範と認証は義務ではなく、任意の取組みとなります。

データ保護方針の実施

技術的・組織的措置には、処理行為に比例するならば、管理者による適切なデータ保護方針の実施が含まれます(第24条第2項)。

設計と初期設定によるデータ保護:データ保護byデザイン・デフォルト

管理者は、最新技術、実施費用、処理の性質、範囲、背景および目的、処理がもたらす個人の権利および自由に対する危険の可能性および重大性を考慮した上で、仮名化などの適切な技術的・組織的措置を講じる義務があります(第25条第1項)。この措置は、データ最小化のようなデータ保護の原則を効果的な方法で実施し、本規則の要件を満たしデータ主体の権利を保護するために必要な保護措置をデータ処理と統合するように設計されたものである必要があります(データ保護byデザイン:第25条第1項)。

管理者は、特定の処理目的に必要とされる個人データだけを処理するために、初期設定によって適切な技術的及び組織的措置を講じなければなりません(データ保護byデフォルト:第25条第2項)。

処理の安全性

管理者は、最新技術、実施費用、処理の性質、範囲、背景および目的、処理がもたらす個人の権利および自由に対する危険の可能性および重大性を考慮した上で、安全性(セキュリティ)の水準を危険に合わせるような適切な技術的・組織的措置を講じる義務があります(第32条)。この措置には、仮名化や暗号化が含まれます。

データ保護影響評価と事前相談

新しい技術を使用している処理については、処理の性質、範囲、背景および目的を考慮した上で、個人の権利および自由に高い危険を生じさせるおそれがある場合には、管理者は、処理の前に、予定する処理行為の個人データ保護に対する影響評価を実施しなければなりません(第35条第1項)。この際、データ保護担当者を任命している場合には、その助言を求めなければなりません(第35条第2項)。データ保護影響評価によって、危険を低減する措置がない状態で処理を行えば高い危険が生じることが示された場合、管理者は、処理の前に監督機関に相談をしなければなりません(第36条)。

処理行為の記録の保存

管理者は、個人データの処理行為の記録を保存する義務を負います(第30条第1項)。この義務は、従業員の数が250人以上の企業や団体について発生しますが、従業員の数が250人未満であっても一定の場合には処理行為の記録を保存する義務が課されることがあります(第30条第5項)。

データ保護担当者の任命

一定の管理者について、データ保護担当者の任命が義務付けられています(第37条第1項)。その他の管理者には任命は義務付けられていませんが、任意に任命することはできます。

行動規範と認証の仕組みの遵守

行動機関と認証は、義務ではなく管理者が任意に取り組む措置となります。もっとも、行動規範(第40条)および認証の仕組み(第42条)を守っていることは、管理者が義務を遵守していることを証明する要素となり得ます(第24条第3項)。
行動規範と認証については、”EUデータ保護規則(GDPR)―行動規範と認証/コンプライアンスの仕組みの強化”で詳しく述べました。

監督機関との協力義務

管理者は、監督機関の要請に応じて、監督機関の業務遂行において監督機関と協力する義務があります(第31条)。

個人データ侵害時の通知義務

技術的・組織的措置を講じていなかったならば、そのこと自体が問題ですが、たとえ措置を講じていたとしても、違法な破壊、消失、改変、開示、アクセス等の個人データ侵害は起こり得ます。
個人データ侵害があった場合(第4条(12))、管理者は、監督機関に通知する義務があります(第33条)。
また、自然人の権利および自由に対して高い危険を引き起こすような個人データ侵害があった場合には、管理者は、監督機関だけではなくデータ主体に連絡をする義務を負っています(第34条)。

共同管理者の義務

EUデータ保護規則は、2人以上の管理者が共同して個人データの処理の目的や手段を決定している場合に、その複数の管理者を共同管理者とし、協定によりそれぞれの責任を定める義務規定を設けています(第26条)。

EU域外の管理者による代理人の任命義務

EU域内に設置されていない管理者または処理者は、EU域内の代理人を書面で任命しなければなりません(第3条(2)、第27条第1項)。ただし、次のいずれかの場合を除きます(第27条第2項)。

  • 処理が不定期で、特別な種類のデータの処理(第9条第1項)または有罪判決および犯罪に関する個人データ(第10条)を大規模に処理することがなく、処理の性質、背景、範囲および目的を考慮した上で、自然人の権利および自由に対する危険の生ずるおそれがない場合
  • 管理者が公的機関又は団体である場合

 

以上のとおり、管理者は実に様々な義務を負っています。規則の施行前にこれらの義務を履行する準備を整えなければなりません。その際、特に技術的・組織的措置に関しては、処理する個人データの種類など種々の要素を考慮することが前提になっていますので、企業の業種を問わず画一的な措置が求められているものではなく、各企業の実情に合った措置を講じる方向で検討をする必要がありそうです。
なお、個人データbyデザイン・デフォルト、データ保護影響評価、処理行為の記録の保存、データ保護担当者の任命、個人データ侵害時の通知義務は、それぞれ別の記事でまとめる予定です。

 

弁護士(第二東京弁護士会所属・弁護士・NY州弁護士) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 法律事務所Legal i プラスを2021年設立 Information Law, Internet Law, Intellectual Property Lawなど、iから始まる法律を中心に業務を行っています。 このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。