同条では, 個人データ処理に関する基本原則の一つとして, 個人データは, 無権限の(unauthorised)もしくは違法な(unlawful)処理および事故による(accidental)紛失・滅失(loss)もしくはき損(damage)からの保護を含め, 適切な技術的または組織的措置(appropriate technical or organisational measures)を講じ, 適切なセキュリティーを確保して処理すべきことが規定されています(「完全性および秘密性」：integrity and confidentiality)(5(1)(f))。

(2) GDPR第32条

同条は, 更に具体的に, 管理者および処理者は, 技術水準(the state of the art), 実施コスト(the costs of implementation), 処理の性質内容(nature)・範囲・状況(context)および目的並びに個人の権利・自由に対するリスク (＊1)の発生可能性と重大性(the risk of varying likelihood and severity)を考慮した上で, そのリスクに応じた(＊2)適切な水準のセキュリティーを確保するため(to ensure), 次に掲げる事項を含め, 適切な技術的・組織的措置をとらなければならないと定めています。

【適切な技術的・組織的措置に含まれる措置】

(a)個人データの仮名化(pseudonymisation)および暗号化(encryption)

(b)処理システム・サービスの秘密性(confidentiality), 完全性(integrity), 可用性(availability)および復旧能力(resilience)を継続して確保する能力

(c)物理的・技術的事故(incident)が発生した場合に, 適時に(in a timely manner)個人データの可用性およびアクセスを回復する能力

(d)処理のセキュリティーを確保するための技術的・組織的措置の有効性を定期的にテスト・評価するプロセス

Q2: 技術的・組織的措置で対処すべき「リスク」とは何ですか?

A2: GDPRにおいて「リスク(risk)」という用語は, 一貫して専ら「①データ主体の②権利と自由(the rights and freedoms of data subjects)」に対する「risk(s)」と表現され(例：上記A1下線部分(＊1))またはその意味で用いられており^[1], 単なる「情報セキュリティー」(①企業の②情報システムのセキュリティー)(例：ハッキング対策)におけるリスクだけを意味するものではありません。

【解　説】

この「データ主体(個人)の権利および自由」とは, GDPR前文 (4) によれば, EU基本権憲章とEUの諸条約に定める自由および基本原則, 特に, 私的生活・家庭生活・住居・通信の保護, 個人データ保護, 思想・信条・信教・表現・営業の自由, 裁判を受ける権利等の基本権(人権)を意味します。

また, 後の回で解説しますが, 「データ保護影響評価(DPIA)ガイドライン」でも, 「データ主体の権利および自由」は, 主としてデータ保護・プライバシーに係る権利に関係するが, 言論・思想・移動の自由, 差別の禁止, 自由・良心・宗教の権利等, それ以外の基本権が含まれるとされています。

よって, プライバシー関連の権利・自由は勿論, より広く個人の人権全般(例えば自己決定の権利, 不当な差別を受けない権利)を含むものです。

従って, 一般的に「セキュリティーリスク」と言った場合, 企業や組織にとってのリスクが想定されていますが, GDPR上のリスクはあくまで「個人の権利および自由」にとってのリスクを意味します。

また, このリスクに対し, 講じられるべき適切な技術的または組織的措置には, 単なる情報セキュリティー上の措置だけではなく, 個人データ保存期間の制限(5(1)(e)), 自動意思決定における人間の関与(22(3)), 個人データのEU域外への移転に関するSCC等の適切な保護措置(safeguards)(46)等が含まれます。

Q3: GDPRでは常に完全なリスク対策が求められているのですか?

A3: いいえ。上記A1の下線部分(＊2)の通り, 技術水準・実施コスト等も考慮勘案して, 各処理行為のリスクに見合った措置でよいことになっています。しかし, これは逆に言えば, リスクが高い処理行為についてはより高度のリスク対策が義務付けられているということになります。

【解　説】

「適切な技術的・組織的措置」を決定する際には, 実施コストも考慮要素とされるので, リスクとの比較で高コスト過ぎる措置まで要求されているわけではないといえます。

一方, 「技術水準」については, 技術的・組織的措置を講じた時点では存在しないまたは実用的になっていない措置まで要求されるわけではないとも言えますが, 「技術水準」は時間の経過とともに進化しますので, 一旦措置を講じた後でも, その後一般的になった措置は最低限取り込む必要があるということになります。

処理の性質内容(nature)等も考慮されることから, 例えば, 自動意思決定・プロファイリング等の処理については, それが不合理な差別等につながり, 対象となる個人(データ主体)の権利自由を害さないよう, 通常の処理以上の特別な措置が必要になり得ます。

「適切な技術的・組織的措置」を決定する際に考慮すべき要素は限定されています。例えば, 小規模企業であっても, その処理する個人データの量や質によってはリスクが高い場合もありますが, 企業規模は考慮要素になっているわけではないので, 小規模企業であること自体を理由に低いレベルの措置でもよいということにはなりません。

Q4: 技術的措置の内の「仮名化」とは?

A4: GDPR上, 「仮名化」(pseudonymization)とは, 個人データを, 追加の情報を使わなければ, もはや, 特定の個人に結び付ける(be attributed to)ことができないように処理することを意味します。但し, 以下の両条件が満たされていることを条件とします。(4(5))

(a)その追加情報が別途保管されていること。

(b)個人データを特定のまたは特定可能な個人に結び付ける(be attributed to)ことができないよう技術的・組織的措置が講じられていること。

【解　説】

(1) GDPR上の仮名化された個人データと匿名情報

GDPR上, 個人データが「仮名化」(pseudonymization)された(に過ぎない)場合, その仮名化後のデータは, 追加情報を使えばなお個人を特定できる以上, 「個人データ」に該当しGDPRが適用されます。

一方, GDPR上の「匿名情報」(anonymous information) は, [GDPR本文上の定義はありませんが, ]特定のまたは特定可能な個人との関連性がない情報, または, データ主体が現に特定されないかもしくは特定できないよう加工されたデータを意味し, 「個人データ」とは言えないので, GDPRは適用されません(前文26)。

(2) GDPR上の仮名化と個人データの保護

GDPR上, 個人データの仮名化は, 個人データ保護上, リスクを低減する手段の一つであり, 管理者等(管理者・処理者)がGDPR上の個人データ保護義務を果たす上で有益とされています(前文28)。

なお, GDPR(32)上管理者等に義務付けられている個人データ保護措置は, リスク, コスト, 処理内容等を考慮した上での適切な措置が要求されていますから, 仮名化が常に要求されているわけではなく, リスクやコスト等によっては不要でありまたは他の手段が許されるものと解されます。

(3) 日本法上の「匿名加工情報」と, GDPR上の「仮名化」された個人データおよび「匿名情報」との関係

混同し易いですが, 日本の個人情報保護法(以下「日本法」)上の「匿名加工情報」(2(9))は, 実質的には, GDPR上の「仮名化(pseudonymisation)」された個人データに相当しますが, 法的な取扱いは日・EU間で相違します(その内容は脚注^[2]参照)ので注意が必要です。

一方, 日本法上, 「個人情報」・「個人データ」に該当せず日本法の適用対象外とされている「統計情報」はGDPRにおける「匿名情報」(anonymous information)に該当すると思われ法的な取扱いにも相違はありません。

Q5: 処理のセキュリティーの適切性の評価は?

A5: 処理のセキュリティーの評価に当たっては, 処理により生じ得る, 個人の権利・自由に対するリスク(特に事故または違法行為による破壊, 消失, 改ざん・変更, 無権限の開示もしくはアクセス)を考慮しなければなりません(32(2),(1))。

なお, 監督機関等が承認した行動規範(40)または個人データ保護認証制度(42)の遵守は, セキュリティーを確保する義務(32(1))の遵守の証明において考慮することができる(32(3)とされています。

Q6: 従業員・処理者等の監督は?

A6: 以下のような規定があります。

(1) 管理者等は, その指示のもとで個人データにアクセスする全ての者[従業員, 処理者等]が, 管理者等の指示に基づく場合を除き, 個人データを処理することがないよう必要な措置を講じなければなりません。但し, その者がEU または加盟国の法令上個人データを処理する義務を負う場合を除きます。(32(4))

(2) 管理者は, GDPRの遵守(32条の処理のセキュリティーはその中でも重要)について「十分な保証」(sufficient guarantees)をすることができる者(処理者)でなければ処理を委託してはなりません(28(1))。

処理の委託は, 所定の事項(第32条により求められる全てのセキュリティー措置を講ずべきことが含まれる)を定める, 書面(電子的形態を含む)による委託契約等によらなければなりません(28(3),(9))。

Q7:自社のセキュリティーに関し何らかの説明責任がありますか?

A7: 以下の関連規定から, 少なくとも何か問題が生じた場合, 管理者は, 監督機関, データ主体等に対し自社セキュリティーの状況に関し説明・証明する法的責任があると考えられます。

【セキュリティーに関する説明責任の関連規定】

(1) 管理者は, 個人データ処理に関する基本原則(5(1))[セキュリティーに関わる「完全性および秘密性」が含まれる]の遵守について責任を負いかつ証明することができなければなりません(「説明責任」：accountability)(5(1)(f))。

(2) 管理者は, 処理のリスクを考慮し, 処理がGDPR[第32条のセキュリティー確保義務を含む]に従いなされ, かつ, そのことを説明・証明する(demonstrate)ことができるよう適切な技術的および組織的な措置を講じなければなりません(24(1),(2))。

Q8:自社のセキュリティーに関し何か記録しておく必要がありますか?

A8: はい, 次の通りあります。

【セキュリティーに関する記録義務】

管理者は, 個人データの処理について所定の事項に関し, 記録を書面(電子的形態を含む)で作成しこれを維持しなければなりません(30(1),(3))。

この処理についての記録義務の対象項目には「処理のセキュリティー措置の概要」(a general description)(30(1)(g))が含まれています。処理者もこの概要を含め, 処理について所定の事項に関し記録義務を負います(30(2))。

Q9: セキュリティーを講じていたが漏えいが生じた場合は?

A9: 次回で解説しますが, 管理者は, 個人データ侵害(漏えい等)が発生した場合, 管轄監督機関に対し, また, 個人の権利・自由に対し高いリスクを生じさせるおそれがある場合はデータ主体に対しても, 必要事項を通知しなければなりません(33, 34)。

Q10: 処理のリスクが高い場合は?

A10:後の回で次回で解説しますが, 管理者は, 以下の関連規定の通り, 「データ保護影響評価」(DPIA)と, 場合により監督機関との事前協議を行わなければならず, その事前協議次第では処理内容・方法の変更または中止をしなければなりません。

【処理のリスクが高い場合に関連する規定】

管理者は, 個人データの処理が個人の権利・自由に対する高いリスクを発生させるおそれがある場合, 事前に, その処理が個人データ保護に対し与える影響(リスク)を評価しなければなりません(35)。

その結果, 高度のリスク(a high risk)があることが判明した場合は, 管理者は, 事前に監督機関と協議しなければなりません(36)。

監督機関は, 処理がGDPRに違反すると判断した場合, 協議請求受領後8週間以内に管理者等に対し書面で助言(advice)を行わなければならず, また, 監督機関に与えられた権限(58)(調査, 命令等)(究極的には処理の禁止：58(2)(f))を行使することができます。

今回はここまでです。

【筆者の最近の個人情報保護関連書籍】

NEW!!　「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[3]

【注】

^[1] 【GDPRにおける「リスク(risk)」という用語の用い方】　GDPRで「リスク(risk)」が使われている条項は以下の通りであるが, これら全てにおいて, 「データ主体の権利と自由(the rights and freedoms of data subjects)」に対するリスクと表現されまたはその意味で用いられている。： 4(24), 23(2)(g), 24(1), 25(1), 27(2)(a), 30(5), 32(1),32(2), 33(1), 34(1),34(3)(b), 34(4), 35(1), 35(7)(c), 35(7)(d), 35(11), 36(1), 36(2), 39(2), 49(1)(a), 57(1)(b), 70(1)(h)

^[2] 【GDPR上の仮名化された個人データと日本法上の「匿名加工情報」の比較】 日本の個人情報保護法(以下「日本法」という)上, 「匿名加工情報」とは, 所定の措置を講じて特定の個人を識別できないよう個人情報を加工した情報であって当該個人情報を復元できないようにしたものをいう(2(9))。「匿名加工情報」を作成した事業者には, 匿名化に当たり削除した情報および匿名加工方法に関する情報(以下「削除情報等」という)の安全管理義務が課されている (36(2)) 。従って, 少なくとも匿名加工情報を作成した事業者には個人情報を復元することができる情報が残っていても構わないという前提となっている。

従って, 実質的に, 削除情報等は, GDPR上の仮名化された個人データに係る追加情報に該当し, 日本法上の匿名加工情報は, GDPR上の仮名化された個人データに相当する。

しかし, 日本法上, 匿名加工情報については, 削除情報等を取得する等して本人を識別する行為を禁止する(38)ことによりもはや個人情報および個人データではないものとして取扱われている。具体的には, 匿名加工情報は, 利用目的による制限(16)や第三者提供の制限(23)に服さず, また, 本人からの開示・訂正・利用停止等の請求権(28～30)の対象外である。従って, 事業者は, このような日EU間の取扱いの相違に留意する必要がある。

なお, このことを反映して, 「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」においては, EU域内から十分性認定に基づき提供を受けた個人情報から日本法上の匿名加工情報を作成する場合は, 削除情報等を削除した場合のみ匿名加工情報とみなされるとされている。

[3]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP (International Association of Privacy Professionals) 会員,CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録