対応を迫られるGDPR

「同意」「データ保護責任者」「事故発生時の報告義務」とは何か--対応を迫られるGDPR(3)

大場 敏行 (デロイト トーマツ サイバーセキュリティ先端研究所) 2017年08月03日 07時00分

  • このエントリーをはてなブックマークに追加

 前回は、EUの一般データ保護規則(GDPR)のさまざまな要件の中で、域外移転に関する制約と移転のための対応について述べました。今回は残りの要件のうち、業界や業種を問わず重要な要件と考えられる、「同意の取得」「データ保護責任者の任命」「インシデント発生時の報告義務」について概説します。

同意の取得

 GDPRにおいて、個人データの処理がそもそも「適法」であるためには、

  • データ主体が、特定の目的のために自身の個人データが処理されることに同意している
  • 個人データの処理が管理者などにとっての正当な利益のために必要である
  • データ主体が当事者となる契約を履行する場合、またはデータ主体の要請による場合、もしくは管理者が負う法的義務を遵守する

 といったことなどが前提です。

 これらのうち、1つ目の「同意」については、さらに次のことが求められています。

 自由に与えられた、個別の、情報にもとづく、明確なデータ主体の意思表示によって、データ主体が発言または肯定的アクションによって合意を示すこと

 そしてこの同意に関しては、下表のような規定も見られます。

図表1 同意に関する要件(一部)

情報にもとづく同意 管理者の身元や個人データが処理される目的といった情報について、データ主体が知らされている
自由に与えられる同意 実質的に選択の自由がなく不利益を被ることなしにその撤回ができないようになっていてはいけない(選択に自由があり、いつでも不利益なく同意が撤回できるようになっている)
書面で得る同意 同意の依頼は、他の記載とは別に明確に識別される形で表記され、分かり易い言葉で明瞭かつ簡潔に書いていなければならない

 これらを踏まえると、例えば、同意にもとづきウェブにおいてデータ主体から個人データを取得する場合には、(1)管理者が誰でその連絡先はどこか、また個人データが処理される目的は何かなどが画面において明確に記載されていること、(2)同意ボタンの押下やチェックボックスのチェックなど、データ主体が明確に同意を示す手段があること、また同意を撤回する手段が提供されていること、さらに(3)同意をもとめる説明文が、他の記載と容易に区別され分かりやすく簡潔に書かれていること、などの対応を要することが考えられます。

 一方で、実際の業務においては、ウェブ以外にも対面で個人データを取得する場合なども想定され、場面に応じた同意の取り方について検討することが見込まれます。

 なお、GDPRの要件については、条文以外にEU側よりガイドラインが示されることなっています。2017年7月中旬時点でのガイドラインの発行は次の状況になっており、同意もそのテーマの1つになっています。

 今後の対応を検討する際には、これらのガイドラインも参照することが必要でしょう。

図表2 ガイドライン

テーマ 文書名
Right to Data Portability(データポータビリティの権利) Guidelines on the right to “data portability”(WP242)
Data Protection Officers(データ保護責任者) Guidelines on Data Protection Officers (WP243)
Lead Supervisory Authority(主たる監督機関) Guidelines for identifying a controller or processor’s lead supervisory authority(WP244)
Notion of high risk, and Data Protection Impact Assessment(リスクの高い処理、データ保護影響評価) Guidelines on DPIA(WP248) ※パブリックコメント版
Consent (同意) 公表予定
Profiling (プロファイリング) 公表予定
Transparency (透明性) 公表予定
Data transfers to third country(第三国へのデータ移転) 公表予定
Data breach Notification (侵害通知) 公表予定
Certification (認証) 公表予定

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算