Remove ads
欧州連合の個人データ保護法 ウィキペディアから
EU一般データ保護規則(EUいっぱんデータほごきそく、英: General Data Protection Regulation; GDPR)(規則 2016/679)は、欧州議会・欧州理事会および欧州委員会が欧州連合 (EU) 内のすべての個人のためにデータ保護を強化し統合することを意図している規則である。欧州連合域外への個人データの移転も対象とする。
この記事は特に記述がない限り、欧州連合の法令について解説しています。また最新の法令改正を反映していない場合があります。 |
EU一般データ保護規則の目的は、個人データの処理にかかる個人の権利と自由を保護すること、および欧州連合域内の規則を統合することによって、国際的なビジネスのための規制環境を簡潔にすることである[2]。EU一般データ保護規則の発効によって、1995年以来のデータ保護指令(正式には Directive 95/46/EC)[3] は置き換えられた。この規則は2016年4月27日に採択され、2年間の移行期間の後、2018年5月25日から適用された[1]。
1995年のデータ保護指令が欧州連合各国のデータ保護規則の断片化を招いたため(備考 (Recital) 9)、同指令とは異なり、この規則に関して欧州連合各国政府は特別に法規制を採択する必要がない[4]。ただし、EU各国が特定のデータ処理について、より限定的な国内法を制定することを妨げるものではない(備考 (Recital) 10)。
EU一般データ保護規則法は、主要な要求として以下の各項目を含んでいる[5]。
本規則は、データ管理者(EU居住者からデータを収集する組織)または処理者(データ管理者の代理としてデータを処理する組織)またはデータ主体(個人)がEU域内に拠点をおく場合に適用される。さらに本規則は、EU居住者の個人データを収集または処理する場合は、EU域外に拠点をおく組織にも適用される。欧州委員会によれば、「個人データとは、個人の私生活であれ、職業であれ、あるいは公的生活であれ、個人に関係するあらゆる情報のことである。氏名、自宅住所、写真、電子メールアドレス、銀行口座の詳細情報、ソーシャル・ネットワーク・ウェブサイトへの書き込み、医療情報、コンピュータのIPアドレスまで、あらゆるものを含む」[6]。
本規則は国家安全保障の活動、または、法の執行のための個人データ処理には適用されない。しかし、データ保護規則の改革パッケージは、警察および刑事司法分野に対しては、個別のデータ保護指令を含んでいる。この個別のデータ保護指令は、国内、欧州および国際的な個人データの交換に対する包括的な規則を提供している。
組織の規模に関しては、零細・中小企業等、規模を問わず本規則の対象となる。ただし個人データ処理に関する様々な義務のうち、処理記録を保管する義務についてのみ、被雇用者250名未満の組織については免除される(第30条5項)。
なおこの処理記録の保管 (records of processing activities) につき、処理過程の処理ログ等を全件記録する必要があるという理解はGDPR 第30条英語版の「records」に起因する誤読であり、フランス語版では「journal(ログ)」ではなく「registre(帳簿) des activités de traitement」、つまり台帳として各種処理活動を一覧化することである。
本規則の対象となるデータ処理は大別して二種類、商品またはサービスの提供に関する処理(第4条2項(a)、備考 (Recital) 23)、データ主体の行動のモニタリングに関する処理(第4条2項(b)、備考 (Recital) 24)がある。
まず、商品またはサービスの提供に関する処理について、本規則の対象となる個人データ処理とは、支払いの発生の有無にかかわらず、EU域内の自然人に対する商品またはサービスの提供に関する処理活動である。単に、EU域内のデータ管理者、データ処理者、または仲介となるウェブサイトにアクセスできるだけの場合、または、メールアドレス、その他連絡先詳細情報にアクセスできるだけの場合、または、データ管理者が第三国に存在する場合で、その第三国で一般的に使用される言語が使用されている場合などについては、個人データ処理の意図があることを十分に確認できない。本規則の対象となる個人データ処理であることを明確にするには、EU域内の国で一般的に使用される言語または通貨を使用していること(商品やサービスの注文がその他の言語で行われる可能性がある場合も含む)、または、EU域内の顧客またはユーザに言及していることなどの要素が採用されうる(備考 (Recital) 23)。
次に、データ主体の行動のモニタリングに関する処理について、本規則の対象となる個人データ処理とは、その行動がEU域内で発生する限りにおいてである。データ処理活動がデータ主体の行動のモニタリングとみなされるためには、個人をインターネット上で追跡した後、その個人データをデータ主体についての意思決定をするため、または、個人の嗜好、行動、態度の分析や予測をするために、その個人データに対してプロファイリングを行う処理技術を利用することが含まれる(備考 (Recital) 24)。
本規則の対象にEU域内の被雇用者の個人データ処理が含まれている理由は(備考 (Recital) 155、第88条)、後者の行動モニタリングに関する処理についての定めがあるためである。つまり、前者のEU域内の自然人に対する商品またはサービスの提供を行っていない組織であっても、EU域内に従業員が存在し、その人事評価等を第三国で行っている場合には、人事管理等の個人データ処理について本規則の適用を受ける[7]。
単一の規則群は全EU加盟国に適用される。各加盟国は、申し立てに対する調査、違反者の処罰等を行う独立した監督機関を設置する。EU加盟各国の同監督機関は、他国の監督機関と協力することで、相互支援および共同施行を行う。事業者がEU域内に複数の拠点を持つ場合、"主要拠点"(つまり、主要な処理業務が行われる拠点)の場所にもとづいて、一つの監督機関を"主要監督局"とする。主要監督局はワンストップショップとして活動し、事業者のEU域内にわたる全ての処理業務を監督する(第46-55条)。
欧州データ保護会議 (European Data Protection Board、略称: EDPB) が各加盟国の独立した監督機関の調整を行い、欧州連合全体において一貫したデータ保護規則の適用を維持、推進する。この欧州データ保護会議 (EDPB) の設置により、旧データ保護指令の第29条に規定されている作業部会が廃止となる。[8]
雇用の文脈で処理されるデータ、および、国家安全保障のために処理されるデータについては例外があるが、依然として各国の規制の対象となる(第2条(2)(a)、第82条)。
通知は従来通り必要で、その範囲が拡大されている。通知には、個人データの保持期間、および、データ管理者とデータ保護最高責任者の連絡先情報を含まなければならない。
個人に関する自動化された意思決定は、プロファイリング(第22条)を含め、係争の対象となりうる。市民は今回の規則によって、純粋なアルゴリズムによる意思決定に対しても疑義を唱え、争う権利を持つようになる。
GDPRの遵守を示せるようにするため、データ管理者は設計段階および初期状態で、データ保護の原則を満たす施策を実装しなければならない。設計および初期状態によるプライバシーの条項(第25条)は、製品およびサービスの業務プロセス開発に、設計段階でデータ保護施策を組み込むよう要求している。そのような施策には、データ管理者が個人データを可能な限り速やかに仮名化する施策が含まれている。(GDPR 備考 (Recital) 78)
データ管理者の責任と義務は、データ処理業者がデータ管理者の代理でデータ処理を行う場合であっても、実効性のある施策を実装し、データ処理業務が規則を遵守していることを示せるようにすることである。(GDPR 備考 (Recital) 74)
データ主体の権利および自由に対して、特定のリスクが発生する場合は、データ保護影響評価(第35条)を実施しなければならない。リスク評価およびリスク低減を実施する必要があり、高いリスクについてはデータ保護当局 (DPA) の事前承認が必要となる。データ保護最高責任者(第37~39条)が、組織内部の規則遵守を確保する。
データ保護最高責任者は以下の場合に指名しなければならない[9]。
データの収集および利用目的(第7条、第4条の規定)について、有効な同意が明示的に行われなければならない。児童に対する同意は児童の親、または、保護者が与え、確認しなければならない。データ管理者は"同意"(オプトイン)を証明できる必要があり、その同意は取り消されうる[10]。
裁判所、または、独立した司法当局が司法能力にもとづいて活動する場合を除き、公的機関がデータ処理を行う場合、または、民間部門において、データ主体の規則に基づきかつ体系的な監視を必要とするデータ処理業務を主要な活動とするデータ管理者が、データ処理を行う場合は、データ保護法とその実施について専門的な知識をもつ人物が、データ管理者または処理者が組織内で本規則を遵守していることを監視するよう支援しなければならない。データ保護最高責任者 (DPO) はコンプライアンス最高責任者と似ているが同じではない。両者とも、個人やセンシティブなデータの保有および処理にまつわる、ITによる処理、データ・セキュリティ(サイバー攻撃への対処を含む)、および、事業継続性に関する重大な問題に熟達していることが期待されている。しかしDPOのスキルセットはデータ保護法に関する法的遵守の理解を超える範囲が要求されている。大規模な組織内でのDPOの任命は役員にとっても、関係する個人にとっても困難な課題となる。組織および企業がDPOを任命する際、その対象範囲や性質に応じて、対処すべき企業統治および人的要因が無数に存在するためだ。加えて、DPOに任命された人物は、自身を支援するチームを作る必要があり、それらチームメンバーが継続的に能力開発する責任を負う。その理由は、彼らを雇用する組織から独立し、事実上"小型監督機関"となる必要があるためだ。
データ保護最高責任者の職務と役割のより詳細な内容については、2017年4月5日改訂の指針に記述されている[11]。同指針によれば、全ての組織が行っている、被雇用者への支払いや標準的なIT支援提供等の活動は、組織にとって必要不可欠だが、通常、主要な活動ではなく付随的な活動とみなされる(同指針2.1.2)。つまり、DPO任命の要件とならないとされている。
ただしEU域内の一部の国や地域のプライバシー法制では、GDPRと独立にDPO任命の要件を定めている場合がある。例えばドイツは2017年7月5日、EU加盟国で初めてGDPRに準拠して国内法「ドイツ連邦データ保護法」を改正したが[12]、同法第4f節は私企業でDPO任命が免除される条件を、個人データを自動化された手段で継続して処理する被雇用者が最大9名までの場合としている[13]。つまり10名以上の被雇用者を有するドイツ国内の私企業は、自動処理する個人データの件数や内容、目的にかかわらずDPOの任命が必須となっている。
GDPRは仮名化について言及している。仮名化とは、個人データを処理した結果のデータが、追加情報の利用なしに特定のデータ主体と結びつけることができないようにする処理である。仮名化の一例として暗号化がある。元のデータが分からないように、適切な復号鍵がなければデータ処理を元に戻すことができないようにする処理である。GDPRはこの追加情報(復号鍵など)が、仮名化データと別に保管されることを求めている(備考 (Recital) 29)。仮名化が推奨されているのは、関係するデータ主体に与えるリスクを低減し、データ管理者およびデータ処理者がデータ保護の義務に適合するのを支援するためである。(備考 (Recital) 28)
個人データが、組織内の適切な方針および施策により、データ管理者によって仮名化された場合であっても、匿名化データ(そもそも自然人と無関係なデータ、および、データ主体を追加情報によっても特定できないデータ)とは異なり、GDPRの管理および罰則の対象となる(備考 (Recital) 26)。それらの方針および施策は設計段階のデータ保護の原則、および、初期状態のデータ保護の原則に適合し、この目的を満たすと見なせる必要がある。施策の例として、可能な限り速やかにデータを仮名化すること(備考 (Recital) 78)、データをローカルネットワーク内で暗号化すること、暗号化されたデータと別に復号鍵を保管することが含まれる[14]。
統計または調査目的を含む、匿名とみなされる情報の処理について本規則は関知しない。
GDPRの下、データ管理者は過度な遅滞なく監督機関 (SA) に通知する法的義務を負う。データ侵害の報告はいかなる僅少基準も適用されず、データ侵害から72時間以内に監督機関に報告しなければならない(第33条)。個人は不利益な影響が確認された場合通知を受けなければならない(第34条)。加えて、データ処理者は個人データ侵害の認識後、過度な遅滞なくデータ管理者に通知しばければならない。
ただし、データ処理者、または、データ管理者は、匿名化データが侵害された場合はデータ主体に通知しなくてもよい。特に、データ管理者が暗号化などの仮名化技術を実装するとともに、適切な技術的かつ組織的な保護施策を、データ侵害の影響を受ける個人データに対して行っている場合、データ主体への通知は要求されない(第34条)。
以下の処罰が課されうる:
2014年3月欧州議会により採択されたGDPR改正版によって、忘れられる権利は、より限定的な消去権によって置き換えられた[15][16] 第17条はデータ主体が自分自身に関する個人データの消去を要求する権利を定めている。消去要求には、第6条1項(合法性)違反を含め多くの根拠がある。同項は、データ管理者の合法的な利害よりも、個人データの保護を要求するデータ主体の利害または基本的な権利および自由が優先される場合を含んでいる。(Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González も参照のこと)
個人はデータ管理者に妨げられることなく、自分自身の個人データをある電子処理システムから別のシステムに移動することができる。加えて、そのデータはデータ管理者によって構造化され、一般に用いられる オープンスタンダード な電子形式で提供されなければならない。データ可搬性の権利はGDPRの第20条で定められている[17]。法律の専門家はこの施策の最終版について、「第18条に規定されている二つのデータ管理者間のデータ可搬性の範囲を超える」べく新たに作成された「新しい権利」とみなしている[18]。(最終版では条番号が第20条に変更されていることに注意。引用の条番号は当時のもの)
設計段階および初期状態におけるプライバシー(第25条)は製品やサービスの業務プロセスの開発に、設計段階でデータ保護が組み込まれることを要求している。これはプライバシー設定が初期状態で高水準に設定されていることを要求しており、データ管理者が、データ処理のライフサイクル全体を通じて、技術的および手続上の対策が規則を確実に遵守するよう留意することを要求している。また、データ管理者は、個人データが特定された各目的に必要な場合のみ処理されることを確保するため、機械的な仕組みを実装しなければならない。
ENISA(欧州ネットワーク・情報セキュリティ機関)の報告書は、初期状態でのプライバシーおよびデータ保護を達成するために実施が必要なことを詳述している。暗号化と復号の処理は、遠隔サービスではなく、ローカルネットワークで行われる必要があるとしている。その理由は、いかなるプライバシーを達成する場合も、暗号鍵とデータの両方がデータ所有者の権限下になければならないためである。また同報告書は、クラウドサービス業者ではなくデータ所有者が復号鍵を保管する限りにおいて、遠隔のクラウド上のデータ記憶装置へアウトソースすることが、現実的、かつ、比較的安全だとしている。
1995年10月にルクセンブルクで採択されたデータ保護指令(EU指令95/46/EC)に準拠し、加盟各国は国別の法制化並びに監督機関の設立等を行っていた。この旧データ保護指令をベースとして、EU加盟国に対して一律に直接効力を持つEU一般データ保護規則(GDPR)が提案された。GDPRの提案[19] は2012年1月25日に公開され、EU理事会は2016年初めに正式な採択を目指した[20]。
適用まで以下の通り。
新規則の提議は数多くの議論と論争を起こし、数千項目の修正が提案された[24]。単一の規則群と事務的要求の除外は費用削減を意図していた。しかし研究者は以下の課題を指摘している。
データ保護指令 (Directive 95/46/EC) 第29条に規定されている作業部会が、GDPR発効により廃止されるまで、GDPRの各トピックについてパブリックコメントを募集した上で順次ガイドラインを公開している[27]。採択済みのガイドラインには以下のものがあり、規則の条文とあわせて参照する必要がある。
第29条作業部会が欧州データ保護会議(European Data Protection Board)へ改組された後に公開されたガイドラインは以下のとおり。
2018年5月25日施行後、以下のような係争が起こっている。
EU域外の企業が当局と対応する代表者を置いていない場合、問題を追及することが出来ないという判断が下されており、EU域外への適用には限界がある[52]。
個人データ移転が例外的に適法となる十分性認定について、日本の個人情報保護委員会と欧州連合は、2017年から具体的な協議を始めている。2017年7月3日[53]、2017年12月14日[54] の共同声明ではそれぞれ「2018年の早い時期」「2018年のできるだけ早い時期」と努力目標が明記されていたが、GDPR施行後の2018年5月31日の共同声明では具体的な時期の記述の代わりに、パブリックコメントを経て、個人情報保護委員会が採択するガイドライン、および、個人情報保護の基本ポリシーの閣議決定の2つの手続きが、両者の差を埋めるための解決方法として明記されている[55]。
2018年5月31日、ヨウロバー欧州委員会委員は東京でのスピーチで[56]、「スピードより質が重要です」「私たちの前にはまだいくつかの作業があります」と発言、さらに2018年5月18日デンマークで開催された個人データ保護に関する欧州評議会条約108号現代化会議で[57] 日本がオブザーバー参加にとどまったことに触れ(アメリカ合衆国、カナダ、メキシコ、バチカン市国、日本がオブザーバー参加)[58]、こうした取り組みへの正規メンバーとしての参加がEUと日本の「データ保護体系を収斂させるための一歩になる」と述べ、「アジア地域におけるプライバシーへのコミットメントを確実にすること」を求めている。
2018年7月17日、個人情報保護委員会と欧州委員会が日EU間の個人データ移転について最終合意に至り、2018年秋までに日EU間の相互の円滑な個人データ移転の枠組みが運用可能となるために必要な国内手続きを完了させることにコミットすると発表した[59][60]。EUが第三国とデータ保護の十分性水準について「相互的」な認定を合意するのは日本が初めての事例である[61]。
2018年9月5日、欧州委員会が日本に対する十分性認定手続きを正式に開始することを閣議決定した[62][63][64]。
2018年9月26日、上記閣議決定を受けて欧州データ保護会議が第三回総会で、欧州委員会への意見提出のため日本の十分性認定草案[65] 全体のレビューを開始した[66]。
欧州委員会は2018年7月17日の十分性認定最終合意と同時に下記のような内容のQ&A形式の概要報告(ファクトシート)を公開している。[61]
十分性認定の後もGDPRと日本国内法の個人データ保護水準が異なるため、日欧間の個人データの移転についてさまざまな課題が残る。
十分性認定の最終合意はなされたものの、その後欧州側の内部手続きで欧州データ保護会議が2018年12月5日に採択した意見書[70] が非常に厳しい内容だったため、欧州議会は2018年12月13日、欧州委員会にさらなる証拠の提出と説明を求める文書を採択した[71]。この文書は「補完的ルール」だけでなく個人情報の保護に関する法律(以下「個人情報保護法」)自体も問題にしており、以下のような点を指摘している。
2019年1月23日、日本政府、欧州委員会が即日、相互の十分性認定が発効すると発表した[72][73]。発効2年後に初回の共同レビューが行われ、欧州データ保護会議の代表は法の執行と国家安全保障のための個人データへのアクセス部分について参加する。その後少なくとも4年に1回レビューが行われる。
日本に本社があり明示的にGDPR対応、特に欧州個人データの域外移転準拠対応を公式サイト等で公開している企業は以下のとおり。
日本貿易振興会(JETRO)が欧州ビジネスに取り組む中小企業の実務担当者向けとして、「EU一般データ保護規則(GDPR)に関わる実務ハンドブック」シリーズを公開している。2018年3月現在「入門編」[80]、「実践編」[81]、「第29条作業部会ガイドライン編 管理者および処理者の主導監督当局の特定」[82]、「第29条作業部会ガイドライン編 データポータビリティの権利」[83]、「第29条作業部会ガイドライン編 データ保護責任者」[84] が公開されている。
また、ベルギー日本人会商工委員会2016年度第3回ビジネスセミナーの資料「日本企業のベルギー子会社・ベルギー支店が取っておくべきEU一般データ保護規則へのコンプライアンス対応」[85] がある。ただし、データ保護指令 (Directive 95/46/EC) 第29条に規定されている作業部会の最新のガイドラインは反映されておらず、これとガイドラインを合わせて参照する必要がある。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.