GDPR関連資格をとろう！ Q&Aで学ぶGDPRとCookie規制(30)-透明性ガイドライン(2)
2021/10/25   海外法務, コンプライアンス, 情報セキュリティ, 外国法

 

今回は,GDPRの第12・13・14条の規定を中心とした「透明性に関するガイドライン」(Guidelines on transparency)^[1](以下「ガイドライン」という)の第2回目の解説です。

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: 個人データ取得時の提供情報についての指針は? Q2: 情報提供のタイミングについての指針は? Q3: 提供情報に変更があった場合の指針は? Q4: 情報提供方法の指針は?

 

Q1: 個人データ取得時の提供情報についての指針は?

A1: GDPR上,事業者(管理者)は個人データを直接その個人(データ主体)から取得する場合(直接取得)またはそれ以外のルートから取得する場合(間接取得),それぞれ一定の情報を提供しなければなりません。その提供すべき情報についてはGDPR第13条(直接取得の場合)および第14条(間接取得の場合)に規定されていますが,大部分共通で,ガイドラインでは以下のように説明されています。(ガイドラインG-Annex)

【提供情報の項目】

(a)管理者および(管理者がEU域内で設立されていない場合にEU域内に置くべき)代理人(representative)(27)の名称・氏名等(identity)および連絡方法(contact details)

-管理者または代理人の情報としては,他に,電話番号,電子メール,住所等

(b)管理者がデータ保護監督者(Data Protection Officer：DPO)を選任している場合,DPOへの連絡方法(contact details)

(c)個人データの処理目的および処理の適法性の根拠(legal basis)

-【適法性根拠の種類】データ主体の同意／契約履行・締結前手続／法的義務遵守／管理者・第三者の正当利益等(6(1))。「特別カテゴリーの個人データ」の処理については,データ主体の「明示的な」同意等(9(2))

(d)処理の適法性根拠が管理者または第三者の正当利益(legitimate interests) (6(1)f)の場合その内容

-データ主体の利益等との比較衡量(balancing test)の結果も提供することがベスト。

(e)[個人データが間接取得された場合のみ] 個人データの種類(カテゴリー)

(f)個人データを他に提供する場合その受領者または受領者の種類(カテゴリー)

-受領者(recipient)は第三者に限られない(4(9), (10))。処理者・共同管理者(26)を含む。受領者そのものではなく受領者の種類(カテゴリー)とする場合は事業内容・業界・所在地等で特定。

(g)管理者が個人データを第三国または国際組織に移転する場合は,その旨／欧州委員会による十分性決定の有無／保護措置(拘束的企業準則：BCR,標準データ保護条項[現在はSCC],データ保護認証等)(46,47,49(1))／および保護措置[SCC等]のコピー(またはコピーを閲覧・入手する方法)

-移転のため利用する制度(mechanism)へのリンクも提供。第三国の国名も表示。

(h)個人データの保存予定期間(storage period),または,その情報を提供できない場合は保存期間決定基準(criteria)

-保存期間は,原則,処理目的達成に必要最小限の期間(5(1)e)。保存期間決定基準は,法定基準,業界ガイドライン,個別データの事情によるもの等。「正当な処理目的のため必要な期間」等の表現は不適切。

(i)データ主体が,管理者に対し次に関する権利を有する旨(データ主体の権利)

-個人データへのアクセス／個人データの訂正／消去／処理の制限／処理禁止権／データ・ポータビリティー

-権利の内容・行使方法の概要。特に処理禁止権(Right to object：異議を述べる権利)はデータ主体との最初の連絡時までにデータ主体の注意を引くようかつ他の情報とは明確に分けて明示しなければならない(21(4))。

(j)処理が同意(6(1)(a), 9(2)(a))に基づく場合,いつでも同意を撤回する権利があること

-同意の撤回は,同意の付与と同程度に容易でなければならない(7(3))から,同意撤回方法も記載。

(k)監督機関に不服申立する権利(the right to lodge a complaint with supervisory authority)

-データ主体の常居所(habitual residence)／職場／または権利侵害地の管轄監督機関に申立てできる旨も説明(77)

(l)[個人データが直接取得される場合のみ] 個人データの提供が,法令上または契約上の義務であるか,または,契約締結に必要であるか,および,データ主体に個人データ提供義務があるか,ならびに,当該データを提供しないことにより生じ得る結果

-雇用契約に基づく義務等。オンラインフォームでの個人データ入力では入力必須(required)項目と任意項目の別と必須項目を入力しない場合の結果を表示。

(m)[個人データが間接取得された場合のみ]個人データの情報源・入手元(source)と,それが公開情報(publicly accessible source)である場合はその旨

-原則として具体的な情報源を記載。それができない場合は,情報の性質(公開・非公開(privately held)等)／情報源の組織・業種・産業部門等を記載。

(n)自動意思決定(automated decision-making)(22)を行う場合,その旨,および,その処理ロジックについての[データ主にとっての]意味ある(meaningful)情報(*),ならびに,データ主体にとっての当該処理の重大性(significance)および予想される結果

(*) この「処理ロジック」についての意味ある(meaningful)情報とは,後述の自動意思決定・プロファイリングガイドラインによれば,例えば,クレジット・スコアリングを用いるローン審査の場合,ローン可否決定のため考慮される主なデータ(支払履歴,不正行為,破産情報等)等である(同ガイドラインp14)。

Q2: 情報提供のタイミングについての指針は?

A2: ガイドライン(G26～)に以下の通り説明されています。

【情報提供のタイミング】

(a)[直接取得] 個人データがデータ主体から取得される場合

【直接取得の具体例】データ主体自らの意思で提供(オンラインフォームへの入力等)。カメラ,ネットワーク機器,Wi-Fiトラッキング(*1),RFIDタグ(*2)またはその他センサー等による個人データの自動取得。

[(*1)(例)来店客の滞留時間把握等のため店舗設置Wi-Fiで来店客スマートフォン等の位置データ取得。(*2)(例)RFIDタグ付き製品保有者の情報取得 ]

【情報提供のタイミング】個人データ取得時点(at the time when personal data are obtained)(13(1))。

従って,商品・サービスの購入の場合は代金支払前と個人データ取得時,無償サービスの場合はそのサービスへの登録(sign-up)前に提供しなければならない(G注29)。

[例えば,監視による個人データの取得はデータ主体からの直接取得であるから,情報提供の時期は正にその監視の時である(13(1))。従って,実務的には監視開始前に情報提供が必要である。]

(b)[間接取得] 個人データが間接取得される場合

【間接取得の具体例】他の管理者,公開情報(publicly available sources),データブローカー,他のデータ主体等からの個人データ入手

【情報提供のタイミング(14(3))】次のいずれか最も早いタイミングで情報提供が必要。従って,いかなる場合も遅くとも 1 カ月以内。

-取得後合理的と認められる期間内(但し,遅くとも 1 カ月以内)

-個人データがデータ主体との連絡(communication)のために使われる場合は,データ主体との最初の連絡時まで(但し,遅くとも 1 カ月以内)

-個人データを第三者に開示する場合は,最初の開示まで(但し,遅くとも 1 カ月以内)

 

Q3: 提供情報に変更があった場合の指針は?

A3: ガイドラインに以下の通り説明されています。(G29～)

データ主体が変更(特に処理目的の変更・管理者の連絡先・データ主体の権利行使方法に関するもの)に確実に気付くようにしなければならない。

例えば,ダイレクトマーケティング用メッセージとは分け,[その変更だけについての]電子メール,ハードコピーのレター,Web ページ上のポップアップ等により通知しなければならない。この通知も簡潔さその他第12 条の要件を満たさなければならない。

データ主体にPrivacy Statement/Noticeを定期的にチェックさせることは不十分なだけでなく公正さ(fairness)(5(1)(a))を欠く。

【変更情報の提供時期(G30,31)】管理者は,個人データが取得された目的以外の他の目的のために処理しようとする場合,当該他の[変更後の]目的での処理(further processing)の前に(事前に),データ主体に対し,当該他の目的および第2項に定める関連情報を提供しなければならない(13(3), 14(4))。

処理目的以外の事項の変更の情報提供時期については,GDPR上,明文の規定はない。しかし,公正さの原則から,データ主体が,変更の内容・影響等を考慮し同意の撤回・処理禁止等ができるよう,実際に変更する「前に」合理的期間を置いて明示的かつ効果的方法で提供しなければならない。管理者は合理的期間を置いたことを証明できなければならない。

 

Q4: 情報提供方法の指針は?

A4: 情報提供の方法 (modality)についてはガイドラインに以下の通り説明されています。 (G33～)

(a)階層化による情報表示 (Layered privacy statement/notice)

ディジタル環境では,1画面上に全情報を提供することによりデータ主体に情報疲れ(information fatigue)を生じさせないよう,階層的(layered)Privacy Statement/Noticeの利用が推奨される。

【階層的Privacy Statement/Noticeの設計】　

(i)第1層・ステップ(first layer/modality)に含めるべき事項

-処理目的,管理者名,データ主体の権利

-データ主体に最も大きな影響(impact)を与える事項,データ主体が合理的に想定できない処理(processing which could surprise the data subject)

-上記以外の提供すべき情報(13, 14)の項目とその詳細(下位層)へのアクセス

(ii)各層(ステップ)間で記載に一貫性があり矛盾がないこと

(b)その他の情報提供方法

(i)プライバシーダッシュボード(privacy dashboards),“just-in-time” pop-up notices,permission management,“learn more” チュートリアル

(ii)郵送による契約締結の場面： 情報提供のための書類送付

(iii)電話利用の場面： 口頭または自動音声による回答

(iv)画面のない機器・IoT機器による個人データ取得場面：

- アイコン／QRコード／音声アラート／セットアップ手順説明書中の記載／ディジタルでのセットアップ手順説明中の映像／スマートフォン等への表示／SMS・電子メールでの通知／ボード(visible board)での説明／標識(public signage)／公衆向け周知活動 (public information campaign)

(v)対面(person to person)(例：世論調査(opinion  polls)・サービス登録手続)の場面： 口頭説明,説明用の書面またはsoft copy

(vi)監視カメラ (CCTV)／ドローン等による個人データ取得の場面： ボード,標識,公衆向け情報提供活動,新聞その他メディアによる告知

 

今回は以上です。次回はガイドラインの解説の最終回です。

 

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」バックナンバー

【筆者の最近の個人情報保護関連書籍】

NEW!!「改正個人情報保護法アップデート(施行令・施行規則の制定)」2021年4月

​「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

「GDPR関連資格CIPP/E準拠 詳説GDPR  (上) - GDPRとCookie規制」 2019年11月

「GDPR関連資格CIPP/E準拠 詳説GDPR  (下) - GDPRとCookie規制」 2019年11月

^[2]

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

【注】

[1] 【透明性ガイドライン】個人情報保護委員会和訳(原文併記)

[2]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

 

【筆者プロフィール】 浅井 敏雄  (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School  (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP  (International Association of Privacy Professionals) 会員,CIPP/E  (Certified Information Privacy Professional/Europe) 【発表論文・書籍一覧】 https://www.theunilaw2.com/