セキュリティとコンプライアンスGDPR
EUデータコンプライアンスに関する説明
- EU個人データ保護法制の概要
EUは2016年に一般データ保護規則(GDPR)を公布し、2018年に施行されました。GDPRは、EU域内のすべての個人のプライバシー権とデータ保護権を保護することを目的としています。GDPRは、その地理的な位置に関係なく、データ処理活動がEU市民の個人データに関わるすべての企業および組織に適用されます。
(一)関連定義
-
データ管理者とは、個人データの処理目的および方法を単独または共同で決定できる自然人、法人、公共機関、行政機関、またはその他の非法人組織であり、個人データの処理目的および方法を決定する責任を負いますが、具体的な基準はEUまたはその加盟国の法律で規定されるものとします。
-
データ処理者とは、データ管理者のために個人データを処理する自然人、法人、公共機関、行政機関、またはその他の非法人組織を指します。ただし、あるエンティティがデータ管理者と処理者のどちらに該当するかを判断することが難しい場合があります。
3、個人データとは、識別されたまたは識別可能な自然人(「データ主体」)を指すあらゆる情報を指します。GDPRは個人データの範囲を拡大しました。GDPRで定義された範囲によると、個人データにはデジタルフィンガープリント(たとえば、IPアドレスやCookie)も含まれます。さらに、遺伝子データまたは生体認証データも「機密データ」のカテゴリに含まれます。
4、GDPRは、個人の機密データは高度に保護されるべきであることを明確に述べています。これらのデータには、個人の人種および民族的出身、政治的意見、宗教的および哲学的信念、労働組合員、遺伝子データ、生体認証データ、健康データ、性生活または性的指向に関する情報、および犯罪歴に関する情報が含まれます。医療機関は通常、より高い水準のデータ保護要件を満たす必要があります。
- 主な内容
(一)企業がGDPRコンプライアンスを実現するには、次の手順に従う必要があります。
(1)データ監査:既存のデータ処理活動を監査し、個人データのソース、使用目的、および保存期間を確実に把握します。
(2)プライバシーポリシーの更新:プライバシーポリシーを更新し、その内容がGDPR要件に準拠していることを確認し、ユーザーにデータの処理方法を明確に通知します。
(3)コンプライアンスメカニズムの確立:データ保護管理システムを確立し、すべてのデータ処理活動がGDPRの原則に従うようにします。
(4)従業員トレーニング:従業員にGDPRおよびデータ保護関連の知識に関するトレーニングを実施し、コンプライアンス意識を高めます。
監視とレビュー:データ処理活動を定期的に監視し、GDPRの要件に継続的に準拠していることを確認します。
- 個人データ処理は、いつ個人データを処理することが合法ですか
GDPR第6条の規定に基づき、個人データを処理するには、次の6つの法的根拠を遵守する必要があります。
(1)データ主体が、1つまたは複数の特定の目的のために自身の個人データを処理することに同意した場合。
(2)処理が、データ主体が関与する契約を履行するために必要な場合、または処理が、データ主体が契約を締結する前の要求に応じて講じられた措置である場合。
(3)処理が、管理者が従うべき法的義務を履行するために必要な場合。
(4)処理が、データ主体または別の自然人の重大な利益を保護するために必要な場合。
(5)処理が、公共の利益分野における任務を遂行するため、または管理者に与えられた公的権限を行使するために必要な場合。
(6)処理が、管理者または第三者が正当な利益を追求するために必要な場合。ただし、この利益は、個人データの保護を要求するデータ主体の利益または基本的な権利および自由によって覆される場合を除きます。特に、データ主体が子供である場合。(注:この項目は、政府当局がその職務を遂行する際に行う処理には適用されません)
事前の同意を得ることは、企業がEU市民の個人データを合法的に処理するための最も重要な前提条件です。たとえば、GDPRのコンプライアンスに直面した場合、Facebookはデータ最小化の原則を遵守するのではなく、同意を得るように努める必要があります。
同意の取得は、証明可能であり、他の事項と明確に区別され、取り消し可能である必要があります。重要なのは、機密データを処理するには、明確な同意を得る必要があるということです。曖昧または「包括的な同意」は無効と見なされます。企業は、データ主体が個人データの処理に同意するかどうかを選択できるように、わかりやすい言葉で表現する必要があります。したがって、少なくとも理論的には、不明確で専門用語に満ちた長期的な同意の要求は存在しなくなります。
さらに、沈黙、事前にチェックを入れること、または非積極的な行為は、有効な同意を構成しません。ユーザーがチェックを入れるか、電話で同意する必要がある場合、これは明確な選択に該当します。
16歳未満の未成年者は、合法的な同意権を持っていませんが、EU加盟国はこの年齢制限を13歳まで緩和することができます。
(二)個人データの越境伝送
1、EU内部での移転
EU内部で個人データを転送する場合、GDPRはGDPRの直接的な適用性に対して他の要件を課しません。ただし、管理者が処理者を雇用する場合、データ管理者とデータ処理者の関係は契約によって管理する必要があり、これらの状況下でGDPRが規定する最低基準を遵守する必要があります。処理者と処理者の間の契約(GDPR第28条)は、処理の主題と期間、処理の性質と目的、個人データの種類とデータ主体のカテゴリ、および管理者の義務と権利を規定しています。
2、EU圏外へのデータ転送:GDPRのステップに従う
EU圏外へのデータ転送に関して、GDPRはこのような転送が可能な特定の状況を想定しています。特に、EU圏外の個人データの転送を行う組織は、以下を確認する必要があります。
欧州委員会が十分性認定を行っているかどうか。行っていない場合は、契約上の合意を通じて追加の保証を提供する必要があります。
(1)欧州委員会は、EU圏外の国/地域のデータ保護レベルに関する決定(例:EU-米国プライバシーシールド)を公表することができます。これらの決定は、第三国がEUと同等の適切なデータ保護法による保護を有しているかどうかの包括的な評価に基づいています。十分性認定の結果として、EU(およびノルウェー、リヒテンシュタイン、アイスランド)からその第三国へのデータ転送に対する障害は、それ以上のデータ保護要件なしに解消されます。
(2)転送は適切な保護措置に従う必要があります
第三国が十分性認定の範囲に含まれていない場合、EUの組織は以下の代替手段のいずれかを検討する必要があります。
1) 標準契約条項 。 欧州委員会は、EUの管理者が個人データをEU圏外の管理者または処理者に転送する際に、十分なデータ保護を提供できるように、標準契約条項を採用することもできます。これまで、欧州委員会は2組の標準契約条項を発行しています。1つはEUの管理者からEU圏外またはEEAの管理者へのデータ転送、もう1つはEUの管理者からEU圏外またはEEAの処理者へのデータ転送です。データ保護機関もモデル条項を採用できます。ただし、これらの条項は委員会の承認を得る必要があります。最後に、国境を越えた転送は、データ輸出者とデータ輸入者の間で合意された一時的な契約条項に基づいて行うこともできます。これらの条項は、管轄のDPAの承認を得る必要があります。
**2)拘束的企業規則(BCR)。**個人データがある企業エンティティから別の企業エンティティに(地域に関係なく)転送される場合、データの転送は拘束的企業規則(BRC)に基づいて行われます。拘束的企業規則は、管轄の規制当局によって承認された法的拘束力のある規則であり、共同経済活動に従事する企業グループまたは企業グループのメンバーおよびその従業員(EU圏外に所在する企業を含む)内の個人データの転送および処理を規制します。拘束的企業規則の利点は、標準契約条項と比較して、データ保護機関の承認を得ると、地域に関係なく、将来のすべてのグループ内転送を他の要件なしに行うことができることです。
追加の保護措置上記の選択肢に加えて、GDPRはデータ転送のために、承認された認証メカニズムと承認された行動規範という2つの代替的な十分性ツールを導入しました。どちらのメカニズムも、データ輸入者がデータ保護のために適切な保護措置を適用するという拘束力のある強制可能な約束を行うことを条件に、データ転送を許可します。
(3) データ転送の免除
多くの場合、上記の転送メカニズムなしで個人データ転送を行うことができます。これらの状況は限られており、以下が含まれます。
1)データ主体が明示的に同意した場合。
2)転送が契約の締結または履行に必要な場合。
3)公共の利益のための重要な理由がある場合。
4)法的請求を確立、行使、または弁護する必要がある場合。
5)データ主体または他の者の重大な利益のために必要な場合。
6)公共登録データに関わる場合。
さらに、GDPRは、限られた数のデータ主体に関わる非反復的な移転、すなわち減損について、新たな制限を導入しました。他の法的根拠がない場合、強制的なデータ輸出者の正当な利益を目的とし、データ主体の正当な利益、および輸出者が移転するデータに対して十分な保護を提供しない場合に、移転が許可されます。この場合、輸出者は、移転に関する状況を関連するデータ保護機関およびデータ主体に通知する必要があります。
