EU のプライバシー法の概要
学習の目的
この単元を完了すると、次のことができるようになります。
- 一般データ保護規則 (GDPR) の基本を説明する。
- プライバシー関連の主要な用語を定義する。
- GDPR で EU のプライバシー法がどう変わるかを説明する。
基本的権利としてのプライバシー
過去数十年間、欧州はプライバシーおよびデータ保護の問題に関する Trailblazer でした。現在、欧州連合 (EU) は一般データ保護規則 (GDPR) という包括的なプライバシー法の可決により再び新境地を切り開いています。ビジネスで EU 居住者に関する個人情報を収集、保存、または使用している場合、GDPR はビジネスプロセスに大規模な影響を与える可能性があります。
第二次世界大戦後、プライバシーに対する基本的権利への信念は、欧州文化に深く根付いています。その信念を取り込んだ世界初の重要なプライバシー法の 1 つが、1995 年に採択された EU のデータ保護指令です。この指令では、企業と政府機関に、処理する個人データに関する透明性があること、そのデータの使用に正当な理由があること、データの処理に注意を払うことが要求されます。
1995 年当時、この指令はテクノロジーに適していましたが、その後のテクノロジーの急速な変化によって更新の必要性が出てきました。EU 議会は、収集されるデータの量が増え続ける世界でプライバシー法が適切であり続けられるように GDPR を可決しました。さらに、EU 全域に同じ法律が適用され、加盟国間で大きな違いが出ないようにする必要がありました。2018 年 5 月 25 日に施行された GDPR では、個人に付与されるプライバシー権が大幅に拡張されました。また、個人情報を処理する組織には多くの義務が課せられました。
主な用語
GDPR の詳細に入る前に、いくつか基本的な定義を確認しましょう。
用語 |
定義 |
例 |
|---|---|---|
データ主体 |
氏名、識別番号、位置データ、オンライン ID (ユーザー名など)、あるいは物理的、遺伝的、またはその他のアイデンティティなどの情報によって直接的または間接的に識別可能な「自然人」。 |
Marie Dubois |
個人データ |
識別済みか識別可能なデータ主体に関連する情報。 |
女性。48 歳。電話番号: 33 (1) 7210940。住所: 99 Place de l'Étoile, 75008 Paris, France。帽子が好き。毎日ネットでルモンド紙を読む。 |
機微個人データ |
人種または民族的出自、政治的思想、宗教または哲学的信念、労働組合への加入、健康/性生活/性的指向に関する情報に関連する個人データ、遺伝データ、および生体認証データ。 |
共和国前進党の党員。★ カソリック。去年骨折した。指紋と硬膜スキャンのコピー。 |
処理中 |
個人データに対して、または個人データを使用して行われること。 |
個人データの収集、保管、移転、共有、変更、使用、または削除。 |
管理者 |
個人データの処理の目的と手段を決定する事業体または団体。 |
Grande Banque du Nord は、住宅購入のための住宅ローンを Marie に提供する金融機関です。住宅ローンに関する詳細情報を入手するために Marie が最初に Grande Banque の Web サイトに登録すると、Grande Banque は Marie が提供した個人データの管理者になります。 |
Processor |
管理者の指示に基づいて個人データを処理する事業体または団体。 |
Grande Banque が Marie のデータを Sales Cloud インスタンスにアップロードすると、Salesforce が Marie の個人データの処理者になります。 |
仮名化データ |
追加情報がないと特定のデータ主体に結び付けることができない個人データ。この追加情報は、個人データと結合されないようにする技術的手段を使用して別途保存されます。 |
Marie が Experience Cloud でホストされている Grande Banque Web サイトポータルにアクセスして住宅ローンプロセスについて詳細を調べると、システムは Marie の IP アドレスをハッシュ形式で記録し、Marie が表示しているページにリンクします。ハッシュ化された IP アドレスは、仮名化データとみなされます。これはハッシュ化された IP アドレスのみでは Marie は識別されないとはいえ、まだ Marie に関連する他の情報にリンクされる可能性があるためです。 |
匿名化データ |
識別された、または識別可能な個人に結び付けることができないデータ。 |
Grande Banque Web サイトでは訪問者にレビューを残すように依頼しています。このシステムではレビューアーから、IP アドレスを含む一切の情報を収集しません。レビュー自体は匿名化されているとみなすことができます。 |
GDPR の要件とは?
用語を定義できたので、GDPR の実際の内容について説明しましょう。簡単に言うと、GDPR は、企業、政府機関、およびその他の団体が EU 内のデータ主体の個人データを処理する方法のルールを定めています。これらのルールの多くは、すでに従来の EU 法の下で適用されていますが、厳格化されたルールや、負担が軽減されたルールもあります。ルールは EU の物理的境界を越え、EU 内に物理的に存在するかどうかに関係なく、EU 内の人々に商品またはサービスを提供したり、その行動を追跡したり (Cookie の使用によるものも含む) するすべての組織に適用されます。
GDPR での主要な変更点として次のようなものがあります。
データ処理の基本原則: 個人データを処理するには、組織にデータを処理するための合法的な基本原則が必要です。たとえば、データ主体との合意の履行を目的とすることや、データ主体の同意を得て行うことなどです。同意のみが合法的な基本原則である限り、その同意は自発的かつ具体的であり、通知され、明白でなければなりません。つまり、組織はデータ主体に、そのデータの処理を許可するかどうかを自分の意思で選択できるようにし、明確な表明または肯定的な行為によって同意する必要があります。データ主体がサービスの使用を目的として登録するとき、その個人データの処理に対する包括同意を要求することは、サービスの提供に必要な処理を超えた、自発的な同意には該当しない可能性があります。さらに、組織は有効な同意を取得したことを証明できなければなりません。
コンプライアンス義務: 従来の EU 法では、主にデータ管理者を直接規制していますが、GDPR では、データ処理者に多くのコンプライアンス義務が直接課せられます。これには、処理者は必ず管理者の指示に従ってデータを処理する、管理者の同意なく他のベンダーとデータ共有しない、適切なセキュリティ対策を実施する、などの要件が含まれます (次の単元で詳述)。さらに、この法律では他にも、適切なポリシーの実装、ビジネス手法の変更によるプライバシーへの影響の評価、データアクティビティに関する詳細な記録の保持のための複数のコンプライアンス義務が、データ管理者とデータ処理者の両方に課されます。
データ侵害の通知: データ管理者は、データ侵害がデータ主体に損害を及ぼす可能性がない場合を除き、すべてのデータ侵害を可能な限り速やかに、侵害を認識してから 72 時間以内にデータ保護監督機関に報告する義務があります。損害の危険性が高い場合、データ管理者は可能な限り速やかにデータ侵害をデータ主体に報告する義務があります。データ処理者も、可能な限り速やかにデータ侵害をデータ管理者に通知する義務があります。
データ保護最高責任者: 機微個人データを定期的かつ大規模に処理する組織、またはデータ主体に対する定期的かつ体系的な監視に携わる組織は、データ保護最高責任者を任命して、組織のプライバシー法を確実に遵守する必要があります。
処罰: 従来の EU 法の下では、欧州のデータ保護監督機関がプライバシー法に違反した企業を処罰する権限は限られていました。GDPR 下では、監督機関は、発生したデータ侵害と損害の重大度に基づいて、企業に 2,000 万ユーロ、または企業の全世界での年間売上高の 4% のどちらか多い方を上限として罰金を課すことができます。
処理者の使用: データ管理者は、データ処理者が必ず管理者の指示に従って処理を行うこと、データを保護するために適切なセキュリティ対策を実施すること、管理者のコンプライアンス義務を支援すること、関係終了時には個人データを返却または破壊すること、処理者に適用される GDPR の規定を遵守することについて、データ処理者と書面による合意を取る必要があります。
プロファイリング: GDPR では、データ主体を評価するための個人データの自動処理 (プロファイリング) に対して特定の制限が適用されます。これには、職務遂行能力、経済状態、健康、行動、嗜好、態度を分析または予測するための、データ主体の監視または追跡が含まれます。不採用となった就職活動やクレジットカード申し込みの却下など、個人に重大な影響をもたらしかねない自動プロセスは、高リスクとみなされ、限られた場合にのみ許可されます。
GDPR では、プライバシー法が「不十分」とみなされる国への個人データの域外移転に対して既存の制限が保持されます。ただし、データを送受信する組織が、データが保護されていることを確認するための追加手続きを実施する場合は例外とします。GDPR では、拘束的企業準則または標準契約事項のような既存の対策が認められるうえに、規制当局によって承認された連合行動規則やデータ保護保証プログラムへの準拠も、受け入れ可能な移転メカニズムにすることが可能であると定めています。
データ主体の権利: GDPR は、データ主体に個人データに関する広範な権利が認められています。データ主体は、データ管理者に、管理者が維持管理しているデータ主体に関するすべての個人データへのアクセスを提供するように要求できます。また、データの修正、削除、凍結、可搬性 (ダウンロードなど) を要求できます。さらに、特定の処理に異議を申し立て、既存の同意を失効させることができます。これらの権利については次の単元でさらに説明します。
ワンストップショップ: GDPR では、複数の EU 加盟国で業務を行う組織に、域外とのデータ保護問題について主監督機関と協力するように要求することで施行を一元化します。
GDPR とその重要性について理解できたので、次の単元では、これらの要件が個人データを処理する組織に与える実際の影響についてさらに詳しく説明します。
リソース
- 外部サイト: 一般データ保護規則の原文
- 外部サイト: Article 29 Working Party Guidelines on Data Protection Officers (第 29 条データ保護最高責任者に関する作業部会ガイドライン)
- 外部サイト: Article 29 Working Party Guidelines on Lead Supervisory Authority (第 29 条主監督機関に関する作業部会ガイドライン)