今回は前回に続き、GDPR第5条に定める「個人データ処理に関する基本原則」 (以下の通り)の内、④以下を解説します。
① 適法性、公正性および透明性
② 目的のかつ目的による制限
③ データ最小化 (以上前回解説)
④ 正確性
⑤ 保存期間の制限
⑥ 完全性および秘密性
⑦ 説明・証明責任
【目 次】 (各箇所をクリックすると該当箇所にジャンプします) |
Q1: 「正確性」とは?
A1: 「正確性」 (accuracy)とは、以下のことを意味します。 ①個人データは、正確で (accurate)、かつ、必要に応じ、最新の状態に維持され (where necessary, kept up to date)なければならない (5 (1) (d)前半。番号は条文番号。以下同じ)こと。 ②不正確な (inaccurate)個人データについては、その処理目的を考慮しまたは処理目的に応じ (having regard to)、遅滞なく (without delay)消去または訂正するよう全ての合理的な措置が講じられなければならない (5 (1) (d)後半)こと。 【正確性の意味】GDPR上、「正確性」の定義はありませんが、英国の「2018年データ保護法」 (Data Protection Act 2018)[1] (GDPRを補完する国内法)では「不正確な」 (inaccurate)についての定義があり、事実に関し「誤りまたは誤解を生じさせ得る (incorrect or misleading)」こととされています (205 (1))。従って、「正確性」とは、その個人データが事実に関し誤りまたは誤解を生じさせるものではないことを意味すると思われます。 【データ最新化・訂正等に関する義務】上記の通り、正確性の原則においては、管理者に次の二つのことを義務付けています。 (i) 個人データを「必要に応じ」最新の状態に維持すること。 (ii) 不正確な個人データを遅滞なく消去・訂正するために「合理的措置」を講じること。 従って、絶対的正確性が要求されているわけではありません。GDPRの法目的は、個人データの処理に関する個人の保護 (1 (1))だからです。従って、上記の「必要に応じ」および「合理的 (措置)」は、個人データが最新でないことまたは不正確なことによってデータ主体に不利益を与えることがないようにする(逆に言えば不利益を与えない場合にまで時間・コストをかけて最新化・訂正する必要はない)ことと理解してよいと思われます。 この点、ICOのサイト[2]では、正確性・最新性の原則は、例えば、過去に1回しか注文を受けたことがない顧客の住所を定期的にチェックして最新化するようなことまで要求するものではないとしています。 また、同じサイトでは、上記の「合理的措置」はそれぞれの個人データの内容・目的により異なり、正確性が重要な個人データであればある程ほどその正確性を確保するための努力が要求されるとしています。 なお、GDPR上、データ主体には、個人データの訂正 (16)および消去 (17)の請求権が与えられています。Q2: 「保存期間の制限」とは?
A2:「保存期間の制限」 (storage limitation)とは、個人データは、データ主体が識別・特定できる (permits identification)形では、処理目的達成に必要な期間を超えて保存してはならない (5 (1) (e)前半)ことを意味します。 但し、次のいずれかの目的に必要な限度で、データ最小化・仮名化・匿名化等 (89 (1))の適切な技術的・組織的措置を講じることを条件として、上記期間より長期に保存することができる (5 (1) (e)後半)とされています。 -公益的アーカイブ目的 -科学・歴史研究目的または統計目的 なお、GDPR前文によれば、この原則は、前回 (第19回)のQ4で解説した「データ最小化」の原則から要求されるものである (前文39)とされています。「保存期間の制限」は、データ最小化の原則と同様、不要な個人データを有することによるリスクを低減するための原則であり、保存期間に関するデータ最小化と言うことができます。 なお、データ主体のアクセス権の一部である自己の個人データのコピー請求権 (15 (3))との関係でも、その権利行使に備えるために個人データを保存しておく義務はありません。Q3: 「完全性および秘密性」とは?
A3:「完全性および秘密性」 (integrity and confidentiality)とは、個人データは、無権限の (unauthorised)もしくは違法な (unlawful)処理および事故による (accidental) 紛失・滅失 (loss)もしくはき損 (damage) からの保護を含め、適切な技術的または組織的措置 (appropriate technical or organisational measures)が講じられ、セキュリティーが適切に確保される方法で処理されなければならない (5 (1) (f))ことを意味します。 要するに、情報システム等のセキュリティーをしっかり行い個人データの漏えい等を防止しなければならないということです。具体的には、GDPR 32条 (処理のセキュリティー)に規定されており、後の回で解説します。 なお、「完全性」 (integrity)とは、一般にはあまりなじみのない用語ですが、データ一般について「完全性」 (integrity)と言う場合、通常、外部からの攻撃、装置の障害、ソフトウェアのバグ等によりデータが破壊・改ざん・ランサムウェア (身代金ウイルス)による暗号化等されることがないことを意味します。GDPR上もそのように解してよいと思われます。Q4: 「説明・証明責任」とは?
A4:「説明・証明責任」 (accountability)とは、管理者は、GDPR第5条第1項に定める個人データ処理の基本原則の遵守を説明・証明する (demonstrate)責任を負う (accountability) (5 (2))ことを意味します。 なお、GDPR第24条でも、管理者は、処理がGDPRに従いなされかつそれを説明・証明 (demonstrate)できるようにしなければならないと規定され、より包括的に説明・証明責任が課されています。 また、GDPR第30条には個人データ処理の記録義務が規定されていますが、これも、この「説明・証明責任」を果たすための前提であるということもできます。なお、この記録は、監督機関の要求があれば提出しなければなりません (30 (4))。 従って、管理者・処理者は、監督機関による調査があった場合を含め、いつでも、自己のGDPR遵守を処理の記録により説明・証明できなければなりません。 【GDPRにおける管理者等の説明・証明責任と記録義務】GDPRの特徴の一つは、管理者等の徹底した説明・証明責任と記録義務です。以下はこれに関係する主な項目です。 -管理者等の個人データの処理に関する基本原則 (適法性等)の遵守を証明する義務 (5 (2))。 -管理者のデータ主体の同意取得の証明責任 (7 (1))。 -管理者のリスクに応じた処理および措置の証明責任 (24 (1)))。 -処理者の管理者に対する義務遵守の証明責任 (28 (3) (h)) -管理者等の処理業務の記録義務 (30) -データ主体の本人確認ができないことの証明責任 (12 (2)) -データ主体の処理禁止権 (Right to object) (*)の行使に対しこれを拒絶する場合の拒絶理由証明責任 (21 (1)第二文)(*)「異議申立権」と訳されることが多い。しかし、その法的効果から本Q&Aでは「処理禁止権」と訳します。
-管理者等の義務遵守の証明のための行動規範 (40)またはデータ保護認証制度 (42)の利用 (25 (3), 28 (5))。 [3] 今回はここまでです。「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー
【著者GDPR・Cookie規制関連本】
「GDPR関連資格CIPP/E準拠 詳説GDPR (上) - GDPRとCookie規制」 2019年11月
「GDPR関連資格CIPP/E準拠 詳説GDPR (下) - GDPRとCookie規制」 2019年11月
【著者の最近のプライバシー関連著作】
NEW!! 『中国の国家安全保障と「中国サイバーキュリティー法」の執行規定 ~「公安機関インターネットセキュリティー監督検査規定」の概要~』 企業法務ナビ, 2020/09/24
「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月
「カリフォルニア州消費者プライバシー法 (CCPA)の論点-「事業者」概念と域外適用-」 『国際商事法務』 2020年8月号
「プライバシーシールド (米国への十分性認定)無効判決の概要と影響 ~ EU司法裁判所Schrems II事件判決 ~」 企業法務ナビ, 2020/07/31 「カリフォルニア州消費者プライバシー法 (CCPA)の論点- 「個人情報」の概念 -」 『国際商事法務』 2020年6月号 「カリフォルニア州消費者プライバシー法 (CCPA)の論点 - 個人情報の「販売」とCookie・オンライン広告規制 -」 『国際商事法務』 2020年4月号 「個人情報保護法改正案の概要と企業実務への影響」 企業法務ナビ 「EUにおけるCookie規制 (ePrivacy指令)」『国際商事法務』 2020年2月号 [1] 【注】 [1] 【英国Data Protection Act】 Data Protection Act 2018 [2] 【正確性に関するICOの説明】 "Principle (d): Accuracy" [3] (参考)【データ保護指令との比較】データ保護指令では、管理者に、原則として、監督機関への処理の事前通知 ("Notification")義務を課し (18, 19)、監督機関が、その処理がデータ主体の権利・自由にリスクを生じさせる可能性を事前検査 (prior checking)し、必要な場合には、その処理の禁止等を命ずることができる (28 (3))ものとしていた。 しかし、このような全般的な通知義務は、企業に管理的・資金的負担を生じさせる一方、必ずしも個人データ保護の向上に寄与しなかった。 そこで、このような通知義務は廃止し、これに代えて、個人の権利・自由に対し高いリスクを生じさせる処理に焦点を絞った制度に置き換えなければならないと認識されるようになった (前文89)。 そこで、GDPRでは、上記のような説明・証明責任と記録義務、更には次のような義務を課すことにより、GDPRの遵守を確保しようとしている。 -データ侵害通知義務 (33, 34) -データ保護影響評価 (35) -データ保護監督者 (DPO)選任義務 (37) [1]==========
【免責条項】
本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。 (*) このシリーズでは、読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)
【筆者プロフィール】 浅井 敏雄 (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)【発表論文・書籍一覧】 |