【海外識者シリーズ】杉本武重氏(全6回)
第3回:新しい一般データ保護規則概説(3) - 個人データ処理の要件および個人データのセキュリティ
バックナンバー
2016/11/25
IT担当者が取り組むべき「個人情報保護とデータローカライゼーション」対策セミナー
~世界の法規制・セキュリティ脅威の動向と、その対策を徹底解説~
GDPRは、企業に対して個人データ処理に関する様々な義務を課しています。今回は、そのうちの一部である適法な個人データ処理の要件および個人データのセキュリティについて解説します。
適法な個人データ処理の要件
個人データを処理するにあたり、管理者は以下の6つの原則を遵守する義務を負っています。これに加え、管理者はその遵守を証明できなければなりません(説明責任の原則)。
| No | 原則 | 内容(GDPR第5条第1項) |
|---|---|---|
|
1 |
適法性、公平性および透明性の原則 |
個人データは、適法、公平かつ透明性のある手段で処理されなければならない。 |
|
2 |
目的の限定の原則 |
個人データは、特定された、明確かつ適法な目的のために収集されるものでなければならず、これらと相容れない方法で更なる処理を行ってはならない。 |
|
3 |
データの最小化の原則 |
処理を行なう目的の必要性に照らして、個人データが適切かつ関連性があり、最小限に限られていなければならない。 |
|
4 |
正確性の原則 |
個人データは、正確であり、必要な場合には最新に保たれなければならない。不正確な個人データが遅滞なく消去または訂正されることを担保するため、あらゆる合理的な手段が講じられなければならない。 |
|
5 |
保管の制限の原則 |
個人データは、当該個人データの処理の目的に必要な範囲を超えて、データ主体の識別が可能な状態で保管してはならない。 |
|
6 |
完全性および機密性の原則 |
個人データは、当該個人データの適切なセキュリティを確保する方法で処理されなければならない。当該方法は、無権限のまたは違法な処理に対する保護、および偶発的な滅失、破壊、または損壊に対する保護も含むものとし、個人データの適切なセキュリティが確保される形で処理されなければならない。 |
また、管理者/処理者は、GDPR第6条第1項によって提供された以下の項目のいずれかの条件に該当しない場合、個人データの処理を適法に行うことができません。
| 適法な処理の要件(GDPR第6条第1項) | |
|---|---|
|
a |
データ主体が、一つまたは複数の特定目的のために自己の個人データの処理に同意した場合。 |
|
b |
データ主体が当事者となっている契約の履行のために処理が必要な場合、または契約の締結前のデータ主体の求めに応じて手続を行うために取扱いが必要な場合。 |
|
c |
管理者が従うべき法的義務を遵守するために処理が必要な場合。 |
|
d |
データ主体または他の自然人の重大な利益を保護するために処理が必要な場合。 |
|
e |
公共の利益または管理者に与えられた公的権限の行使のために行われる業務の遂行において処理が必要な場合。 |
|
f |
管理者または第三者によって追求される正当な利益のために処理が必要な場合。ただし、データ主体の、特に子どもがデータ主体である場合の個人データの保護を求める基本的権利および自由が、当該利益に優先する場合を除く。 |
これらの項目のうち、実務上、特に重要なものは、aの個人データ処理に関してデータ主体が同意した場合といえるでしょう。「データ主体の同意」とは、「自由に与えられた、特定的で、情報提供を受けたうえで、かつ曖昧でないデータ主体の意思表示」であることを意味します。その意思は、当該データ主体が、宣言または明らかな積極的行為によって、自己に係る個人データの処理に合意して表すものとされています。
同意を取得する際には、上記の「データ主体の同意」に該当するかどうか、特に、以下の同意の条件を満たしているかのチェックが重要です。GDPR違反を含んだあらゆる宣言は拘束力がないものとされているためです。データ主体が意思表示をしない、あらかじめチェックマークが記入されているボックスを利用する、同意取得が不作為であった場合には、同意をしたものとみなすことはできません。
・IIJ GDPR対策ソリューション
・IIJ DPOアウトソーシングサービス
・IIJコンプライアンスプラットフォーム for GDPR
杉本 武重
バード・アンド・バード法律事務所 ブリュッセルオフィス パートナー弁護士
2004年3月、慶應義塾大学法学部法律学科卒業、司法修習(59期)を経て、2006年10月に長島・大野・常松法律事務所へ入所。2012年6月にシカゴ大学ロースクール法学修士課程を卒業(LL.M)、その後2013年7月オックスフォード大学法学部法学修士課程を卒業(Magister Juris)。 2013年8月ウィルマーヘイル法律事務所ブリュッセルオフィス・シニアアソシエイト。
その後、ギブソン・ダン・クラッチャー法律事務所を経て、2018年にバード・アンド・バード法律事務所ブリュッセルオフィスにてパートナー弁護士に就任。
主な専門分野は、EUカルテル規制・EU企業結合規制を含むEU競争法全般、EUデータ保護法及びEUサーバーセキュリティ、腐敗行為防止コンプライアンス。
特に、日本企業のEUの一般データ保護規則のコンプライアンス対応、個人データの越境移転について数多くの助言を行っており、EUデータ保護法やEUカルテル法に関する講演も数多く行っている。
