アドバイザリー
GDPRコラム

第6回 GDPRの用語・概念解説【後編】

2017.07.26

前回のコラムでは、GDPRを理解するうえで重要な用語について紹介しました。今回は、GDPRが適用される企業に求められる要求事項について解説します。日本における改正個人情報保護法(以下、「日本改正法」という)には規定されていない、もしくは日本改正法に比べて規制が強化されている、GDPRの主な要求事項としては以下の5つがあり、定められた要件によって対象となる企業が異なります。

GDPRの主な要求事項 対象となる企業
① GDPRに準拠していることの説明責任 第5条(2) GDPRが適用されるすべての企業
② 個人情報保護に関する新たな権利の対応 第7条(3)
第21条(1)(2)(4)
第22条
③ プライバシー・バイ・デザインの導入 第25条
④ データ保護影響評価(DPIA)の実施 第35条 定められた要件に該当する企業のみ
⑤ データ保護責任者(DPO)の設置 第37条

① GDPRに準拠していることの説明責任

企業は、個人データの取扱いについて、規則を守るだけでなく、どのように守っているかについて、以下の対応により監督機関に説明できるようにしておくことが求められています。

  • データ処理のルール、手順を文書化する
  • 処理の運用状況を記録する
  • 規程類、運用記録等を監督機関にいつでも提供できるように適切に保管する
  • 責任者等が整備状況および運用状況を十分に理解する

② 個人情報保護に関する新たな権利への対応

GDPRでは、日本改正法には規定されていない、情報主体者の権利が認められており、企業は情報主体者がその権利を行使できる仕組みを整備する必要があります。

(a) 同意の撤回

従来から個人データの取得には情報主体者の同意が必要ですが、GDPRでは、その同意についていつでも撤回する権利が認められています。また、同意を撤回する場合は、同意の通知と同じくらい容易に行うことができるようにしなければなりません。したがって企業は、情報主体者が容易に同意を撤回できるような具体的な方法を検討し、同意を撤回するための手続と、撤回された同意内容について迅速に処理する手続を整備する必要があります。

(b) 自動化処理の拒否(異議を唱える権利)

プロファイリングやダイレクトマーケティングにおける自動化処理に個人データを使用されることに対して、情報主体者は異議を唱える権利が認められています。企業は、同意の撤回への対応と同様に、情報主体者からの異議申し立てを受け付けて処理する手続を整備する必要があります。また、企業は、情報主体者との初回のコミュニケーション時にこの異議を唱える権利について通知することが求められています。

(c) 自動化処理に基づく決定を拒否する権利

上記のような自動化処理により、情報主体者に対する何らかの決定がなされた場合、その決定が情報主体者に法的効果や重大な影響を及ぼすものであれば、情報主体者はその決定を拒否する権利が認められています。

③ プライバシー・バイ・デザインの導入

新たなビジネスプロセスやシステムを導入する場合は、企画・設計(デザイン)の段階からデータ保護の観点を組み込むことが求められています。ビジネスプロセスや新システムの設計工程に、データを保護するための検討プロセスを追加し、企画・設計に関する手続を整備する必要があります。
具体的には、仮名化によって個人を特定できないようにデータを加工することや、個人情報の収集・保有を必要最小限にする設定や運用にすることが求められます。

④ データ保護影響評価(Data Protection Impact Assessment: DPIA)の実施

DPIAは、情報主体者のプライバシーに対するリスクを測定、分析、評価する、プライバシー保護対策の1つです。 GDPRでは、以下の場合等にDPIAを実施することが求められています。

GDPRでは、以下の場合等にDPIAを実施することが求められています。

  • プロファイリング
  • 「特別なカテゴリの個人データ」(人種、政治、病歴等)もしくは犯罪に関するデータの大規模な利用
  • 大規模に行われる公共の場でのモニタリング

DPIAに関するガイドラインの草案(※1)では、上記に説明したDPIAが必要なケースの他に、DPIAのフレームワーク、推奨される評価基準等、DPIAの実施方法についても記載されています。

⑤ データ保護責任者(DPO)の設置

DPOの設置は、すべての企業にとって必須というわけではありません。設置が求められる例を以下に示します。

DPOの設置が求められる業務の例 具体例
定期的かつ大規模な行動監視 監視カメラによる記録
購買履歴に基づく広告表示
乗車状況を追跡している公共輸送機関
「特別なカテゴリの個人データ」(人種、政治、病歴等)を大量に取り扱う業務 患者のカルテを大量に保有する病院

DPOは、個人データの管理から独立した立場で活動を行い、かつ経営層に直接報告を行うことが求められているため、それらを考慮して選任を検討する必要があります。
なお、規則上DPOの設置不要が明らかな企業でない限りは、DPOを選任したもしくは選任しなかったことについて、検討、決定した経緯を説明できるようにしておくことが推奨されています(第29作業部会により公開された「Guidelines on Data Protection Officers('DPOs')」2.1 Mandatory Designationを参照)。


日本の企業においても、以上のようなGDPRの要求事項の中から自社にとって優先的に対応すべき事項を整理・検討しておくことが望まれます。


※1 2017年4月4日に第29条作業部会が公開したガイドライン「Guidelines on Data Protection Impact Assessment(DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679」の草案


GDPRコラム

【関連ページ】




情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?