/ Ikuko Komachiya

EUデータ保護規則(GDPR)ーデータ保護byデザイン・デフォルト&データ保護影響評価

技術的・組織的措置の一つとして、データ保護byデザイン、byデフォルトが、EUデータ保護規則(GDPR)の中に明記されました。同じく技術的・組織的措置の一つとして、データ保護に多大な影響を及ぼす可能性がある場合に、事前に行うべきデータ保護影響評価(DPIAs)も定められています。

データ保護byデザイン・byデフォルト

データ保護byデザイン・デフォルトの内容

EUデータ保護規則は次のように定めています(第25条)。

1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.

管理者は、最新技術、実施費用、処理の性質、範囲、内容および目的ならびに処理のもたらす自然人の権利および自由に対する危険の様々な可能性および重大性を考慮した上で、仮名化などの適切な技術的・組織的措置を講じなければならない。同措置は、データ最小化のようなデータ保護の原則を効果的な方法で実施し、本規則の要件を満たしデータ主体の権利を保護するために必要な保護措置を処理と統合するように設計されたものでなければならない。

2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.

管理者は、初期設定によって、特定の各処理目的に必要な個人データだけが処理されることを確保する適切な技術的および組織的措置を講じなければならない。当該義務は、収集される個人データの量、処理の程度、保管期間およびアクセス可能性に適用される。特に、当該措置は、初期設定により、個人の介入がなければ、不特定多数の自然人が個人データにアクセスできないことを確保しなければならない。

以上のように、管理者は、データ処理のシステムを設計し、このシステムをデータ処理に利用する場合、データ主体の権利を保護し、EUデータ保護規則の遵守を確保するための技術的・組織的措置を講じなければなりません。また、初期設定で、データ処理行為が処理目的に必要な最小限に限定されるようにする義務があります。

データ保護byデザイン・デフォルトの概念は、EU指令の中には明記されていませんでした。EUデータ保護規則は、法令レベルでこれを定めていますので、企業はこれを遵守する義務を負い、現在利用しているデータ保護システムの再点検・見直しが必要となります。

Privacy by Design

このプライバシーbyデザイン・デフォルトの条文は、アン・カブキアン博士(カナダ・オンタリオ州の情報・プライバシー・コミッショナー)が、90年代に提唱した「プライバシーbyデザイン」の概念と関連しています。
プライバシーbyデザインとは、事後的な司法的救済によるプライバシー保護ではなく、プライバシー侵害が起きる前にそれを予防する概念で、次の7つの基本原則から構成されています。

  1.  事後的ではなく事前的;救済的ではなく予防的
  2.  初期設定としてのプライバシー
  3.  デザインに組み込まれるプライバシー
  4.  全機能性―ゼロサムではなくポジティブサム
  5.  徹底した安全対策-全ライフサイクルの保護
  6.  可視性と透明性-オープンにしよう
  7.  利用者のプライバシーの尊重-利用者中心にしよう

2010年にイスラエルのエルサレムで開催された、データ保護・プライバシー・コミッショナーの年次総会で、プライバシーbyデザインはプライバシー保護の必要不可欠な構成要素であるという決議がなされました。2012年には、米国の連邦取引委員会がその報告書で、プライバシーbyデザインがオンライン上のプライバシーを保護する推奨する3つの実務のうちの1つであると認識しています。そうした世界的な潮流の中で、EUデータ保護規則は、設計段階からデータ保護を組み込む点で、法令レベルでプライバシーbyデザインを反映したものといえます。

データ保護影響評価

データ保護影響評価の実施要件

EUデータ保護規則は、第35条第1項で次のように定めています。

Article 35  Data protection impact assessment
1. Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks.

1 特に新しい技術を使用する処理で、その性質、範囲、内容および処理の目的を考慮した上、自然人の権利および自由に高い危険を生じさせるおそれがある場合、管理者は、処理の前に個人データの保護に関して予定する処理操作の影響を評価しなければならない。1つの評価によって、同種の高い危険を示す同種の処理操作の集合に対応することができる。

データ処理が個人の権利および自由に高い危険を生じさせるおそれがある場合、管理者は処理を行う前に、処理操作がデータ保護に対して及ぼす影響を評価しなければなりません。データ保護影響評価は、英語でDPIAsと略記されることがあります。
これまで構成国の国内データ保護機関の中には一定の状況でデータ保護影響評価を行うことを推奨するものもありましたが、EU指令の条文上は明記されていませんでした。

どのような場合にデータ保護影響評価を行うべきかについてですが、次の場合には、データ保護影響評価を必ず行うことになっています(第35条第3項)。

3. A data protection impact assessment referred to in paragraph 1 shall in particular be required in the case of:
(a) a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person;
(b) processing on a large scale of special categories of data referred to in Article 9(1), or of personal data relating to criminal convictions and offences referred to in Article 10; or
(c) a systematic monitoring of a publicly accessible area on a large scale.

(a)プロファイリングを含む自動処理に基づく自然人に関する個人の側面を組織的および広範囲に調査し、その決定に基づき、自然人に関する法的効果を生じさせたり、または同様に著しい影響を及ぼしたりする場合
(b)第9条第1項にいう特別な種類のデータまたは第10条にいう有罪判決および犯罪に関する個人データを大規模に処理する場合
(c)公衆にアクセス可能な場所を大規模に組織的に監視する場合

上記(a)(b)(c)の3つの場合に限らず、構成国の監督機関は今後作成し公表するリストの中で、データ保護影響評価を行う必要がある場合を加えることができます(第35条第4項)。監督機関は、データ保護影響評価を行う必要がない場合をリスト化することもできます(第35条第5項)。
データ処理が多国間にわたる場合には、統一的な基準で行う必要があるため、統一する仕組み(第63条)を利用して、リストを標準化することになります(第35条第6項)。

データ保護影響評価で実施する事項

データ保護影響評価には、少なくとも以下の事項を含む必要があります(第35条第7項)。

7. The assessment shall contain at least:
(a) a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller;
(b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes;
(c) an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; and
(d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.

(a)予定される処理操作の系統的な説明および該当する場合には、管理者の追求する正当な利益を含む処理の目的
(b)目的に関連する処理操作の必要性および比例性の評価
(c)第1項のデータ主体の権利および自由に対する危険の評価
(d)危険対応のために想定する措置。これには、個人データの保護を保障し、データ主体およびその他の関係者の権利と正当な利益を考慮に入れた上、本規則の遵守を証明するための保護措置、安全対策および仕組みを含む。

データ保護影響評価の結果が芳しくない場合-データ保護理事会への諮問

データ保護影響評価の結果、危険を軽減する措置を管理者が講じなければ、予定する処理が高い危険を生じさせることが判明した場合には、管理者は、その処理に先立ち監督機関に諮問をしなければなりません(第36条第1項)。

諮問については、次の情報を監督機関に提供しなければなりません(第36条第3項)。

3. When consulting the supervisory authority pursuant to paragraph 1, the controller shall provide the supervisory authority with:
(a) where applicable, the respective responsibilities of the controller, joint controllers and processors involved in the processing, in particular for processing within a group of undertakings;
(b) the purposes and means of the intended processing;
(c) the measures and safeguards provided to protect the rights and freedoms of data subjects pursuant to this Regulation;
(d) where applicable, the contact details of the data protection officer;
(e) the data protection impact assessment provided for in Article 35; and
(f) any other information requested by the supervisory authority.

(a)該当する場合には、処理に関与する管理者、共同管理者および処理者の各自の責任。特に事業グループ内の処理に対する責任
(b)予定する処理の目的および手段
(c)データ主体の権利および自由を保護するために提供する手段および保護措置
(d)任命している場合、データ保護担当者の連絡先詳細
(e)第35条に規定するデータ保護影響評価
(f)監督機関により要請されたその他一切の情報

諮問を受けた処理がEUデータ保護規則に違反するとの意見を監督機関が有する場合(特に管理者の危険の特定または軽減が不十分な場合)、監督機関は、管理者から諮問の要請を受けてから8週間の間に、管理者および処理者に対し書面による助言を行い、第58条の調査権限を用いることができます(第36条第2項)。この期間は、処理の複雑性など事案によっては、さらに6週間まで延長することができます。その場合、諮問の要請を受けてから1か月以内に、監督機関は管理者に対し、延長理由を含む延長の通知をします(第36条第2項)。

*consultationの日本語訳は協議と訳されることが多いのですが、条文の内容からすると、管理者と監督機関が相互に協議をするというよりは、管理者が監督機関に助言を乞うという意味合いがあるようですので、ここでは諮問と訳しています。相談と訳してもいいのではないでしょうか。

義務違反の効果

EUデータ保護規則は、EU指令よりも規則の執行を強化しています。

プライバシーbyデザイン・デフォルトまたはデータ保護影響評価の義務に違反した場合、10,000,000ユーロを上限とする過料が課されることがあります。企業の場合は、これと全世界の前年の総売上高の2%を比較して、いずれか高い方を上限とする過料です。

また、データ主体から監督機関への不服申立てまたは司法的救済を求められる可能性もあります。

これらの詳細については、”EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済”をご覧ください。

まとめ

データ保護byデザイン・デフォルトやデータ保護影響評価に関する義務を遵守することは、その企業の商品を購入したり、サービスを利用したりする消費者にとっては、安心して取引きができることを意味します。オンラインによる取引きが増加している現代では、データ保護の遵守はビジネスにとって、顧客を引き付ける魅力の一つになり得ます。

データ保護のシステムを構築することは最初はコストがかかりますが、長い目で見ればビジネスにとってプラスになるでしょう。義務違反の場合に生じうる過料等の制裁は図り知れず、義務の遵守に向けて周到な準備が望まれるところです。

Ikuko Komachiya
弁護士(第二東京弁護士会所属・弁護士・NY州弁護士) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 法律事務所Legal i プラスを2021年設立 Information Law, Internet Law, Intellectual Property Lawなど、iから始まる法律を中心に業務を行っています。 このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。