EUデータ保護規則(GDPR)ーデータ保護byデザイン・デフォルト&データ保護影響評価

技術的・組織的措置の一つとして、データ保護byデザイン、byデフォルトが、EUデータ保護規則(GDPR)の中に明記されました。同じく技術的・組織的措置の一つとして、データ保護に多大な影響を及ぼす可能性がある場合に、事前に行うべきデータ保護影響評価(DPIAs)も定められています。

データ保護byデザイン・byデフォルト

データ保護byデザイン・デフォルトの内容

EUデータ保護規則は次のように定めています(第25条)。

1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.

管理者は、最新技術、実施費用、処理の性質、範囲、内容および目的ならびに処理のもたらす自然人の権利および自由に対する危険の様々な可能性および重大性を考慮した上で、仮名化などの適切な技術的・組織的措置を講じなければならない。同措置は、データ最小化のようなデータ保護の原則を効果的な方法で実施し、本規則の要件を満たしデータ主体の権利を保護するために必要な保護措置を処理と統合するように設計されたものでなければならない。

2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.

管理者は、初期設定によって、特定の各処理目的に必要な個人データだけが処理されることを確保する適切な技術的および組織的措置を講じなければならない。当該義務は、収集される個人データの量、処理の程度、保管期間およびアクセス可能性に適用される。特に、当該措置は、初期設定により、個人の介入がなければ、不特定多数の自然人が個人データにアクセスできないことを確保しなければならない。

続きを読む →

EUデータ保護規則(GDPR)ー管理者の責任と義務:ざっと見てみました

これまで、EUデータ保護規則(GDPR)の保障するデータ主体の権利について8回に分けて見てきましたが、データ主体の権利は、管理者の側からみればその権利に関する義務が発生している関係になります。また、様々な事項について、管理者が情報を通知する義務を負っていることは、別の記事”EUデータ保護規則(GDPR)ー管理者の義務:情報の通知(Information Notices)”で確認したとおりです。
本記事は、これらの義務を除くその他の管理者の義務と責任について概観します。

管理者の責任

個人データの処理に関する原則を定めたEUデータ保護規則第5条は、第2項で管理者の責任を規定しています。 続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利⑨:データ主体の権利の範囲は制限されることがあります(Restrictions)

本記事がデータ主体の権利については最後の記事となります。データ主体の権利の範囲の制限についてです。

制限の内容

データ主体の権利の範囲は、EU法または構成国法によって制限することができます。EUデータ保護規則第23条第1項は、次のように定めています。

データ管理者または処理者が従うEU法または構成国法は、法制上の措置により、第5条のみならず第12条ないし第20条及び第34条に定められた義務および権利の範囲を制限することができる。ただし、その諸規定が第12条ないし第20条に定められた義務および権利に合致し、当該制限が基本的権利および自由の本質を尊重し、民主主義社会において、以下の事項を保護するために必要かつ比例的な措置である場合に限られる。

続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利⑧:自動処理による決定の対象とならない権利/プロファイリングが明記されました

本記事では、EUデータ保護規則(GDPR)のデータ主体の権利のうち、プロファイリングを含む自動処理による個人に関する決定の対象とならない権利について簡単にまとめてみました。

自動処理による個人に関する決定の対象とならない権利の内容

自動処理による個人に関する決定の対象とならない権利は、EUデータ保護規則第22条に次のように定められています。

Article 22
Automated individual decision-making, including profiling
1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.

データ主体は、同人に法的効果を生じさせるかまたは同様の重要な影響を及ぼす、プロファイリングを含む自動処理にのみ基づく決定の対象とならない権利を有しています。
プロファイリングは、EUデータ保護規則上に定義規定があり、「自然人について個人のある側面を評価するために、特に自然人の仕事の実績、経済状況、健康、個人の嗜好、関心、信頼、行動、所在または移動に関する側面を分析または予測するために、個人データの利用から成る個人データのあらゆる形態の自働処理」をいいます(第4条第4号)。

続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利⑦:処理に対して異議を述べる権利(Right to object)

この記事では、EUデータ保護規則(GDPR)のデータ主体の権利のうち、処理に対して異議を述べる権利について見ていきます。
この権利は、EU指令にもありました(第14条)が、具体的な規定は構成国法に任せられていました。また、構成国法に別段の定めがある場合には異議を述べる権利は認められないというような条文体裁になっていました。
EUデータ保護規則は、直接構成国に適用されるため、統一的な取り扱いがなされることになります。また、EU指令よりも詳細な規定になっています。
大きな変更があるわけではありません。ただし、EUデータ保護規則の方が、データ主体から見て権利行使が容易になっていると思われる変更があったり、EU指令にはなかった規定もあります。すでに処理に対して異議を述べる権利に対応している企業であっても、条文の確認はしておく必要があります。

続きを読む →

EUデータ保護規則(GDPR)―データ主体の権利⑥:データ携行の権利(Data Portability)

今回は、EUデータ保護規則(GDPR)のデータ主体の権利のうち、規則で新しく保障された「データ携行の権利」を取り上げます。英文では、Right to data portabilityと書かれており、データ・ポータビリティの権利と訳している文献が大半のようです。アメリカの医療保険に関するプライバシー・ルールであるHIPPA(Health Insurance Portability and Accountability Act of 1996)の和訳では、Portabilityは携行性と訳されています。できる限り日本語に移し替えるならば、携行という用語になるでしょう。

データ携行(データ・ポータビリティ)の権利の内容

データ携行の権利は、データ主体の自己に関する個人データのコントロールをより強化するために設けられました(前文68)。
EUデータ保護規則は、第20条で次のように定めています。

Article 20 Right to data portability
1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:
(a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and
(b) the processing is carried out by automated means.
2.  In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.、

続きを読む →

【便利帳】EUデータ保護規則とEUデータ保護指令の条文に関するサイトをまとめてみました:日本語仮訳情報も

EUデータ保護規則(GDPR)は、2018年5月25日に施行となるので、それまではEUデータ保護指令が適用されます。あちらこちらのサイトを見て、二つ法令を確認するのは大変なので、EUデータ保護規則などの法制枠組みとEUデータ保護指令などの現在の法制枠組みとに大まかに分けて、サイト情報をまとめてみました。

日本語でも法律用語を読むのは大変、まして英語で読むのはくたびれるという方に、参考になる日本語訳が掲載されているサイトも紹介します。
すべての法令を網羅しているわけではないので、逐次、整理して更新する予定です。

EUデータ保護規則などの条文

1-1.EUデータ保護規則(GDPR)条文
正確な理解のためには、EUの公式サイトの法令ページで原文を確認するのが一番です。規則の発効は2016年5月24日で、施行は2018年5月25日です。規則という法形式を採っているので、施行とともにEUの各構成国に直接適用されます。
上のリンクは、EUの構成国全部の言語で条文が掲載されているページです。英語だけでよいという方は以下のリンクでご確認ください。
英語のHTMLはこちら
英語のPDFはこちら

続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利⑤:処理を制限する権利

今回は、EUデータ保護規則(GDPR)のデータ主体の権利のうち、処理を制限する権利(第18条)について見ていきます。

処理を制限する権利の内容

EUデータ保護規則は、第18条で次のように定めています。欧州委員会のサイトに規則の英文が全文が掲載されています。

Article 18  Right to restriction of processing
1. The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies:
(a) the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data;
(b) the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;
(c) the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;
(d) the data subject has objected to processing pursuant to Article 21(1) pending the verification whether the legitimate grounds of the controller override those of the data subject.

続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利③:訂正権(Right to rectification)

今回は、EUデータ保護規則(GDPR)のデータ主体の権利のうち、訂正権について確認します。

EU指令の下でも、データ主体のアクセス権の規定の中で、個人データの訂正権が定められていました(第12条(b)(c))。EUデータ保護規則は、第16条で独立させて訂正権を規定しています。
訂正権は、修正権とも訳されているようですが、このサイトでは、わかりやすさの観点から、訂正という用語を使用しています。

訂正権の内容

条文は次のようになっています。EUデータ保護規則の英文は次のようになっています。全文は欧州委員会のサイトに掲載されています。

Article 16  Right to rectification
The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Taking into account the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement.

つまり、データ主体は、自身に関する個人データが不正確な場合には、それを訂正することを管理者に請求する権利を有しています。処理目的を考慮に入れて、データ主体は、補足的な説明の提供などにより、不完全な個人データを完全なものにする権利を有しています。
続きを読む →

EUデータ保護規則(GDPR)ーデータ主体の権利②:アクセス権

今回の記事では、EUデータ保護規則(GDPR)の下で保障されるデータ主体の権利のうち、データ主体によるアクセス権(第15条)を見ていきます。

EU指令でも同様の規定がありました(§12)。EUデータ保護規則では、データ主体が取得することのできる情報が増え、規定が整理されています。

アクセス権の内容

まず、データ主体は、管理者から、データ主体自身に関する個人データが処理されているか否かの確認を得ることができます(第15条第1項)。
自身の個人データが処理されている場合には、データ主体は、さらに処理されている個人データにアクセスすることができます(第15条第1項)。具体的には、管理者がデータのコピーを提供します(第15条第3項)。ただし、このコピーの取得によって、他者の権利や基本的自由に不利な影響を及ぼしてはなりません(第15条第4項)。
データ主体が電子的手段によって請求をした場合には、データ主体が特段の請求をしない限り、通常利用される電子的形式で提供を受けることになります(第15条第3項)。
続きを読む →