GDPR関連資格をとろう！ Q&Aで学ぶGDPRとCookie規制(19) - 個人データ処理に関する基本原則
2021/10/20   海外法務, コンプライアンス, 情報セキュリティ, 外国法

 

GDPR第5条には、以下の個人データの処理に関する原則が規定されています。

今回から、この「個人データ処理に関する基本原則」に入っていきます。

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: 「個人データ処理に関する基本原則」とは？ Q2: 「適法性、公正性および透明性」とは？ Q3: 「目的のかつ目的による制限」とは? Q4: 「データ最小化」とは?

 

Q1: 「個人データ処理に関する基本原則」とは？

A1:　以下の通りです。

① 適法性、公正性および透明性

② 目的のかつ目的による制限

③ データ最小化　(以上今回解説)

④ 正確性

⑤ 保存期間の制限

⑥ 完全性および秘密性

⑦ 説明・証明責任

 

Q2: 「適法性、公正性および透明性」とは？

A2:　 個人データは、データ主体との関係において、(a)適法に(lawfully)、(b)公正に(fairly)かつ(c)透明性のある方法で(in a transparent manner)処理されなければならない(5(1)(a))という原則です。

(a)の処理(processing)の適法性とは、個人データの取得から削除・消去に至るまで全ての処理(取扱い)について以下の通り第6条または第9条に限定列挙されたいずれかの根拠が要求されるという原則です。

(i)  一般の個人データ： 第6条に定めるデータ主体(本人)の同意、契約履行上の必要性など。

(ii) 特別カテゴリーの個人データ(人種・宗教などに関する個人データ)： 第9条に定めるデータ主体(本人)の明示的同意、雇用関係における必要性など。

処理の適法性についてはこのシリーズの後の回で詳しく解説します。

(b)の処理の「公正さ(fairness)」については、GDPRに直接的な定義はありません。しかし、一般的には、処理の「公正さ(fairness)」とは、個人データを、データ主体が合理的に予測可能な(would reasonably expect)範囲でのみ処理し、データ主体に対し、正当化できない悪影響(unjustified adverse effects)を及ぼす処理を行ってはならないことと解されています(参照：英国監督機関IOCサイト[1])。

(c)の個人データの処理の「透明性」(transparency)とは、データ主体に対しその処理に関する情報が十分に提供されることを意味する(前文39)とされています。具体的には、GDPRの第3章(Chapter III:　データ主体の権利)第1節(Section 1)のタイトルが "Transparency and modalities"となっています。従って、透明性(transparency)の内容は、この第1節の規定(第12条～第15条)に基づき管理者などが行うべきデータ主体への情報提供・開示などであると解されます(前文39も参照)。この「透明性」についてはこのシリーズの後の回で詳しく解説します。

 

Q3: 「目的のかつ目的による制限」とは?

A3:　個人データは、特定・具体的で(specified)、明確(explicit)かつ正当な(legitimate)目的のために取得されなければならず、また、この取得目的と両立しない(incompatible)[「適合しない」と訳す例もある]方法で処理されてはならない("purpose limitation")という原則です(5(1)(b)) (*)

(*) 上記の前半は目的(自体)の制限、後半は目的による(処理の)制限です。従って、5条1項(b)にある"purpose limitation"とは「目的のかつ目的による制限」を意味すると解されます。

管理者は、個人データの取得前から処理の目的を明確にし、これを記録し(30)、かつ、取得の際、その目的についてデータ主体に情報提供(通知)しなければならない(13, 14)とされています。

また、管理者が、個人データを当初データ主体に情報提供した目的(以下「当初目的」という)以外の目的(以下「他の目的」という)で、[データ主体の同意を得ることなどをせずに、]処理する(further processing)には、他の目的が当初目的と「両立する」(compatible with)ものでなければならない(5(1)(b))(以下「目的の両立性」という)とされています。

【「目的の両立性」の判断方法】　他の目的が当初目的と両立する(compatible with)かどうかの判断は、特に次の事項を特に考慮して行う(6(4))とされています。

-　両目的の関係(link)／個人データの取得状況(the context)およびデータ主体と管理者との関係[から判断して、データ主体の合理的な予測の範囲内かどうか]／個人データの内容(特に、特別カテゴリーの個人データ(9)、有罪判決・犯罪行為に関する個人データ(10)かどうか)／他の処理目的での処理の結果データ主体に生じ得る結果

他の目的が当初目的と「両立する」場合、その「他の目的」での処理に、当初取得目的での処理と異なる処理の適法性の根拠は要求されません(前文50参照)。従って、他の目的が当初目的と「両立する」限り、当初取得目的での処理についてデータ主体の同意などの「処理の適法性の根拠」がある限り、他の目的での処理も、改めてデータ主体の同意を得ることなどをしなくても、行うことができることになります。

反対に、他の目的が当初目的と「両立しない」場合には、他の目的での処理について改めてデータ主体の同意を得ることその他「処理の適法性の根拠」を具備しない限りその処理はできません。

 

Q4: 「データ最小化」とは?

A4: 個人データの取得・利用その他処理は、その処理の目的との関係において、適切・妥当(adequate, relevant)かつ必要な範囲に限定されなければならない(5(1)(c))という原則です。

より具体的には、取得・利用・保存する個人データの内容(nature)および量(amount)が、処理目的との関係で適切・妥当、均衡し(proportionate)(均衡性・比例性)かつ必要な範囲でなければならない、言い換えれば、過剰(excessive)であってはならないという原則です。

【適切性(adequacy)】　よりプライバシー侵害度が低い(less intrusive)または悪影響が少ない他の処理手段があればその別の手段を用いるべきであるとされます。

【「データ最小化」原則に反する例】

(a) 個人データの処理目的が、個人データの匿名化・データの一部削除・データの一般化(例：生年月日を削除し年齢層に置換え)などをしても達成できるのであれば、原データのままの処理は不適切・過剰であり、「データ最小化」原則に反するとされます。

(b) 個人を特定・識別するため、よりプライバシー侵害度が低い(less intrusive)他の手段(例: IDカードの利用)があるのに、生体データ(例:指紋)を利用する場合、生体データの利用は、処理の目的(個人の特定・識別)に対して不適切・過剰であり、「データ最小化」原則に反するとされます。

 

今回はここまでです。次回は「個人データ処理に関する基本原則」の残り(「④ 正確性」以下)を解説します。

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」バックナンバー

【著者GDPR・Cookie規制関連本】

「GDPR関連資格CIPP/E準拠 詳説GDPR (上) - GDPRとCookie規制」 2019年11月

「GDPR関連資格CIPP/E準拠 詳説GDPR (下) - GDPRとCookie規制」 2019年11月

【著者の最近のプライバシー関連著作】

NEW!! 『中国の国家安全保障と「中国サイバーキュリティー法」の執行規定 ～「公安機関インターネットセキュリティー監督検査規定」の概要～』　企業法務ナビ, 2020/09/24

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

「カリフォルニア州消費者プライバシー法(CCPA)の論点-「事業者」概念と域外適用-」 『国際商事法務』 2020年8月号

「プライバシーシールド(米国への十分性認定)無効判決の概要と影響 ～ EU司法裁判所Schrems II事件判決 ～」 企業法務ナビ,  2020/07/31

「カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 -」 『国際商事法務』 2020年6月号

「カリフォルニア州消費者プライバシー法(CCPA)の論点 - 個人情報の「販売」とCookie・オンライン広告規制 -」 『国際商事法務』 2020年4月号

「個人情報保護法改正案の概要と企業実務への影響」　企業法務ナビ

​「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号

 

^[2]

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

【注】

 

[1] 【「公正さ」に関するIOCの説明】　"Principle (a): Lawfulness, fairness and transparency"

[2]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは、読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com(「AT」の部分をアットマークに置き換えてください。)

 

【筆者プロフィール】 浅井 敏雄 (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe) 【発表論文・書籍一覧】 https://www.theunilaw2.com/