前回は、EUの一般データ保護規則(GDPR)のさまざまな要件の中で、域外移転に関する制約と移転のための対応について述べました。今回は残りの要件のうち、業界や業種を問わず重要な要件と考えられる、「同意の取得」「データ保護責任者の任命」「インシデント発生時の報告義務」について概説します。
同意の取得
GDPRにおいて、個人データの処理がそもそも「適法」であるためには、
- データ主体が、特定の目的のために自身の個人データが処理されることに同意している
- 個人データの処理が管理者などにとっての正当な利益のために必要である
- データ主体が当事者となる契約を履行する場合、またはデータ主体の要請による場合、もしくは管理者が負う法的義務を遵守する
といったことなどが前提です。
これらのうち、1つ目の「同意」については、さらに次のことが求められています。
自由に与えられた、個別の、情報にもとづく、明確なデータ主体の意思表示によって、データ主体が発言または肯定的アクションによって合意を示すこと
そしてこの同意に関しては、下表のような規定も見られます。
図表1 同意に関する要件(一部)
| 情報にもとづく同意 | 管理者の身元や個人データが処理される目的といった情報について、データ主体が知らされている |
| 自由に与えられる同意 | 実質的に選択の自由がなく不利益を被ることなしにその撤回ができないようになっていてはいけない(選択に自由があり、いつでも不利益なく同意が撤回できるようになっている) |
| 書面で得る同意 | 同意の依頼は、他の記載とは別に明確に識別される形で表記され、分かり易い言葉で明瞭かつ簡潔に書いていなければならない |
これらを踏まえると、例えば、同意にもとづきウェブにおいてデータ主体から個人データを取得する場合には、(1)管理者が誰でその連絡先はどこか、また個人データが処理される目的は何かなどが画面において明確に記載されていること、(2)同意ボタンの押下やチェックボックスのチェックなど、データ主体が明確に同意を示す手段があること、また同意を撤回する手段が提供されていること、さらに(3)同意をもとめる説明文が、他の記載と容易に区別され分かりやすく簡潔に書かれていること、などの対応を要することが考えられます。
一方で、実際の業務においては、ウェブ以外にも対面で個人データを取得する場合なども想定され、場面に応じた同意の取り方について検討することが見込まれます。
なお、GDPRの要件については、条文以外にEU側よりガイドラインが示されることなっています。2017年7月中旬時点でのガイドラインの発行は次の状況になっており、同意もそのテーマの1つになっています。
今後の対応を検討する際には、これらのガイドラインも参照することが必要でしょう。
図表2 ガイドライン
| テーマ | 文書名 |
| Right to Data Portability(データポータビリティの権利) | Guidelines on the right to “data portability”(WP242) |
| Data Protection Officers(データ保護責任者) | Guidelines on Data Protection Officers (WP243) |
| Lead Supervisory Authority(主たる監督機関) | Guidelines for identifying a controller or processor’s lead supervisory authority(WP244) |
| Notion of high risk, and Data Protection Impact Assessment(リスクの高い処理、データ保護影響評価) | Guidelines on DPIA(WP248) ※パブリックコメント版 |
| Consent (同意) | 公表予定 |
| Profiling (プロファイリング) | 公表予定 |
| Transparency (透明性) | 公表予定 |
| Data transfers to third country(第三国へのデータ移転) | 公表予定 |
| Data breach Notification (侵害通知) | 公表予定 |
| Certification (認証) | 公表予定 |
