26 海外法務, コンプライアンス, 情報セキュリティ, 外国法

今回は,GDPRの第12・13・14条の規定を中心とした「透明性に関するガイドライン」(Guidelines on transparency)^[1](以下「ガイドライン」という)の第3回目(最終回)の解説です。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 取得時と異なる目的での処理(処理目的変更)に関する情報提供は?

Q2:データ主体の権利行使時の情報提供は?

Q3:「直接」取得の場合何か情報提供義務の例外は?

Q4:「間接」(他人・他ルート経由)取得の場合の情報提供義務の例外は?

Q5: 国家安全保障等による情報提供義務の制限

Q6: 個人データ侵害通知時の情報提供

(注)「G」の後の数字はガイドラインに1から70までついている各記述の番号。以下の[ 　]内は筆者の補足・追加(以下同じ )。(　)内数字はGDPR条文番号。

Q1: 取得時と異なる目的での処理(処理目的変更)に関する情報提供は?

A1: ガイドライン(G45～)では以下の通り説明されています。

管理者は, 個人データをその取得時の目的以外の他の目的のため処理(further processing)する場合, その前(処理目的変更前)に, 合理的期間を置いて, データ主体にその他の(変更後の)目的等に関する情報を提供しなければならない(13(3),14(4))。

この場合提供すべき情報は, 条文上は取得時提供すべき情報の項目の内一部に限られるが, 全項目の情報を提供することが推奨される。

[この情報提供の他, 他の目的での処理の適法性の根拠の具備が必要(6)。この根拠を同意とする場合は, 当該処理前に(例：上記情報提供時に)取得しなければならない。]

Q2:データ主体の権利行使時の情報提供は?

A2: ガイドライン(G45～)では以下の通り説明されています。

- 管理者は, データ主体の権利（＊）の行使に関し, データ主体との間で, 明確かつ平易な言葉を用いて, 簡潔で, 透明性があり, 理解し易くかつ情報を見つけ易い方法でコミュニケーション(データ主体からの請求受理およびこれに対する対応)を行わなければならない(12(1))。

（＊）データ主体の権利：個人データへのアクセス(15)／個人データの訂正(16)／個人データの消去(17)／処理の制限(18)／データ・ポータビリティー(20)／処理禁止(21)／自動意思決定の拒否(22)の権利

管理者は, データ主体の権利行使を容易にし(12(2)), 「権利行使に係る請求を電子的に行う手段」も提供しなければならない(前文59)。(権利行使に係る電子的請求手段の具体例) 医療機関の場合, データ主体からの個人データ閲覧請求用にサイト上の電子フォームと診療所での受付用紙を用意。また, 郵便, 専用の電子メール・電話でも受付け。

Q3:「直接」取得の場合何か情報提供義務の例外は?　

A3: ガイドライン(G56～)では以下の通り説明されています。

- データ主体が既に当該情報を有する場合, その情報に限り提供義務はない(13(4))。但し, 管理者はデータ主体が既に当該情報を有すると判断したことを文書化し証明できなければならない。

【具定例】 Webメール使用のためアカウント登録しその時に必要情報の提供(13(1),(2))を受けたデータ主体が, 後日同じ事業者のインスタントメッセージの使用開始に当たり携帯電話番号を登録する場合：この場合, 事業者は当該携帯電話番号の処理に関し, 先のアカウント登録時に提供した情報を除いた情報(例：携帯電話番号の処理目的, 適法性根拠, 保存期間)のみ提供すれば最低限可。しかし, 実務上は再度全部提供するのがベスト。

Q4:「間接」(他人・他ルート経由)取得の場合の情報提供義務の例外は?

Q4: ガイドライン(G57～)では以下の通り説明されています。

- 以下のいずれかの場合, その情報に限り提供義務はない(14(5))。但し, 管理者は以下のいずれかに該当すると判断した根拠, 理由等を文書化し説明できなければならない。

(a) データ主体が既に情報を所持する場合(14(5)(a))

(b) 情報提供が不可能であることが判明した場合(14(5)(b))

但し, 情報提供が不可能であることが判明した(proves impossible)場合, 管理者は, 該当の情報を公表する等, データ主体の権利・自由・正当利益を保護するため適切な措置を講じなければならない。なお、情報提供が不可能ではなく単に困難な場合は該当しない。管理者は不可能となっている原因を説明・証明できなければならない。後にこの原因がなくなった場合は, その後直ちに情報提供しなければならない。

【情報提供が不可能であるとは認められない例】　オンラインサービスを定期払い条件で受ける(subscription)ため, アカウント登録申込。サービス提供事業者(管理者)は, サービス提供可否決定のため信用情報機関から申込者(データ主体)の信用情報を取得したが, 申込者が申込時に入力した電子メールアドレスが誤っていたため申込者に連絡不能で信用情報取得に関し必要情報を提供できない。しかし, この場合, 事業者は予め必要情報をウェブサイト上に記載しておくことにより情報提供できた筈である(から, 情報提供が不可能であったとは認められない)。

【個人データの情報源を提供(開示)できない場合】　個人データが種々の情報源から得られたため, データ主体に個人データの情報源を開示できない場合[例えば、アドネットワーク運営者が多数の提携サイトからサードパーティーCookieにより同一人の閲覧データを収集した場合が該当すると思われる]は, 情報源に関する一般的情報を提供すべきである(前文61)。具体的には, 同一データ主体の個人データが種々の情報源から得られた情報から成り立っておりその個々の部分を特定の情報源のものと分離特定できない場合を意味する。従って, 単に, 複数の個人のデータベースが複数情報源から構成されているというだけではこの要件を満たさない。管理者は, 最初から, 個人データ処理システムに, 情報受入時点以降全ての処理段階において, 全情報源を追跡・確認できる仕組みを組み込んでおくべきである。

(c) 情報提供が不相当な負担となる可能性が高い場合(14(5)(b))

情報提供が「不相当な負担」(disproportionate effort)であるか否かの判断においては, データ主体の数, データの古さ(age of the data), 管理者が採用している保護措置(appropriate safeguards)を考慮すべきである(前文62)。「不相当な負担」は, 個人データが間接取得されたことに起因するものでなければならない。特に, 公益的アーカイブ目的, 科学的もしくは歴史的研究目的または統計目的のための処理がこれに該当する可能性がある。一方, これら目的のための処理をしていない管理者には通常適用がない。

【具定例】 都市圏の大病院で患者に近親者(next-of-kin)の連絡先等の記入を要請。患者が極めて多数で日々入れ替わることを考えればこの近親者達に対しその個人データ取得に関し第14条に従い情報提供することは「不相当な」負担となる。

【具定例】 姓に基づく家系(lineage)研究のため, 50年前に取得された後更新されておらず連絡先もない2万件の個人データを利用する場合, データの古さ, データ件数等を考慮すれば, 研究者(管理者)が個々のデータ主体の連絡先を見つけ必要情報を提供することは「不相当な負担」を要すものと認められる。

(d) 情報提供により, 処理目的の達成が不能(impossible)となるか, または, 著しく損なわれる(seriously impair)可能性が高い場合(14(5)(b))

【具定例】 銀行(管理者)が, 他行から自行口座への振替指示データを受信。これを, マネーロンダリング防止法(anti-money laundering legislation)上の「疑わしい取引」(suspicious activities)に該当すると判断し規制当局に報告。この場合, 他行から受信した振替指示データに関しその口座保有者(データ主体)に情報(14(1),(2))を提供(tip-off)すれば, マネーロンダリング防止法上の犯罪に該当しかつその目的を著しく損なう。従って, この場合情報提供義務はない。但し, 口座開設申込者全員に, 申込前にマネーロンダリング対策のための個人データ処理があり得る旨を知らせるべきである。

(e) 当該個人データの取得または開示がEU または加盟国の法令で明確に規定されている場合(14(5)(b))

但し, 当該法令にデータ主体の正当利益を保護するための適切な措置も定められていることが条件であり, 管理者は, かかる保護措置を講じなければならない。また, 当該法令に従い個人データを取得または開示すること自体については, データ主体に知らせるべき(但し, それが禁止されている場合を除く)。

【具定例】 EU加盟国の税務当局は, 徴税のため雇用主からその従業員の給与データを取得することが国内法で義務付けられている。従って, この場合, 税務当局は, 従業員(データ主体)に対し, 必要情報(14(1),(2))を提供する義務を負わない。

(f) 法令上の守秘義務等(statutory obligation of secrecy), EU または加盟国の法令に定める職務上の守秘義務(obligation of professional secrecy)により, 個人データを秘密にしなければならない場合

【具定例】 医者が患者から患者の近親者の遺伝・健康情報を取得。この場合, 医者は患者に対し職務上の守秘義務を負うから, 近親者(データ主体)に対し, 必要情報(14(1),(2))を提供する義務を負わない。

Q5: 国家安全保障等による情報提供義務の制限

Q4: ガイドラインでは以下の通り説明されています。

第5条, 第12条～22条および第34条に基づく情報提供義務の範囲は, 例えば次のような事由のため, EUまたは加盟国の法令により制限することができる。

- 国家安全保障(national security)／国防(defence)／公安・犯罪防止等の公益個人の権利保護・権利行使

但し, この制限は, 個人の基本権(fundamental rights)と自由の本質(the essence)を尊重しかつ民主的社会においてこれら目的遂行のため必要かつ均衡性ある(proportionate)ものでなければならない(23(1))。

Q6: 個人データ侵害通知時の情報提供

A6: 個人データの漏えい等の「個人データ侵害」が生じた場合の透明性(データ主体に対する通知・情報提供)については, 本Q&Aの後の回で個人データ侵害通知ガイドラインを解説する際に説明します。

今回は以上です。次回からはデータ主体の権利について解説していきます。

【筆者の最近の個人情報保護関連書籍】

NEW!! 「LINE事件と中国におけるガバメントアクセス規定」2021/04/26

NEW!! 「改正個人情報保護法アップデート(施行令・施行規則の制定)」2021年4月

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[2]

【注】

[1] 【透明性ガイドライン】　個人情報保護委員会和訳(原文併記)

[2]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP (International Association of Privacy Professionals) 会員,CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録