EUデータ保護規則(GDPR)-データ侵害の監督機関への通知とデータ主体への連絡(Data Breach Notification & Communication)

不正アクセスやデータの漏えいなどのデータ侵害があった場合、管理者は遅滞なく監督機関に通知する義務があります。データ侵害が個人の権利や自由に高い危険を及ぼすおそれがある場合には、管理者は遅滞なくデータ主体にデータ侵害を連絡する義務があります。

個人データ侵害の通知・連絡義務

EU指令では、個人データ侵害を監督機関に通知したり、データ主体に連絡したりする一般的な報告義務は管理者に課せられていませんでした。もっとも、電子情報プライバシー指令では、管理者は個人データ侵害について報告義務を負っていましたし、構成国によっては、法令で管理者に個人データ侵害の報告義務を課していた国もあります。
EUデータ保護規則は、分野や構成国によってまちまちであった報告義務を一般的な義務として統一したわけです。

こうした報告義務を管理者に課すことによって、監督機関は迅速に個人データ侵害についてその権限を行使することができます。一方、データ主体も権利や自由への影響を軽減する何らかの手段を講じることができます。たとえばクレジットカードの情報が漏えいしたならば、クレジットカードの使用停止をカード会社に連絡したり、パスワード情報に不正アクセスがあった場合にはパスワードの変更をするなどです。もっとも、管理者の側から見れば義務の負担が増えたことになります。

続きを読む →

EUデータ保護規則(GDPR)ー匿名化と仮名化(Anonymisation & Pseudonymisation

EUデータ保護規則(GDPR)は、個規則は、匿名化されたデータには適用されないと記しています。また、仮名化されたデータは、収集時の目的とは別の目的による処理が可能であり、データ保護byデザインの義務に例示されているように技術的・組織的措置の中の1つの手段として位置付けられています。

匿名化

匿名化とは

匿名化とは、EUデータ保護規則第4条の定義規定には定められていませんが、前文の第26項で、次のように書かれています。

The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

「匿名の情報、すなわち特定のもしくは特定可能な自然人に関連しない情報、またはデータ主体が特定されないもしくは特定される可能性のない方法で匿名化された個人データ」には、EUデータ保護規則は適用されないと規定されています。 続きを読む →

EUデータ保護規則(GDPR)ー管理者の責任と義務:ざっと見てみました

これまで、EUデータ保護規則(GDPR)の保障するデータ主体の権利について8回に分けて見てきましたが、データ主体の権利は、管理者の側からみればその権利に関する義務が発生している関係になります。また、様々な事項について、管理者が情報を通知する義務を負っていることは、別の記事”EUデータ保護規則(GDPR)ー管理者の義務:情報の通知(Information Notices)”で確認したとおりです。
本記事は、これらの義務を除くその他の管理者の義務と責任について概観します。

管理者の責任

個人データの処理に関する原則を定めたEUデータ保護規則第5条は、第2項で管理者の責任を規定しています。 続きを読む →

EUデータ保護規則(GDPR)ー管理者の義務:情報の通知(Information Notices)

EUデータ保護規則に基づく管理者の義務には様々なものがあります。これらの多くは、データ主体の権利と表裏の関係になっています。情報の通知も同様です。

情報の通知義務

管理者が負う情報の通知義務は、EUデータ保護規則第3章「データ主体の権利」の中の第12条、第13条、第14条に定められています。
EU指令においても、同様の規定がありました(第10条及び第11条)。しかし、データ主体に提供する情報として列挙されているものは多くはなく、しかも構成国が法律で定めることになっていたため、構成国によってデータ主体に通知する情報はばらばらだった感があります。複数の国でビジネスを展開する企業にとっては、各構成国の法制を確認しなければなりませんでした。

これに対して、EUデータ保護規則は、同規則が施行とともに各構成国で適用されるという性質から、EU全体での統一がなされることになり、企業側の負担が減ることになります。しかし、一方で、EUデータ保護規則はデータ主体に通知すべき情報を詳細に掲げているため、この点では企業側の負担は増えるでしょう。

通知の方法

EUデータ保護規則で新たに設けられた条項です。通知は、「簡潔で、透明性ある、分かりやすく簡単に利用できる形式」でなされなければなりません。子供に向けられた情報については、特に「明確で平素な言葉」を使用することも求められています(第12条)。
続きを読む →