技術的・組織的措置の一つとして、データ保護byデザイン、byデフォルトが、EUデータ保護規則(GDPR)の中に明記されました。同じく技術的・組織的措置の一つとして、データ保護に多大な影響を及ぼす可能性がある場合に、事前に行うべきデータ保護影響評価(DPIAs)も定められています。
データ保護byデザイン・byデフォルト
データ保護byデザイン・デフォルトの内容
EUデータ保護規則は次のように定めています(第25条)。
1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.
管理者は、最新技術、実施費用、処理の性質、範囲、内容および目的ならびに処理のもたらす自然人の権利および自由に対する危険の様々な可能性および重大性を考慮した上で、仮名化などの適切な技術的・組織的措置を講じなければならない。同措置は、データ最小化のようなデータ保護の原則を効果的な方法で実施し、本規則の要件を満たしデータ主体の権利を保護するために必要な保護措置を処理と統合するように設計されたものでなければならない。
2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.
管理者は、初期設定によって、特定の各処理目的に必要な個人データだけが処理されることを確保する適切な技術的および組織的措置を講じなければならない。当該義務は、収集される個人データの量、処理の程度、保管期間およびアクセス可能性に適用される。特に、当該措置は、初期設定により、個人の介入がなければ、不特定多数の自然人が個人データにアクセスできないことを確保しなければならない。