【海外識者シリーズ】杉本武重氏(全6回)
第5回:新しい一般データ保護規則概説(5)データ保護影響評価およびデータ保護監督当局との事前相談
バックナンバー
2018/01/10
IT担当者が取り組むべき「個人情報保護とデータローカライゼーション」対策セミナー
~世界の法規制・セキュリティ脅威の動向と、その対策を徹底解説~
データ保護影響評価(Data Protection Impact Assessment)(以下「DPIA」といいます。)とは、個人データの処理の前に実施される個人データ保護に関する影響評価を意味します。DPIAは、データ処理の内容を明確にし、個人データの処理に係るデータ主体へのリスクを管理するためのものですが、データ処理を行う企業の観点からは自社がデータ処理に関するリスクを適切に管理し、GDPRを遵守していることをデータ保護監督当局に対して説明するためのツールとして重要な意義があります。もっとも、DPIAは、常に義務付けられるものではなく、データ処理が個人の権利および自由に対して高度のリスクをもたらす可能性がある場合に管理者が行うことが義務付けられます(第35条第1項)。DPIAは、特に、新しいデータ処理技術が導入される場合に必要とされる可能性があるとされており、企業が個人データ処理に関する新しい技術を導入する際にはDPIAの要否を慎重に判断する必要があります。また、管理者が利用可能な技術および費用によってはデータ処理に関する高いリスクを軽減できない場合、管理者はデータ処理を行う前にデータ保護監督当局との相談(データ保護監督当局との事前相談)を行う必要があります。DPIAについては、第29条作業部会が2017年10月4日に改訂したガイドライン(2017年4月4日採択、2017年10月4日改訂および採択)(以下「DPIAガイドライン」といいます)があり、DPIAに関する具体的な実務対応に関する指針が示されています。以下では、DPIAガイドラインの内容を踏まえ、DPIAの実施に関する基本事項を概説します。
DPIAおよび監督当局との事前相談の要否
DPIAの実施については、個人データ処理の内容を踏まえて、DPIAの実施義務およびデータ保護監督当局との事前相談の有無を検討する必要があります。DPIAの実施義務およびデータ保護監督当局との事前相談の有無の検討プロセスをチャートで記載すると、以下のようになります(DPIAガイドライン参照)。すなわち、データ処理行為が高度のリスクをもたらす可能性がある場合、原則としてDPIAの実施義務がありますが(下記図表①)、例外的にDPIAが不要となる場合があります(下記図表②)。そして、DPIAを実施し(下記図表③)、依然として高度の残余リスクがあると判断される場合は、データ保護監督当局との事前相談を行う必要があります(下記図表④)。
DPIAの実施義務に関する要件
前述の通り、個人データの処理が自然人の権利および自由に対する高度のリスクをもたらす可能性がある場合にのみDPIAの実施が義務的となります。もっとも、ガイドラインでは、DPIAが必要か否かが明確ではない場合、DPIAを実施することが推奨されています。
GDPRは、第35条第3項において、処理が高度のリスクをもたらす可能性のあるいくつかの具体例を以下の通り規定しています。
- プロファイリングを含めた自動的な処理に基づいて自然人に関する個人的側面が体系的かつ広範囲に評価され、当該評価に基づいて自然人に関して法的効果を発生させまたは類似の重大な影響を及ぼす決定が行われること
- 第9条第1項で定める特別なカテゴリの個人データまたは第10条で定める有罪判決および犯罪に関する個人データを大規模に処理すること
- 一般の人々がアクセス可能な空間において大規模な体系的監視を行うこと
もっとも、上記の事由は例示列挙です。本来的に高いリスクを伴うためにDPIAが必要とされる、より具体的な一連の処理業務の内容を示すために、DPIAガイドラインでは以下の基準が考慮されるべきであるとされています。
①評価またはスコアリング
データ主体の職場での実績、経済的状況、健康、個人的嗜好又は関心、信頼性又は行動、居場所又は移動に関する側面から特に行われるプロファイリング及び予測が含まれます。例えば、信用照会データベースまたはマネーロンダリング、テロリストによる資金調達に対する対策もしくは詐欺行為に関するデータベースで消費者を審査する金融機関、病気・健康リスクを評価及び予測するために消費者に対して遺伝子テストを直接提供するバイオテクノロジー企業が挙げられます。
②法的効果または類似の重大な影響を伴う自動的な意思決定
例えば、処理が個人の排除又は差別を生じさせる可能性がある場合が個人に与える影響として問題となり、僅かな影響を及ぼす又は全く影響がない処理は、この基準には該当しません。
③体系的な監視
データ主体の観察、監視又は支配のために使用される処理であり、ネットワークまたは一般の人々がアクセス可能な空間に関する体系的な監視を通じて収集されたデータが含まれます。
④センシティブなデータまたは非常に個人的な性質を有するデータ
有罪判決又は犯罪に関連する個人データのみならず特別カテゴリの個人データ(例えば、人種または民族的素性に関するデータ、個人の政治的意見に関するデータ、医療データ等)が含まれます。また、家庭および私的な活動に関連する個人データも含まれます(例えば、個人的な文書、電子メール、日記、メモ帳機能を有する電子書籍リーダーにおけるメモ、ライフログのためのアプリケーションに含まれる非常に個人的な情報等が含まれます)。
⑤大規模なデータ処理
大規模であるか否かに関する明確な定義はありませんが、関係するデータ主体の数、処理されるデータの量・範囲、データ処理活動の期間、処理活動の地理的範囲等によって判断されます。
⑥データのセットのマッチングまたは結合
例えば、データ主体の合理的な期待を超える方法において、異なる目的及び/又は異なるデータ処理者によって行われる2つ又はそれ以上のデータ処理業務に起因するものが挙げられます。
⑦脆弱なデータ主体に関するデータ
個人が自己のデータの処理に対して同意又は異議を述べることができない可能性があるという意味において、データ主体及びデータ処理者の間において力関係の不均衡が存在する場合が想定されています(例えば、子供や従業員)。また、例えば、老人、患者等のような人間社会におけるより脆弱なセグメントのデータ主体も該当する可能性があります。
⑧新しい技術的若しくは組織的な解決方法の革新的な利用または適用
例えば、アクセス制御のための指紋及び顔認証を組み合わせて使用すること、いわゆるInternet of Thingsに係る技術の適用が挙げられます。
⑨処理自体がデータ主体が権利を行使しまたはサービスを利用し若しくは契約を行うことを妨げること
例えば、消費者に対して融資を行うか否かを決定するために信用照会データベースにより消費者を審査する銀行が挙げられます。
個別の事案によって異なりますが、多くの場合は、上記のうち少なくとも2つの基準を満たす処理業務はDPIAが必要となるとされています。第29条作業部会は、管理者が行うことを想定する対策にかかわらず、処理がより多くの基準に該当すればするほど、データ主体の権利および自由に対する高度のリスクを生じさせる可能性が高くなり、DPIAが必要となると考えています。場合によっては、管理者は、上記の基準の一つのみを満たす処理に関してDPIAが必要になると判断すべき状況もあり得ます。上記の基準に基づくDPIAの要否について、DPIAに関するガイドラインは、以下のような具体例を示しています。
| 処理の具体例 | 関連する可能性のある基準 | DPIAは必要か? | 患者の遺伝子および健康データを処理する病院(病院の情報システム) |
|
必要 |
|---|---|---|
| 高速道路上の運転行動を監視するためのカメラシステムの使用。管理者は、情報処理機能のあるビデオ分析システムを車の特定および車のナンバープレートの自動識別を行うために使用することを想定している。 |
|
|
| 従業員のオフィス、インターネット上の操作等を含む従業員の活動の体系的な監視を行う企業 |
|
|
| プロフィールを作成するための公のソーシャルメディアのデータの収集 |
|
|
| 国レベルで与信評価または詐欺行為に関するデータベースを作成する機関 |
|
|
| 研究プロジェクトまたは臨床治験における脆弱なデータ主体に関する仮名化されたセンシティブな個人データのアーカイブ目的での保存 |
|
|
| 医師、その他の医療専門家または弁護士による患者または依頼者から提供を受けた個人データの処理(GDPR前文91項) |
|
必要ない |
| 購読者に対して一般的な日々のダイジェスト版を送付するためにメーリングリストを使用するオンライン雑誌 |
|
|
| ウェブサイトの特定の場所において閲覧または購入された商品に基づく限定的なプロファイリングを伴う古い型の自動車部品のための宣伝を表示するeコマースのウェブサイト |
|
他方で、上述のケースに該当する処理について「高度のリスクが生じる可能性」はないと管理者が判断することがあり得ますが、その場合、当該管理者はDPIAを実施しない理由を説明し、書面化する必要があり、また文書においてデータ保護責任者の見解を記載し、記録する必要があります。
また、説明責任の原則の一側面として、データ管理者は、DPIAを実施しないとの判断を最終的に行ったとしても、処理の目的、データのカテゴリおよびデータの受領者に関する記載、および可能な場合には、第32条第1項で規定される技術的および組織的な安全対策に関する一般的な記載を含め、その責任において処理活動に関する記録を維持しなければならず(第30条第1項)、かつ高度のリスクが生じる可能性があるか否かを評価しなければなりません。
また、データ保護監督当局は、DPIAが必要な処理業務のリストを作成し、欧州データ保護会議(European Data Protection Board: EDPB)に通知し、EDPBは加盟国間のルールの調整を実施することになります。管理者は、今後どのような内容の業務リストがデータ保護監督当局によって作成されるかについても注意しておく必要があります。
DPIAの実施義務に関する例外
個人データの処理が高いリスクをもたらす可能性がある場合においても、以下のいずれかの場合にはDPIAは例外的に不要となります。
- EU法または加盟国法において処理業務が法的根拠を有し、当該法が特定の処理を規制し、かつDPIAが当該法的根拠を確立するための一部として既に実施された場合(第35条第10項)(ただし、加盟国法が処理活動を行う前にDPIAの実施が必要であると規定する場合を除きます)、または
- DPIAが必要とされない処理業務に関するデータ保護監督当局による業務リストに含まれる場合(第35条第5項)。
データ保護監督当局は、DPIAが不要な処理業務の種類のリストを作成して、EDPBに通知し(第35条第5項)、欧州データ保護理事会は加盟国間のルールの調整を行うため、当該リストの内容についても注意しておく必要があります。
・IIJ GDPR対策ソリューション
・IIJ DPOアウトソーシングサービス
・IIJコンプライアンスプラットフォーム for GDPR
杉本 武重
バード・アンド・バード法律事務所 ブリュッセルオフィス パートナー弁護士
2004年3月、慶應義塾大学法学部法律学科卒業、司法修習(59期)を経て、2006年10月に長島・大野・常松法律事務所へ入所。2012年6月にシカゴ大学ロースクール法学修士課程を卒業(LL.M)、その後2013年7月オックスフォード大学法学部法学修士課程を卒業(Magister Juris)。 2013年8月ウィルマーヘイル法律事務所ブリュッセルオフィス・シニアアソシエイト。
その後、ギブソン・ダン・クラッチャー法律事務所を経て、2018年にバード・アンド・バード法律事務所ブリュッセルオフィスにてパートナー弁護士に就任。
主な専門分野は、EUカルテル規制・EU企業結合規制を含むEU競争法全般、EUデータ保護法及びEUサーバーセキュリティ、腐敗行為防止コンプライアンス。
特に、日本企業のEUの一般データ保護規則のコンプライアンス対応、個人データの越境移転について数多くの助言を行っており、EUデータ保護法やEUカルテル法に関する講演も数多く行っている。
