EUのデータ保護改革の総仕上げ?ー欧州委員会は電子通信における私生活の尊重と個人データの保護に関する規則を提案

EUのe-Privacy Regulation提案

去る2017年1月10日、欧州委員会は、e-Privacy Regulationの提案を公表した。e-Privacy Regulationの正式名称は、
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications)である。
電子通信における私生活の尊重および個人データの保護並びに2002/58/EC指令の廃止に関する欧州議会および欧州理事会の規則(プライバシーおよび電子通信に関する規則)提案とでも訳せばいいだろうか。
これは、現行のe-Privacy Directive(2002/58/EC)に替わるものとなる。規則の形を採っているので、EU一般データ保護規則(EUGDPR)と同様に、加盟国に直接適用される。

e-Privacy Regulation提案は、適用範囲をすべての電子通信プロバイダーに拡張し、現在の準則を最新のものとすることを目指している。また、通信データを処理する新しい可能性を創り出し、デジタル単一市場における信頼と安全を強化することも目指している。提案は、電子通信の準則をEU一般データ保護規則の新基準にそろえている。

続きを読む →

EUデータ保護規則(GDPR)-統一がなされない分野

EUデータ保護規則(GDPR)は、①構成国に直接適用されること、②監督機関間の協力や欧州データ保護評議会の意見等の統一する仕組みがあることによって、EU全域で解釈や執行を統一し、構成国法による相違が生じないようにしています。
しかし、こうした統一がなされない分野が残っています。

統一がなされない分野について一覧表を作成してみました。以下は構成国の法律によって異なる対応がなされる可能性が残っています。

EU法の適用範囲外の活動(例:各構成国の安全保障)における個人データ処理 §2Ⅱ(a)
EU条約の共通外交安全保障政策の適用範囲内の活動を行う際の構成国による個人データ処理 §2Ⅱ(b)
純粋に個人的または家庭内の活動における自然人による個人データの処理 §2Ⅱ©
公共の安全への脅威に対する保護およびその防止を含む犯罪の防止 、探知もしくは訴追または刑罰の執行のための権限のある機関による個人データの処理 §2Ⅱ(d)
データ主体の権利の制限 §23
個人データ保護の権利と表現および情報の自由(報道目的および学術的、美術的または文学的表現目的の処理を含む)との調和 §85
国民識別番号およびその他一般的に適用する識別子 §87
職場における個人データの処理 §88
職業上の守秘義務に関する構成国の法律 §90
電子通信プライバシー指令に基づく構成国の通信傍受法 e-Privacy Directive

 

EUデータ保護規則(GDPR)ー監督機関とデータ保護評議会

EU指令の下では、国内データ保護機関(DPO)が指令の違反について調査し判断する権限がありました。この枠組みが変わるわけではありませんが、EUデータ保護規則(GDPR)の下で4つの大きな変更があります。

①DPO(国内データ保護機関)に代わりSA(監督機関)が設置されます。
②複数の国で事業を行い、国境を越える個人データの処理を行う企業については、主たる事業所がある構成国の監督機関が「主たる監督機関」となり、”One Stop Shop”によって個人データの問題に対応します。
③EU構成国間での規則の適用について相違をなくす工夫として、統一する仕組みconsistency mechanism)が導入されました。
④第29条作業部会がデータ保護評議会(EDPB)に生まれ変わります。

監督機関とデータ保護評議会については、ざっと確認するだけで足りると思います。欧州で事業を展開する日本企業にとって留意しておくべき点は、主たる監督機関がどこになるのか、という点です。
続きを読む →

【リスト】EUデータ保護規則本サイトページ一覧

EUデータ保護規則に関するページがたくさんになってきて、どの記事がどこにあるのかが分かりにくくなってしまったので、便宜のために一覧表を作りました。どうぞご利用ください。記事をUPするごとに更新していきます。

一般的な用語や原則に関する説明

Glossary―EUデータ保護規則(GDPR)用語集
【便利帳】EUデータ保護規則とEUデータ保護指令の条文に関するサイトをまとめてみました:日本語仮訳情報も
どのような場合に日本企業に適用されるのか
用語の定義:本人の同意がより厳しくなっています!
個人データの処理に関する7つの原則

EU域外への個人データの移転

続きを読む →

EUデータ保護規則(GDPR)-データ保護担当者の指名・地位・役割

EUデータ保護規則(GDPR)は、一定の場合に管理者および処理者にデータ保護担当者(DPO:Data Protection Officer)の指名を義務付けました。データ保護担当者は専門知識を持っている者である必要があり、独立して行動し、職務の遂行にあたり管理者および処理者からの指示は受けません。データ保護担当者は、管理者および処理者にデータ保護規則の遵守に関して助言をしたり、遵守の有無を監視する役割を担っています。

データ保護担当者の指名

データ保護担当者の指名

EUデータ保護規則第37条第1項でデータ保護担当者の指名について定めています。

Article 37 Designation of the data protection officer
1. The controller and the processor shall designate a data protection officer in any case where:
(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;
(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or
(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10.

管理者および処理者は、次の3つのいずれかに該当する場合には、データ保護担当者を指名しなければなりません。
(a) 司法上の権限に基づき行動する裁判所を除く公的機関または団体によって処理が行われる場合
(b) 管理者または処理者の中心的な行為が、その性質、範囲、目的に照らし、大規模にデータ主体の定期的および系統的監視を必要とする処理操作である場合
(c) 管理者または処理者の中心的な行為が、第9条による特別な種類のデータ並びに第10条にいう有罪判決及び犯罪に関連する個人データの大規模な処理を構成する場合

続きを読む →

EUデータ保護規則(GDPR)ー処理者の選定、処理者との契約、処理者の義務

EUデータ保護規則(GDPR)は、管理者だけではなく、管理者が個人データの処理を委託する処理者にも直接義務を負わせています。EU指令と異なる大きな変更点です。

処理者の義務の新設

EU指令では、個人データの保護に関する義務と責任は管理者に課せられていました。個人データの違法な処理が行われた場合、法的な責任を負うのは管理者であり、処理者は、管理者との間の契約に定める義務に違反したとしても、管理者に対して責任を負うだけでした。
もっともEU指令が何も手当していなかったわけではありません。EU指令では、管理者が処理者と結ぶ契約の中に、処理者が管理者の指示に従うこと、技術的・組織的保護措置を講じることを書くことを求めていました(第17条第3項)。つまり、管理者と処理者との間の契約を通じて、処理者による個人データの処理を適正化する枠組みが取られていたわけです。

しかし、EUデータ保護規則は、この契約を通じた処理の適正化に加えて、処理者にも直接一定の規則の遵守義務を負わせています。この義務に違反すれば、監督機関は権限を発動することができ、処理者は責任を追及されることになります。
個人データの処理を管理者から委託されている処理者にとっては、大きな変更となりますので注意が必要です。
また、管理者の側でも、管理者と処理者の間の契約に盛り込むべき事項が詳細になったことから、現在結んでいる契約の見直しが必要となります。 続きを読む →

BBCの報道:WhatsAppとFacebookの利用者情報の共有が問題視されているという記事

10月28日という少し古い記事ですが、BBCでFacebookの傘下に入ったWhatsAppのFacebookとの利用者情報の共有に関する記事”WhatsApp warned over Facebook data share deal”が掲載されました。利用者情報の共有は個人データの処理に該当するため、第29条作業部会から、欧州のプライバシー法制の違反していないことが明らかになるまで、利用者情報の共有を止めるよう求められているといった内容です。

WhatsAppの利用者情報の共有については、ITMediaの”WhatsApp、ユーザーの電話番号などのアカウント情報をFacebookと共有へ”の記事が詳しいです。

 

EUデータ保護規則(GDPR)-データ侵害の監督機関への通知とデータ主体への連絡(Data Breach Notification & Communication)

不正アクセスやデータの漏えいなどのデータ侵害があった場合、管理者は遅滞なく監督機関に通知する義務があります。データ侵害が個人の権利や自由に高い危険を及ぼすおそれがある場合には、管理者は遅滞なくデータ主体にデータ侵害を連絡する義務があります。

個人データ侵害の通知・連絡義務

EU指令では、個人データ侵害を監督機関に通知したり、データ主体に連絡したりする一般的な報告義務は管理者に課せられていませんでした。もっとも、電子情報プライバシー指令では、管理者は個人データ侵害について報告義務を負っていましたし、構成国によっては、法令で管理者に個人データ侵害の報告義務を課していた国もあります。
EUデータ保護規則は、分野や構成国によってまちまちであった報告義務を一般的な義務として統一したわけです。

こうした報告義務を管理者に課すことによって、監督機関は迅速に個人データ侵害についてその権限を行使することができます。一方、データ主体も権利や自由への影響を軽減する何らかの手段を講じることができます。たとえばクレジットカードの情報が漏えいしたならば、クレジットカードの使用停止をカード会社に連絡したり、パスワード情報に不正アクセスがあった場合にはパスワードの変更をするなどです。もっとも、管理者の側から見れば義務の負担が増えたことになります。

続きを読む →

EUデータ保護規則(GDPR)ー匿名化と仮名化(Anonymisation & Pseudonymisation

EUデータ保護規則(GDPR)は、個規則は、匿名化されたデータには適用されないと記しています。また、仮名化されたデータは、収集時の目的とは別の目的による処理が可能であり、データ保護byデザインの義務に例示されているように技術的・組織的措置の中の1つの手段として位置付けられています。

匿名化

匿名化とは

匿名化とは、EUデータ保護規則第4条の定義規定には定められていませんが、前文の第26項で、次のように書かれています。

The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

「匿名の情報、すなわち特定のもしくは特定可能な自然人に関連しない情報、またはデータ主体が特定されないもしくは特定される可能性のない方法で匿名化された個人データ」には、EUデータ保護規則は適用されないと規定されています。 続きを読む →

EUデータ保護規則(GDPR)ーデータ保護byデザイン・デフォルト&データ保護影響評価

技術的・組織的措置の一つとして、データ保護byデザイン、byデフォルトが、EUデータ保護規則(GDPR)の中に明記されました。同じく技術的・組織的措置の一つとして、データ保護に多大な影響を及ぼす可能性がある場合に、事前に行うべきデータ保護影響評価(DPIAs)も定められています。

データ保護byデザイン・byデフォルト

データ保護byデザイン・デフォルトの内容

EUデータ保護規則は次のように定めています(第25条)。

1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.

管理者は、最新技術、実施費用、処理の性質、範囲、内容および目的ならびに処理のもたらす自然人の権利および自由に対する危険の様々な可能性および重大性を考慮した上で、仮名化などの適切な技術的・組織的措置を講じなければならない。同措置は、データ最小化のようなデータ保護の原則を効果的な方法で実施し、本規則の要件を満たしデータ主体の権利を保護するために必要な保護措置を処理と統合するように設計されたものでなければならない。

2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.

管理者は、初期設定によって、特定の各処理目的に必要な個人データだけが処理されることを確保する適切な技術的および組織的措置を講じなければならない。当該義務は、収集される個人データの量、処理の程度、保管期間およびアクセス可能性に適用される。特に、当該措置は、初期設定により、個人の介入がなければ、不特定多数の自然人が個人データにアクセスできないことを確保しなければならない。

続きを読む →