08 海外法務, 情報セキュリティ, 個人情報保護法, 外国法

今回は, GDPR第24条(管理者の責任)および第25条(データ保護バイデザインおよびデータ保護バイデフォルト)について解説します。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: GDPR第24条(管理者の責任)の内容は?

Q2: GDPR第25条(データ保護バイデザインおよびデータ保護バイデフォルト)の内容は?

Q1: GDPR第24条(管理者の責任)の内容は?

A1: 以下の通りです。

【解　説】

(a)技術的・組織的措置の実施およびその説明責任

管理者は, 処理の内容・範囲・状況・目的および処理のリスクの可能性・重大性の程度を考慮の上適切な技術的・組織的措置を講じ, 処理がGDPRを遵守してなされ, かつ, そのことを説明・証明(demonstrate)できるようにしなければならない。この措置は, 必要に応じ見直し・改善されなければならない。(以上24(1))

(b) 個人データ保護方針策定・実施責任

管理者は, 上記の措置の一つとして, 必要に応じ, 個人データ保護方針(data protection policies)を策定しこれを実施しなければならない(24(2))。

-この個人データ保護方針とは, 具体的にはGDPR遵守のための社内ポリシー(Internal policies)のことですが, そこで規定すべき事項としては主な以下のような項目が考えられます。

【個人データ保護方針(社内ポリシー)の主な規定項目の例】

(a)Scope(Policyの適用範囲)

適用対象者と対象の処理を規定。

(b)Policy statement

①個人データの処理に関する企業のCommitmentまたはPositionの表明。

②個人データの取得・処理の目的に関係する事業目的の記載。

③個人データ処理の原則(5(1))

(c)Employee responsibilities

①従業員の責任・役割

②処理の制限(limitation)

③正確性確保のための手続

④セキュリティーに関する義務：必要に応じ情報セキュリティポリシー(information security policy)と相互参照(cross-reference)

⑤個人データの移転(transfer)・EU域外への移転に関する義務：原則的禁止, 移転の根拠, 移転前に実施すべき手続

⑥個人データの破棄・消去(destruction or deletion)に関する義務

(d)Management responsibilities(経営層の責任)

①個人データの処理に関するビジネスリスクの特定と評価に関する経営層(senior management)の責任

②事業部門との協力

③(必要に応じ)DPOの任命

④経営層の責任分担(allocation of management responsibilities)：事項ごとに各部門の責任を規定

(e)Reporting incidents(インシデントの報告)

①インシデント(個人データ侵害)発生時の各部門の役割・責任

②処理委託先(third-party service provider)でのインシデント発生時の対応手続

③対応期限

④インシデント対応計画(incident response plan)・インシデント対応チーム(incident response team)

⑤調査責任者・対応責任者

⑥インシデント対応計画の定期的ストレステスト

(f)Policy compliance(ポリシーの遵守)

①違反に対する民事・刑事責任, 懲戒処分(解雇を含む)(但し, その内容は各国の労働法等に従うこと)

②処理委託先との契約解約, 損害賠償の定め(Indemnity and/or liquidated damages provisions)

(g)Internal allocation of responsibilities(社内責任体制)

①社内の責任体制の明確化

②監督機関(Data Protection Authority)(DPA)への対応

③データ主体による権利行使への対応

④Policyの定期的更新

⑤個人データ保護委員会 (privacy management team or council)

⑥データ保護責任者(DPO)またはその他の責任者

(h)Training(教育・研修)

①法律(GDPR・ePrivacy指令等)と社内ポリシー上の義務に関する従業員研修

②研修プログラムの終了率の記録

③従業員への定期的メッセージおよび更新

④社内イントラネットへのFAQ, 関連ポリシー, 関連文書等の掲載

(c) 行動規範等

承認された行動規範 (codes of conduct) (40)またはデータ保護認証制度(data protection certification mechanisms) (42)の遵守は, GDPR義務遵守の証明のための一考慮要素とすることができる(24(3))。

page top

Q2: GDPR第25条(データ保護バイデザインおよびデータ保護バイデフォルト)の内容は?

A2: 以下の通りです。

【解　説】

(1)企画・設計段階からの個人データ保護(Data protection by design)

管理者は, 技術水準／コスト／処理の内容・範囲・状況(context)・目的／処理リスクの可能性・重大性の程度を踏まえ, (i) 処理方法決定段階および (ii) 処理実施段階の双方で, 適切な技術的・組織的措置(仮名化等)を講じ, (a) データ保護の原則(データ最小化等)および(b) データ保護措置(safeguards)を組み込まなければならない(25(1))。

特に, 個人データの処理を伴うアプリケーション, サービスまたは製品を開発, 設計, 採用または利用する場合, 開発者は, 開発・設計段階からデータ保護の原則およびデータ保護措置を組込まなければならない(前文78)。

(2)標準設定での個人データ保護(Data protection by default)

管理者は, 特定・具体的な処理目的に必要な個人データのみが処理されるよう, 取得データ量, 処理範囲, 保存期間およびアクセス(特に, データ主体の関与なく不特定人からアクセスされないこと)について, 標準設定で(by default), 適切な技術的および組織的な措置を講じなければならない(25(2))。

(3)具体的措置

上記(1)・(2)の具体的措置としては以下のようなものが考えられます。

(a)取得・処理するデータ量の最小化(個人データ入力フォームの改善等を含む)

(b)保存期間の最小化・一定期間後の自動消去

(c)仮名化(pseudonymisation)・暗号化(encryption)

(d)適切なセキュリティー基準の採用

(e)データ主体のアクセス権等の行使への対応：個人データを容易に検索・照合できるよう, 適切にマッピング・分類・ラベル付け・保存・アクセス可能にしておくこと(mapped, classified, labelled, stored and accessible)

(f)データ主体のデータ・ポータビリティーの権利行使への対応：個人データを汎用的な機械可読・相互運用可能な形式で構造化しておくこと(structured in a commonly used, machine-readable and interoperable format)。

(g)データ主体にとっての処理の可視性(visibility)・コントロール性向上

page top

今回は以上です。

【筆者の最近の個人情報保護関連書籍】

NEW!!　『中国「データ越境移転安全評価規則(意見募集稿)」の公表とその概要』2021/11/05

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24

NEW!!　「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[1]

[1]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP (International Association of Privacy Professionals) 会員,CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録