EU一般データ保護規則

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索
規則 (EU) 2016/679
欧州連合規則
名称 個人データに関する自然人の保護および同データの自由な移動に関する規則 (General Data Protection Regulation)。EUデータ保護条例(Directive 95/46/EC)は廃止される。
制定者 欧州議会および欧州理事会
官報参照 L119, 4/5/2016, p. 1–88
歴史
制定 2016年4月27日
実施 2018年5月25日
予備文書
委員会提案 COM/2012/010 final - 2012/0010 (COD)
関連法律
置換 EUデータ保護条例英語版
現行法

EU一般データ保護規則(GDPR) (規則 2016/679) は欧州議会欧州理事会および欧州委員会欧州連合 (EU) 内の全ての個人のためにデータ保護を強化し統合することを意図している。EU域外への個人データの輸出も対象としている。GDPRの第一の目的は、市民と居住者が自分の個人データをコントロールする権利を取り戻すこと、および、EU域内の規則を統合することで、国際的なビジネスのための規制環境を簡潔にすることである。[1] GDPRの発効によって、1995年以来のデータ保護指令(正式には Directive 95/46/EC)[2] は置き換えられる。本規則は2016年4月27日に採択され、2年間の移行期間の後、2018年5月25日より適用される。1995年のデータ保護指令がEU各国のデータ保護の断片化を招いたことから(備考(Recital) 9)、同指令と異なり、本規則に関してEU各国政府は特別に法規制を採択する必要ない。[3] ただしEU各国が特定のデータ処理について、より限定的な国内法の制定を妨げるものではない(備考(Recital) 10)。

概要[編集]

"今回提案されたEUの新たなデータ保護制度はEUデータ保護法の対象範囲を、EU居住者のデータを処理する外国の全ての企業に拡大する。EU全域のデータ保護規制を一致させることで、欧州以外の企業が規則を遵守しやすいようにする。しかし、これを実現する代償として、データ保護を厳格に遵守させる制度、つまり全世界の売上高の4%を上限とする厳しい罰金を導入する。"[4] 欧州議会版では過料は5%に増額された。[5] しかし欧州議会、欧州委員会、欧州閣僚理事会の三者の交渉の後、GDPRの文言、および、遵守しなかった場合の金銭的罰則についても全般的な合意がなされた。[6]

内容[編集]

EU一般データ保護規則法案は、主要な要求として以下の各項目を含んでいる。:[5] [7]

適用範囲[編集]

本規則は、データ管理者 (EU居住者からデータを収集する組織)、または、処理者 (データ管理者の代理としてデータを処理する組織) または、データの主体 (個人) がEU域内に拠点をおく場合に適用される。さらに本規則は、EU居住者の個人データを収集または処理する場合は、EU域外に拠点をおく組織にも適用される。欧州委員会によれば、"個人データとは、個人の私生活であれ、職業であれ、あるいは公的生活であれ、個人に関係するあらゆる情報のことである。氏名、自宅住所、写真、電子メールアドレス、銀行口座の詳細情報、ソーシャル・ネットワーク・ウェブサイトへの書き込み、医療情報、または、コンピュータのIPアドレスまで、あらゆるものを含む。"[8]

本規則は国家安全保障の活動、または、法の執行のための個人データ処理には適用されない。しかし、データ保護規則の改革パッケージは、警察、および、刑事司法分野に対しては、個別のデータ保護条例を含んでいる。この個別のデータ保護条例は、国内、欧州、および、国際的な個人データの交換に対する包括的な規則を提供している。

組織の規模に関しては、零細・中小企業等、規模を問わず本規則の対象となる。ただし個人データ処理に関する様々な義務のうち、処理記録を保管する義務についてのみ、被雇用者250名未満の組織については免除される(GDPR 第30条5項)。

なおこの処理記録の保管(records of processing activites)につき、処理過程の処理ログ等を全件記録する必要があるという理解はGDPR 第30条英語版の「records」に起因する誤読であり、フランス語版では「journal(ログ)」ではなく「registre(帳簿) des activités de traitement」、つまり台帳として各種処理活動を一覧化することである。

本規則の対象となる個人データ処理とは、支払いの発生の有無にかかわらず、EU域内の自然人に対する商品またはサービスの提供に関する処理活動である。単に、EU域内のデータ管理者、データ処理者、または仲介となるウェブサイトにアクセスできるだけの場合、または、メールアドレス、その他連絡先詳細情報にアクセスできるだけの場合、または、データ管理者が第三国に存在する場合で、その第三国で一般的に使用される言語が使用されている場合などについては、個人データ処理の意図があることを十分に確認できない。本規則の対象となる個人データ処理であることを明確にするには、EU域内の国で一般的に使用される言語または通貨を使用していること(商品やサービスの注文がその他の言語で行われる可能性がある場合も含む)、または、EU域内の顧客またはユーザに言及していることなどの要素が採用されうる(備考(Recital) 23)。

単一の規則群とワンストップショップ[編集]

単一の規則群は全EU加盟国に適用される。各加盟国は、申し立てに対する調査、違反者の処罰等を行う独立した監督機関を設置する。EU加盟各国の同監督機関は、他国の監督機関と協力することで、相互支援および共同施行を行う。事業者がEU域内に複数の拠点を持つ場合、"主要拠点" (つまり、主要な処理業務が行われる拠点) の場所にもとづいて、一つの監督機関を"主要監督局"とする。主要監督局は"ワンストップショップ"として活動し、事業者のEU域内にわたる全ての処理業務を監督する。[9] [10](GDPR 第46-55条)。 欧州データ保護委員会 (European Data Protection Board: EDPB) が監督機関の調整にあたる。欧州データ保護委員会 (EDPB) の設置により 第29条 に規定されている作業部会は廃止される。

雇用の文脈で処理されるデータ、および、国家安全保障のために処理されるデータについては例外があるが、依然として各国の規制の対象となる。(GDPR 第2条(2)(a)および第82条)。

責務と説明責任[編集]

通知は従来通り必要で、その範囲が拡大されている。通知には、個人データの保持期間、および、データ管理者とデータ保護最高責任者の連絡先情報を含まなければならない。

個人に関する自動化された意思決定は、プロファイリング (第22条) を含め、係争の対象となりうる。市民は今回の規則によって、純粋なアルゴリズムによる意思決定に対しても疑義を唱え、争う権利を持つようになる。

GDPRの遵守を示せるようにするため、データ管理者は設計段階および初期状態で、データ保護の原則を満たす施策を実装しなければならない。設計および初期状態によるプライバシーの条項 (第25条) は、製品およびサービスの業務プロセス開発に、設計段階でデータ保護施策を組み込むよう要求している。そのような施策には、データ管理者が個人データを可能な限り速やかに仮名化する施策が含まれている。(備考(Recital) 78)

データ管理者の責任と義務は、データ処理業者がデータ管理者の代理でデータ処理を行う場合であっても、実効性のある施策を実装し、データ処理業務が規則を遵守していることを示せるようにすることである。(備考(Recital) 74)

データ主体の権利および自由に対して、特定のリスクが発生する場合は、データ保護影響評価(第35条)を実施しなければならない。リスク評価およびリスク低減を実施する必要があり、高いリスクについてはデータ保護当局(DPA)の事前承認が必要となる。データ保護最高責任者(第37~39条)が、組織内部の規則遵守を確保する。

データ保護最高責任者は以下の場合に指名しなければならない。

  • 全ての公的機関、ただし司法能力にもとづいて活動する裁判所を除く。
  • データ管理者、または、データ処理者の主な活動が以下の活動からなる場合
    • データ処理の業務が、その性質、範囲、目的にかんがみて、データ主体の規則に基づきかつ体系的で、大規模な監視を要求する場合
    • 第9条に準じる特定の種類のデータを大規模に処理する場合、および、犯罪歴および第10条に規定する犯罪に関する個人データを処理する場合[11]

同意[編集]

データの収集および利用目的 (第7条、第4条の規定) について、有効な同意が明示的に行われなければならない。児童に対する同意[12] は児童の親、または、保護者が与え、確認しなければならない。データ管理者は"同意" (オプトイン) を証明できる必要があり、その同意は取り消されうる。[13]

データ保護最高責任者[編集]

裁判所、または、独立した司法当局が司法能力にもとづいて活動する場合を除き、公的機関がデータ処理を行う場合、または、民間部門において、データ主体の規則に基づきかつ体系的な監視を必要とするデータ処理業務を主要な活動とするデータ管理者が、データ処理を行う場合は、データ保護法とその実施について専門的な知識をもつ人物が、データ管理者または処理者が組織内で本規則を遵守していることを監視するよう支援しなければならない。データ保護最高責任者(DPO)はコンプライアンス最高責任者と似ているが同じではない。両者とも、個人やセンシティブなデータの保有および処理にまつわる、ITによる処理、データ・セキュリティ(サイバー攻撃への対処を含む)、および、事業継続性に関する重大な問題に熟達していることが期待されている。しかしDPOのスキルセットはデータ保護法に関する法的遵守の理解を超える範囲が要求されている。大規模な組織内でのDPOの任命は役員にとっても、関係する個人にとっても困難な課題となる。組織および企業がDPOを任命する際、その対象範囲や性質に応じて、対処すべき企業統治および人的要因が無数に存在するためだ。加えて、DPOに任命された人物は、自身を支援するチームを作る必要があり、それらチームメンバーが継続的に能力開発する責任を負う。その理由は、彼らを雇用する組織から独立し、事実上"小型監督機関"となる必要があるためだ。

データ保護最高責任者の職務と役割のより詳細な内容については、2017年4月5日改訂の指針に記述されている。[14]同指針によれば、全ての組織が行っている、被雇用者への支払いや標準的なIT支援提供等の活動は、組織にとって必要不可欠だが、通常、主要な活動ではなく付随的な活動とみなされる(同指針2.1.2)。つまり、DPO任命の要件とならないとされている。

仮名化[編集]

GDPRは仮名化について言及している。仮名化とは、個人データを処理した結果のデータが、追加情報の利用なしに特定のデータ主体と結びつけることができないようにする処理である。仮名化の一例として暗号化がある。元のデータが分からないように、適切な復号鍵がなければデータ処理を元に戻すことができないようにする処理である。GDPRはこの追加情報(復号鍵など)が、仮名化データと別に保管されることを求めている(備考(Recital) 29)。仮名化が推奨されているのは、関係するデータ主体に与えるリスクを低減し、データ管理者およびデータ処理者がデータ保護の義務に適合するのを支援するためである。(備考(Recital) 28)

個人データが、組織内の適切な方針および施策により、データ管理者によって仮名化された場合であっても、匿名化データ(そもそも自然人と無関係なデータ、および、データ主体を追加情報によっても特定できないデータ)とは異なり、GDPRの管理および罰則の対象となる(備考(Recital) 26)。それらの方針および施策は設計段階のデータ保護の原則、および、初期状態のデータ保護の原則に適合し、この目的を満たすと見なせる必要がある。施策の例として、可能な限り速やかにデータを仮名化すること(備考(Recital) 78)、データをローカルネットワーク内で暗号化すること、暗号化されたデータと別に復号鍵を保管することが含まれる。[15]

統計または調査目的を含む、匿名とみなされる情報の処理について本規則は関知しない。

データ侵害[編集]

GDPRの下、データ管理者は過度な遅滞なく監督機関(SA)に通知する法的義務を負う。データ侵害の報告はいかなる僅少基準も適用されず、データ侵害から72時間以内に監督機関に報告しなければならない(第33条)。個人は不利益な影響が確認された場合通知を受けなければならない(第34条)。加えて、データ処理者は個人データ侵害の認識後、過度な遅滞なくデータ管理者に通知しばければならない。

ただし、データ処理者、または、データ管理者は、匿名化データが侵害された場合はデータ主体に通知しなくてもよい。特に、データ管理者が暗号化などの仮名化技術を実装するとともに、適切な技術的かつ組織的な保護施策を、データ侵害の影響を受ける個人データに対して行っている場合、データ主体への通知は要求されない(第34条)。

処罰[編集]

以下の処罰が課されうる:

  • 初回かつ意図的でない違反の場合は、書面による警告
  • 規則に基づく定期的なデータ保護監査
  • 企業の場合、10,000,000ユーロ、または、前会計期間の全世界の売上高の2%のうち、いずれか大きい方の過料 (第83条4項[16])
  • 企業の場合、20,000,000ユーロ、または、前会計期間の全世界の売上高の4%のうち、いずれか大きい方の過料 (第83条5項および6項[16])

消去権[編集]

2014年3月欧州議会により採択されたGDPR改正版によって、忘れられる権利は、より限定的な消去権によって置き換えられた[17][18] 第17条はデータ主体が自分自身に関する個人データの消去を要求する権利を定めている。消去要求には、第6条1項(合法性)違反を含め多くの根拠がある。同項は、データ管理者の合法的な利害よりも、個人データの保護を要求するデータ主体の利害または基本的な権利および自由が優先される場合を含んでいる。( Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González も参照のこと)

データ可搬性[編集]

個人はデータ管理者に妨げられることなく、自分自身の個人データをある電子処理システムから別のシステムに移動することができる。加えて、そのデータはデータ管理者によって構造化され、一般に用いられる オープンスタンダード な電子形式で提供されなければならない。データ可搬性の権利はGDPRの第20条で定められている。[7] 法律の専門家はこの施策の最終版について、「第18条に規定されている二つのデータ管理者間のデータ可搬性の範囲を超える」べく新たに作成された「新しい権利」とみなしている。[19] (最終版では条番号が第20条に変更されていることに注意。引用の条番号は当時のもの)

設計段階および初期状態におけるプライバシー[編集]

設計段階および初期状態におけるプライバシー (第25条)は製品やサービスの業務プロセスの開発に、設計段階でデータ保護が組み込まれることを要求している。これはプライバシー設定が初期状態で高水準に設定されていることを要求しており、データ管理者が、データ処理のライフサイクル全体を通じて、技術的および手続上の対策が規則を確実に遵守するよう留意することを要求している。また、データ管理者は、個人データが特定された各目的に必要な場合のみ処理されることを確保するため、機械的な仕組みを実装しなければならない。

ENISA (欧州ネットワーク・情報セキュリティ機関) の報告書は、初期状態でのプライバシーおよびデータ保護を達成するために実施が必要なことを詳述している。[15] 暗号化と復号の処理は、遠隔サービスではなく、ローカルネットワークで行われる必要があるとしている。その理由は、いかなるプライバシーを達成する場合も、暗号鍵とデータの両方がデータ所有者の権限下になければならないためである。また同報告書は、クラウドサービス業者ではなくデータ所有者が復号鍵を保管する限りにおいて、遠隔のクラウド上のデータ記憶装置へアウトソースすることが、現実的、かつ、比較的安全だとしている。

日程[編集]

GDPRの提案[10] は2012年1月25日に公開され、EU理事会は2016年初めに正式な採択を目指した。[20]

日程は以下の通り。

  • 2013年12月21日: 欧州議会人権、司法および内政に関する委員会 (LIBE) による方向づけ投票。
  • 2015年12月15日: 欧州議会、欧州理事会および欧州委員会(三者委員会)の交渉による共同提案。
  • 2015年12月17日: 欧州議会LIBEの投票結果が三者委員会の交渉結果を支持。
  • 2016年4月8日: 欧州理事会の採択。[21]
  • 2016年4月14日: 欧州議会による採択。[22]
  • 2016年5月4日発効のEU官報掲載20日後に規則発効。[23] この二年後にEU全加盟国に対し規定を直接適用。
  • 2018年5月25日適用開始。[23]

議論と課題[編集]

新規則の提議は数多くの議論と論争を起こし、数千項目の修正が提案された。[24] 単一の規則群と事務的要求の除外は費用削減を意図していた。しかし研究者は以下の課題を指摘している。

  • データ保護最高責任者(DPO)の任命要求は、多くのEU加盟国によって新規のもので、一部からは事務的な負担が批判されている。
  • GDPRがソーシャル・ネットワークおよびクラウド事業者に焦点を当てて作成されているが、被雇用者のデータの取り扱いに対する要求については十分に考慮していない。[25]
  • データ可搬性 はデータ保護の重要な側面とはみなせず、むしろソーシャル・ネットワークおよびクラウド事業者の機能要件である。
  • データ保護当局(DPA)の言語およびスタッフ採用上の課題:
    • 非欧州企業は英語を理由に、英国/アイルランドのDPAを選ぶ。それによって両国は非常に大きな人的資源を要求される。
    • 欧州連合(EU)市民は問い合わせ窓口として、もはや単一のDPAではなく、関係する企業が選んだ複数のDPAと関わる必要が出てくる。外国語に起因する意思疎通の問題も予想される。
  • 新しい規制がそれ以外の非欧州法、規制および慣行と対立する(例、政府による監視)。そのような国の企業はもはやEUの個人データ処理に適するとみなされない。EU-米国のプライバシーシールドを参照。
  • 最大の課題はGDPRの実際の実施にある:
    • EUのGDPRは規則が発効する前に同等水準のプライバシー保護を実施していない企業の事業に包括的な課題解決を要求する(特にEUの個人データを取り扱う非EU企業)。
    • 現時点でもすでにプライバシーの専門家と知識が不足しており、新たな要求は事態を悪化させる可能性がある。したがってデータ保護およびプライバシーの教育がGDPR成功の重要な要素となる。
    • 欧州委員会およびデータ保護当局(DPA)は、欧州の全データ保護当局に、単一のデータ保護水準の実施を強制するため、十分な資源と権力を持つ必要がある。なぜなら規則の様々な解釈によってプライバシー水準も様々になる可能性があるため。
    • 欧州の国際貿易政策がGDPRとまだ一致していない。[26]

第29条作業部会ガイドライン[編集]

データ保護指令(Directive 95/46/EC)第29条に規定されている作業部会が、GDPR発効により廃止されるまで、GDPRの各トピックについてパブリックコメントを募集した上で順次ガイドラインを公開している。[27]採択済みのガイドラインとして「データ保護最高責任者に関するガイドライン」、「データ可搬性の権利に関するガイドライン」などがあり、規則の条文と合わせて参照する必要がある。

日本語の参考資料[編集]

日本貿易振興会(JETRO)が欧州ビジネスに取り組む中小企業の実務担当者向けとして、「EU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)」[28]を公開している。また、ベルギー日本人会商工委員会2016年度第3回ビジネスセミナーの資料「日本企業のベルギー子会社・ベルギー支店が取っておくべきEU一般データ保護規則へのコンプライアンス対応」[29]がある。ただし、データ保護指令(Directive 95/46/EC)第29条に規定されている作業部会の最新のガイドラインは反映されておらず、これだガイドラインを合わせて参照する必要がある。

参照[編集]

参考文献[編集]

  1. ^ General Data Protection Regulation” (2016年4月5日). 2017年5月23日閲覧。
  2. ^ "Directive 95/46/EC"
  3. ^ Blackmer, W.S. (2016年5月5日). “GDPR: Getting Ready for the New EU General Data Protection Regulation”. Information Law Group. InfoLawGroup LLP. 2016年6月22日閲覧。
  4. ^ "New draft European data protection regime". m law group.
  5. ^ a b "Inofficial consolidated version GDPR".
  6. ^ Article 83 (5) of The Council's first reading after the trilogue sets maximum fines to be the highest of 4% of global turnover and 20 million Euro.
  7. ^ a b Proposal for the EU General Data Protection Regulation.
  8. ^ European Commission’s press release announcing the proposed comprehensive reform of data protection rules. 25 January 2012.
  9. ^ The Proposed EU General Data Protection Regulation.
  10. ^ a b "GDPR proposal"
  11. ^ EUR-Lex - Art. 37” (en). 2017年1月23日閲覧。
  12. ^ Regulation article 8 (1):"For the purposes of this Regulation, in relation to the offering of information society services directly to a child, the processing of personal data of a child below the age of 13 years shall only be lawful if and to the extent that consent is given or authorised by the child's parent or custodian."
  13. ^ "How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide".
  14. ^ Guidelines on Data Protection Officers”. 2017年5月23日閲覧。
  15. ^ a b Privacy and Data Protection by Design — ENISA” (en-gb). 2017年4月4日閲覧。
  16. ^ a b Article 83, GDPR
  17. ^ The Right to Be Forgotten”. 1 Essex Court. 2017年5月19日閲覧。
  18. ^ European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”. European Parliament. 2017年5月19日閲覧。
  19. ^ The Final European Union General Data Protection Regulation, by Cedric Burton, Laura De Boel, Christopher Kuner, Anna Pateraki, Sarah Cadiot and Sára G. Hoffman, Section II, 4”. Bloomberg BNA (2016年2月12日). 2017年5月19日閲覧。
  20. ^ The EU General Data Protection Regulation Timeline, Allen & Overy
  21. ^ Data protection reform: Council adopts position at first reading
  22. ^ Data protection reform - Parliament approves new rules fit for the digital era
  23. ^ a b EU Official Journal issue L 119
  24. ^ Overview of amendments.
  25. ^ Expert tips: Get your business ready for GDPR.
  26. ^ Irion, K., S. Yakovleva, M. Bartl: Trade and Privacy: Complicated Bedfellows? How to achieve data protection-proof free trade agreements”. Institute for Information Law (IViR), University of Amsterdam (2016年9月22日). 2017年5月19日閲覧。
  27. ^ Guidelines”. 欧州委員会 第29条作業部会 (2016年11月22日). 2017年6月9日閲覧。
  28. ^ ジェトロ欧州ロシアCIS課、ジェトロ・ブリュッセル事務所 (2016年11月). “EU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)”. 日本貿易振興会. 2017年6月9日閲覧。
  29. ^ ウィルマーヘイル法律事務所 ブリュッセルオフィス シニアアソシエイト 杉本武重 (2016年12月12日). “日本企業のベルギー子会社・ベルギー支店が取っておくべきEU一般データ保護規則へのコンプライアンス対応”. ベルギー日本人会. 2017年6月9日閲覧。

外部リンク[編集]