一般データ保護規則 (EU 2016/679) は、既存のデータ保護体制に新しい要素と大幅な強化を加えて、2018 年 5 月 25 日に発効しました。
2018年5月23日に発効した2018年データ保護法(DPA)はGDPRを施行し、同時に、GDPRだけではカバーされていなかったセキュリティサービスや政府機関などの分野にGDPRを拡大するための英国法の条項も追加しました。
英国の EU 離脱後(2021 年 1 月 1 日以降の EU 離脱移行期間の終了後)、英国 GDPR は、2018 年の欧州連合(離脱)措置の第 3 条に基づき、また 2020 年のデータ保護、プライバシー、電子通信(改正等)(EU 離脱)規則によって改正された EU 規則の保持バージョンとなります。
英国GDPRは英国市民のデータに関する権利を保護し、EU GDPRはEU市民の権利を保護します。英国市民とEU市民の両方のデータを扱う組織には、両方のGDPRが適用されます。
EU GDPR の原則と要件は、英国の Brexit 後のバージョンでも引き続き適用されます。ここでは、主要な適用範囲といくつかの定義について説明します。
コントローラーとプロセッサー
GDPRは、データの管理者と処理者の両方に適用されます。管理者は、個人データの処理方法と理由を規定します。処理者は、管理者に代わってデータを処理します。あなたの組織は、データ処理者、データ管理者、あるいはその両方に該当する場合があります。
管理者と処理者の両方に特定の法的義務があります。
- 管理者は、処理者との契約がGDPRに準拠していることを具体的に確認する必要がある。
- 管理者と処理者には、個人データと処理活動の記録を保持するための別個の、しかし明確な要件がある。
- プロセッサは、セキュリティ侵害に対して法的責任と賠償責任も負います。
文書化要件の詳細については、関連ファクトシート「データ セキュリティ - 一般データ保護規則 - コンプライアンスの確保」をご覧ください。
データ保護の原則
個人データは次のとおりとします。
- 合法的に、公正かつ透明に処理される
- 特定の、明示的かつ正当な目的のために収集される
- 適切、関連性があり、目的に必要な範囲に限定されている
- 正確かつ最新の状態に保たれている必要があります。不正確なデータは削除または修正する必要があります。
- 識別可能な形式で必要以上に長く保存されない
- 安全に処理され、不正または違法な処理、偶発的な損失、破壊、損傷から保護されます。
GDPRにおける個人の権利
情報を受ける権利
個人は、自身の個人データがどのように処理されるかを知る権利を有します。GDPRは、管理者、データの出所、データの受信者、EU域外へのデータ転送、データの保存期間などの詳細を含むプライバシー通知を通じて、処理の透明性を促進しています。
アクセス権(本人アクセス要求)
個人には、自分のデータが処理されていることの確認、自分の個人データへのアクセス、およびプライバシー通知で提供されるようなその他の情報を取得する権利があります。
個人情報へのアクセス要求に対応するために許される最長期間は 30 日間であり、要求が根拠のない、過剰の、または繰り返しのものである場合を除き、個人情報へのアクセス料金を請求する権利は削除されました。
訂正権
個人は、不正確または不完全な個人データを訂正する権利を有します。これには、第三者に共有または提供される個人データも含まれます。
消去権
個人は、個人データの処理を継続する正当な理由がない場合、個人データの削除または消去を要求する権利を有します。繰り返しますが、これには第三者に共有または提供される個人データも含まれます。
リクエストが子供に関連する場合は、追加の要件があることに注意することが重要です。
消去権には、法的義務を遵守するためにデータが保持される場合など、いくつかの例外があります。
処理を制限する権利
個人は個人データの処理を制限する権利を有します。この場合、個人データは保存されますが、処理されることはありません。
データポータビリティの権利
個人は、様々なサービス間で個人データを取得し、再利用する権利を有します。これにより、個人データの移動、コピー、または移転が可能になります。個人データは、構造化された機械可読形式(.csvなど)で提供されなければなりません。
異議申し立ての権利
個人は個人データの処理に異議を申し立てる権利を有します。処理に「やむを得ない」正当な理由がある場合、または処理が法的請求の確立、行使、もしくは防御を目的とする場合を除き、処理は直ちに停止されなければなりません。
自動化された意思決定およびプロファイリングに関する権利
個人には、人間の介入なしに有害な決定が下されるリスクから保護するための安全策が講じられていることを確保する権利があります。これは、プロファイリング目的で使用される個人データの保護にも当てはまります。
説明責任とガバナンス
説明責任の原則では、コンプライアンスを文書化するための適切なガバナンス措置を講じることが求められます。したがって、組織は以下のことを行う必要があります。
- データ保護の原則を満たす対策を実施する
- 個人データの保管および処理に関するポリシーと手順を文書化する
- コンプライアンスを確保し、実証するための技術的および組織的措置を実施する。
- 必要に応じてデータ保護責任者を任命する。
詳細については、関連するファクトシート「データ セキュリティ - データ保護コンプライアンスの確保」をご覧ください。
処理の合法性
個人情報処理の法的根拠を理解し、文書化することが重要です。法的根拠には以下の6つがあります。
- 同意
- 契約上の義務
- 法的義務
- 重要な利益
- 公共の利益
- 正当な利益。
同意については、具体的かつ明確で、かつ自由意志に基づいて与えられなければなりません。オンラインの「配信停止」ボックスをクリックしなかったり、事前にチェックを入れたボックスを使用したりといった、何も行動を起こさなかったりするだけでは、積極的な同意とみなされることはありません。企業は、同意を得るために使用された日時、方法、そして実際の文言を確実に記録する必要があります。そのため、企業がこれらの情報を記録し、文書化する手段を確保することが重要です。
正当な利益に基づき、個人データを処理する権限が付与されますが、その処理は当該個人データが期待する範囲内に限られます。正当な利益を根拠とする場合、以下の事項を確実に実施する責任を負うことになります。
- 正当な利益を主張する根拠がある
- データの処理はその利益に限定されており、証明できる
- 個人の権利はバランスをとるプロセスで考慮されてきた
- 個人には、プライバシー ポリシーの正当な利益が通知されます。
違反の通知
個人データの漏洩とは、個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスを指します。
英国の規制当局であるICOは、違反の重大性と報告の必要性を判断するのに役立つオンライン自己評価ツールを提供しています。違反によっては、72時間以内に関係監督当局に報告する必要があります。違反が発見されたら、速やかに評価を実施することが不可欠です。
データの転送
2021年6月28日、EU委員会は英国に関する十分性認定を採択しました。これにより、英国とEU・EEA間では、追加の安全対策を必要とせずに、ほとんどのデータが引き続き流通できるようになります。(ただし、入国管理を目的としたデータは例外です。)
データを「第三国」に移転する場合、標準契約条項や拘束的企業準則といった追加の安全策が適用される場合があります。下記の最初のリンクは英国の規制当局であるICOのものです。2番目のリンクは欧州委員会のものです。
情報源とリンク
ICO組織向けホームページ
EU GDPR ポータル – www.gdpreu.org
