GDPR関連資格をとろう！ Q&Aで学ぶGDPRとCookie規制 (21) – 処理の適法性
2021/10/20   海外法務, コンプライアンス, 情報セキュリティ, 外国法

 

今回は、GDPRの最大の特徴の一つである「処理の適法性」(Lawfulness of processing)について解説します。

 

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: 「処理の適法性」とは? Q2: 「処理の適法性の根拠」とは? Q3: 一般企業が「処理の適法性の根拠」にできるのは?

 

Q1: 「処理の適法性」とは?

A1: 個人データの全ての処理について明確・積極的な適法性(lawfulness)の根拠を要求するGDPR上最も重要な原則の一つです。この原則があることが、GDPRが、日本の個人情報保護法[1]を含め、他の多くの個人データ・個人情報保護法制と異なる点です。

具体的には、個人データの「処理」（取得・利用・保存・移転・廃棄その他あらゆる取扱い）（本Q&A第12回Q1参照）は、GDPR第6条第1項に限定列挙されたいずれかの根拠（以下「処理の適法性の根拠」という）がある場合、その限りにおいて適法(lawful)とされる旨規定されています(6(1))。言い換えれば、このいずれかの根拠があることを示せなければその処理を行うことはできないということです。

 

Q2: 「処理の適法性の根拠」とは?

A2: 個人データの処理が以下のいずれかの場合に該当することです。

【処理の適法性の根拠】 (a)データ主体が、自己の個人データが特定・具体的な(specific)目的のため処理されることに同意した場合。 (b)管理者とデータ主体の間の契約の履行のため、または、その契約締結前にデータ主体の求めに応じた手続を行うため、処理が必要な場合。 (c)管理者が負う法的義務を遵守するため処理が必要な場合。 - この処理の根拠は、EUまたはEU加盟国の法令に定められたものでなければならない(6(3))。加盟国はこの処理の条件等を定めることができる(6(2))。[従って、例えば日本法（強行法規）上の義務は含まれない。] (d)データ主体または他の者の命等に係る利益(vital interests)を守るため処理が必要な場合。 (e)処理が、公的機関の権限行使または管理者に与えられた公的任務遂行(*)に必要な場合。 (*) この原文は、「公益のため（in the public interest）、または、管理者に与えられた公的権限（official authority）の行使のため（in the exercise of official authority vested in the controller）に行われる任務（task）の遂行（the performance）」である。ICO（英国の監督機関）のWebサイトの説明[2]によれば、これは、次のいずれかを意味する。 (i)公的機関による権限行使 (ii)民間組織である管理者に与えられた公的任務（例：水道会社の事業）の遂行 従って、本Q&Aでは、分かり易いように「公的機関の権限行使または管理者に与えられた公的任務遂行」という。 - この処理の根拠は、EUまたはEU加盟国の法令に定められたものでなければならない(6(3))。加盟国はこの処理の条件等を定めることができる(6(2))。 (f)管理者または第三者が得ようとする正当利益（legitimate interests pursued by the controller or by a third party）のため処理が必要な場合。 - 但し、この管理者等の正当利益より、データ主体の利益・権利・自由を優先させるべき(override)場合（特にデータ主体が子供の場合）を除く。本Q&Aにおいては、この条件を省略し、単に「正当利益」と呼ぶ場合がある。

更に、以下のことに注意が必要です。

①「特別カテゴリーの個人データ」[3]の処理については、データ主体が特定具体的な目的に関しその処理に対し明示的な（explicit）同意を与えた場合その他所定の場合(9(2))を除き、原則として禁止されている(9(1))（本Q&A第11回Q2参照）ので、これが、処理の適法性と言えます。

②Cookieデータ等の利用には必ずデータ主体の同意が必要です（本Q&A第7回Q2参照）。

 

Q3: 一般企業が「処理の適法性の根拠」にできるのは?

A3: 一般企業が、通常の業務で、個人データの処理の適法性根拠とすることができるのは、上記の内、次のいずれかに限られると思われます。

- データ主体の同意

- 契約履行等のため

- 法的義務遵守のため

- 管理者等の正当利益のため

なお、特別カテゴリーの個人データとCookie等の処理に関しては、Q2の通りです。

 

今回はここまでです。次回から、処理の適法性の根拠について、「同意」から始めて詳しく解説していきます。

 

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」バックナンバー

【著者GDPR・Cookie規制関連本】

「GDPR関連資格CIPP/E準拠 詳説GDPR  (上) - GDPRとCookie規制」 2019年11月

「GDPR関連資格CIPP/E準拠 詳説GDPR  (下) - GDPRとCookie規制」 2019年11月

^[1]

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

【注】

[1] 【日本の個人情報保護法と処理の適法性】　例えば、個人情報保護法上、個人情報の取得については、「偽りその他不正の手段により個人情報を取得してはならない」とされているだけで、明確・積極的な適法性の根拠が要求されているわけではない。

[2] 【公益任務等に関する説明】 ICOサイト　"Public task"

[3] 【「特別カテゴリーの個人データ」】　人種／民族的出自／政治的意見／宗教上または思想上の信念／労働組合加入／遺伝データまたは生体データで個人識別目的のもの／健康・性生活・性的傾向を示す(reveal)個人データ(9(1))。

[1]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは、読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

 

【筆者プロフィール】 浅井 敏雄  (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School  (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP  (International Association of Privacy Professionals) 会員、CIPP/E  (Certified Information Privacy Professional/Europe) 【発表論文・書籍一覧】 https://www.theunilaw2.com/