リスクアドバイザリー
GDPRコラム

第7回 GDPRのガイドライン概説【特別編】

2017.08.25

前回までのコラムでは、基礎編としてGDPRの規制の概要や用語の概念について紹介しました。第7回では、実務対応について解説する応用編に入る前の特別編として、GDPRのガイドラインについて解説します。

① GDPRのガイドラインと第29条作業部会

GDPR第70条では、GDPRの各条文で使用されているいくつかの概念(例:同意、プロファイリング等)について、データ保護会議(EDPB:European Data Protection Board)が "ガイドライン、提言及びベストプラクティス"を公表することを定めています。データ保護会議は、EUデータ保護指令(95/46/EC)等の元で活動する第29条作業部会(Article 29 Working Party)を改組して成立することが決まっており、現在(2017年8月21日時点)は、この第29条作業部会がガイドラインを策定しています。ガイドラインの作成予定は、第29条作業部会が2016年2月(※1)と2017年1月(※2)に公表した行動計画に示されています。

② ガイドラインの公表状況

2017年8月21日時点でのガイドラインの公表状況と今後の予定は以下の通りです。公表されているガイドラインは4つ(ただし、「データ保護影響評価、およびデータ処理がハイリスクかどうかの判断」はパブリックコメント用のドラフト版)です。また、今後公表予定のガイドラインのうち、「第三国へのデータ移転」と「侵害の通知」については、第29条作業部会が既に公表した意見書等を改定して作成される旨が公表されています。

公表済みのガイドライン 今後(2017年中)公表予定の主なガイドライン
  • Data Protection Officers(DPOs)(データ保護責任者)
  • Identifying a controller or processor’s lead supervisory authority(主たる監督機関の特定)
  • The right to data portability(データポータビリティの権利)
  • Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679(データ保護影響評価、およびデータ処理がハイリスクかどうかの判断)
    ※パブリックコメント用のドラフト版
  • Certification(認証)
  • Consent and profiling(同意とプロファイリング)
  • Transparency(透明性)
  • Data transfers to third countries(第三国へのデータ移転)
  • Data breach notifications(侵害の通知)

③ ドラフト版を除く公表済みガイドラインの概要

1.データ保護責任者(Data Protection Officers)に関するガイドライン

本ガイドラインでは、データ保護責任者(GDPRコラム【第6回】参照)は説明責任の軸であり、関連するステークホルダー(情報主体者、監督機関、企業内の各部門等)間の仲介役であると位置づけた上で、その選任に際しての考慮事項、地位及び職務について、例えば以下のような内容を定めています。

  • 企業グループは単一のデータ保護責任者を選任できるが、データ保護責任者は、ガイドラインに基づき連絡先を公表する等、各拠点、監督機関、情報主体者からのアクセシビリティを確保する必要がある。アクセシビリティを確保する観点から、ガイドラインではデータ保護責任者をEU域内に配置することを推奨している(ただし、EU域外に配置することを妨げない)。
  • データ保護責任者は、他の職務と兼務できるが、組織内のデータ管理者やデータ処理者との兼務は利益相反となるため、実施してはならない。
  • データ保護責任者は、データ保護評価について管理者へ助言(実施の要否、実施方法、外部委託の要否、対応策の検討)することに加え、データ保護評価を適切に実施することを監視する。

2.主たる監督機関(lead supervisory authority)に関するガイドライン

GDPRでは、加盟各国に最低でも1つの監督機関を置くことを定めています。EU内の複数の国に拠点がある企業は各拠点の監督機関からそれぞれ監督を受けることになり、負担となります。それを解消するため、第56条では企業の主たる事業所がある地域の監督機関を主たる監督機関として定め、主たる監督機関は他の監督機関と連携して企業を監督する(one stop shop)仕組みを採用しています。ガイドラインでは、主たる監督機関を特定するための事項を定めており、以下のような内容が含まれています。

  • 主たる事業所とは、データ処理に関する意思決定を行う組織がある事業所を指す。仮にデータ処理に関する意思決定を行う組織が業務ごとに定められており、複数拠点に跨っている場合には、複数の監督機関による監督を受ける可能性がある。
  • 多国籍企業で、EU域内にデータ処理に関する意思決定を行う拠点が無い場合は、主要なデータ処理を行う事業所を主たる事業所とする。
  • 企業グループのデータ処理について、単一の意思決定を行うのであれば、企業グループで1つの主たる監督機関を定めることができる。

3.データポータビリティの権利(The right to data portability)に関するガイドライン

データポータビリティ(GDPR第20条)は、GDPRで新たに定められた権利のひとつです。情報主体者は情報管理者に提供したデータを、機械で読み取り可能かつ構造化した形式で取得でき、その情報を別の情報管理者に移転することができます。 情報管理者は、情報主体者の同意に基づくデータ処理または6条1項(b)の契約に基づくデータ処理を行っている場合で、なおかつそのデータ処理を自動化している場合に、情報主体者からのデータポータビリティの権利に関する要求に応じなくてはなりません。ガイドラインでは、情報主体者の行動履歴(検索履歴、音楽の再生回数等)はポータブルデータに含まれること、情報管理者はデータ構造を必要以上に複雑化するなどしてデータポータビリティについて障壁を設けてはならないこと、情報管理者はセキュアな方法でデータを提供しなくてはならないこと、ポータブルデータの受け入れは義務ではないこと等を定めています。

日本企業は、対応にあたり、条文とともにこれらのガイドラインを参照することでGDPRへの理解を深め、適切に対処することが望まれます。


GDPRコラム


情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?