01 コンプライアンス, 情報セキュリティ, 個人情報保護法, 外国法

今回は, GDPR第35条のデータ保護影響評価(DPIA)および同第36条のDPIAに基づく監督機関との事前協議について解説します。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: データ保護影響評価(DPIA)とは？その趣旨は？

Q2: データ保護影響評価(DPIA)を行うべき者・場合などは？

Q3: データ保護影響評価(DPIA)の内容・評価項目などは？

Q4: 監督機関との事前協議とは？

Q5: データ保護影響評価(DPIA)ガイドラインとは？

Q1: データ保護影響評価(DPIA)とは？その趣旨は？

A1: 以下の通りです。

【データ保護影響評価(DPIA)の意味】データ保護影響評価(Data protection impact assessment)(DPIA)とは, 管理者が, 個人データ保護に対し与えるリスクが高い可能性がある一定の処理に関し, 事前に行うべき個人データ保護に対する影響の評価を意味します。

【データ保護影響評価(DPIA)の背景・趣旨】データ保護指令(原文・堀部政男研究室本文仮訳)においては, 管理者は, 原則として, 個人データの処理を開始する前に, 監督機関に所定事項を通知する義務を負っていました(但し, 所定条件のもとで加盟国国内法により例外等を規定することは可能)(指令18, 19)。

しかし, このような個人データ処理に関する全般的な事前通知義務は, 企業に管理的・資金的負担を生じさせる一方, 必ずしも個人データ保護の向上に寄与するものではありませんでした。

そこで, GDPRでは, このような通知義務は廃止し, これに代えて, 個人の権利・自由に対し高いリスクを生じさせる処理に焦点を絞ったデータ保護影響評価(DPIA)制度に置き換えることとしました。(以上GDPR前文89)。

page top

Q2: データ保護影響評価(DPIA)を行うべき者・場合などは？

A2: 以下の通りです。

管理者は, 以下のいずれかの場合, その処理を行う前に, 計画している(envisage)処理業務が個人データ保護に対し与える影響の評価(assessment)を行わなければなりません。この場合, リスクが類似する複数の処理については一括して評価することができます。また, データ保護監督者(DPO)が選任されているときは, その助言を求めなければなりません。(以上35(1)～(3))

(a)個人データの自動処理(プロファイリングを含む)による系統的かつ広範囲な評価(systematic and extensive evaluation)に基づき, データ主体に対する法的効果(legal effects)または法的効果と同様に重大な影響を生じさせる(similarly significantly affect)決定(decision)を行う場合

(b)特別カテゴリーの個人データ(9)または有罪判決および犯罪に関する個人データ(10)を大規模に(on a large scale)処理する場合

(c)一般公衆が出入りすることができる場所(publicly accessible area)で大規模に系統的監視(systematic monitoring)を行う場合

(d)その他, 個人データの処理(特に新技術を利用する処理)が, その内容, 範囲, 状況(context)および目的から, 個人の権利自由に対し高度のリスク(high risk)を生じさせる可能性が相当程度ある(likely)場合

各監督機関は, DPIAの対象となる処理のカテゴリーリストを, 事前に欧州データ保護会議(EDPB)の意見を照会(63)した上で, 作成し公開しなければなりません。各監督機関は, 対象「外」リストも同様に作成・公開することができます。(35(4)～(6))

page top

Q3: データ保護影響評価(DPIA)の内容・評価項目などは？

A3: 作成されるべきDPIA評価書には, 最低限, 以下の事項が含まれなければなりません(35(7))。

(a)処理の内容および目的の体系的記述。- 処理の適法性の根拠が管理者の正当利益(6(1))(f))である場合はその内容を含む。

(b)処理の必要性および比例性(proportionality)の評価

(c)データ主体の権利自由に対するリスクの評価

(d)上記リスクに対処するため予定・計画されている(envisaged)手段。- データ主体および他の関係者の権利および正当な利益を考慮した, 個人データ保護およびGDPR遵守の証明のための保護措置, 安全管理措置および仕組み(safeguards, security measures and mechanisms)を含む。

管理者等による行動規範の遵守は, データ保護影響評価において考慮されなければなりません(35(8))。

管理者は, 必要な場合(where appropriate,), 予定している処理に関し, データ主体またはその代表者(representatives)[第80条のデータ主体の権限行使代表団体を含むと思われる]の意見を求め(seek)なければなりません。但し, これにより, ビジネス上の利益もしくは公共の利益または個人データ処理のセキュリティーが損なわれることがあってはなりません(35(9))。

管理者は, 必要に応じ, 少なくとも, 個人データ処理により示されるリスクの変化が生じた時点で, 処理がDPIAに従い行われているか否かを(再)評価しなければなりません(35(11))。

page top

Q4: 監督機関との事前協議とは？

A4:管理者が, データ保護影響評価を行った結果, リスク防止・軽減措置を講じなければ高度のリスク(high risk)を生じさせる可能性があることが判明した場合に, 当該処理を行う前に監督機関と行うべき協議です(36(1))。

【監督機関の対応】監督機関は, 処理がGDPRに違反すると判断した場合, 協議請求受領後8週間以内に管理者等に対し書面で助言(advice)を行わなければならず, また, 監督機関に与えられた権限(58)(調査, 命令等)(究極的には処理の禁止：58(2)(f))を行使することができます。この8週間の期間は, 計画されている処理が複雑な場合は最大6 週間延長することができます。(以上36(2))。

【管理者の監督機関に対する情報提供義務】管理者は, 監督機関との協議において, 以下の情報を提供しなければなりません(36(3))。

(a)共同管理者または処理者がある場合は, 管理者とこれらの者の間の責任分担(the respective responsibilities)。- 特に事業体(企業)グループ(a group of undertakings)内での場合

(b)計画している処理の目的および手段

(c)データ主体の権利・自由保護措置

(d)データ保護監督者(DPO)を選任している場合はDPOへの連絡方法(contact details)

(e)計画している処理について行ったデータ保護影響評価(DPIA)の内容

(f)その他監督機関が要求する情報

page top

Q5: データ保護影響評価(DPIA)ガイドラインとは？

A5: DPIAに関しWP29(監督機関の集合体：EDPBの前身組織)が2017年10月4日に採択公表した“Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679”(「データ保護影響評価(DPIA)およびGDPR上処理が「高度のリスクを生じさせる可能性がある」か否かの判断に関するガイドライン」)(日本の個人情報保護委員会の訳はこちら)です。

以下, その概要を解説します。

【データ保護影響評価(DPIA)ガイドラインの概要】

(1).DPIAの実施主体・時期

管理者がDPIAの実施義務を負う(35(2))。外部に委託することは許されるが, その責任は管理者が負う。

DPIAは「処理の前」に実施されなければならない(35(1),(10))。処理方法の全部が確定していなくても, 処理の企画・設計段階で可能な限り早期に開始し, 設計の進行状況に応じ再評価すべきである。

(2).DPIA実施義務の有無判断基準

管理者は, 個人データ処理に関し、新技術利用等により, 個人の権利または自由に対し高度のリスクを生じさせる可能性がある場合, 処理開始前に, 影響評価をしなければならない(35(1))。

ここで, データ主体の権利または自由とは, 主にデータ保護とプライバシーに関する権利を意味するが, 言論・思想・移動の自由, 差別の禁止, 自由・良心・宗教の権利等, 他の基本的権利を含む。

本ガイドラインではDPIAを実施する義務があるか否かの判断基準(判断要素)として以下の九つの類型を挙げ, 一般的には, その内２つの類型に該当する場合は, DPIAを実施する必要性がある可能性が高いとする。但し, 場合により, 1つだけ該当しても高度のリスクと判断される場合, または, 2つ以上に該当しても高度のリスクと判断されない場合もあり得るとする。

(a)評価またはスコアリング(プロファイリングまたは予測を含む)

職務／経済状況／健康／個人的嗜好／信頼性・態度／場所・動き等に基づく評価またはスコアリング(前文71，91)。

【具定例】

①金融機関が, 顧客を, クレジット照会データベース, 不正行為データベース等を用いて, または, 資金洗浄・テロ資金対策(anti-money laundering and counter-terrorist financing：AML/CTF^[1])等の観点から, 顧客をスクリーニングする場合。

②消費者に遺伝子検査サービスをする企業が疾病・健康リスクの評価と予測を行う場合。

③企業が, 個人のWebサイト上での閲覧・利用履歴等の行動やマーケティング用プロファイルを作成する場合。

(b)法的効果または同様の重大な影響を生じさせる自動意思決定(35(3)(a))

個人の差別・排除につながる可能性があるため判断基準となる。

(c)系統的モニタリング　(Systematic monitoring)

ネットワークを介して取得されたデータの観察・監視, パブリック・スペース(publicly accessible area)(例：ショッピングセンター, 道路, 駅, 公共図書館)での系統的モニタリング等。データ主体がデータの取得者とその利用方法を認識しないまま個人データが取得される可能性があるため判断基準となる。

(d)センシティブ・データまたは高度に個人的なデータ(data of a highly personal nature)の処理

特別カテゴリーの個人データおよび有罪判決・犯罪に関する個人データを含む。私的生活に関しまたは個人の基本的権利に影響を及ぼす可能性があるため判断要素となる。仮にそのデータが公開されていてもデータ主体自ら公開したものでなければ該当する可能性がある。

【具体例】　私的文書・電子メール・日記・メモ機能がある電子リーダーのメモ等の処理／ライフログソフトによる処理

(e)大規模な(on a large scale)個人データの処理

「大規模」か否かは, 対象データ主体の数・全体における比率／個人データの量／データ項目の範囲／処理期間・永続性／処理の地域的範囲等を考慮して判断する。

(f)個人データの照合・結合 (Matching or combining datasets)

目的が異なる処理の対象個人データまたは異なる管理者の保有個人データの照合または結合であって, データ主体の合理的な想定の範囲を超えるもの。

(g)弱者の個人データ(前文75)

弱者(vulnerable data subjects)には, 子供／従業員／精神疾患者(mentally ill persons)／亡命希望者(asylum seekers)／高齢者／患者等が含まれる。データ主体の管理者との間の立場の不均衡, 処理に反対することが容易でないこと等のため判断基準となる。

(h)新技術・手法によるデータ処理(Innovative use or applying new technological or organisational solutions)(35(1),前文89,91)

指紋または顔による認証(finger print and face recognition)／IoT等による処理。個人の権利・自由に対する高度のリスクの可能性があるため, または, リスクが不明なため判断基準となる。

(i)サービス利用等許否決定のための処理(22,91)

信用情報データベースを利用した銀行の貸出決定等, データ主体にサービスを利用させるか否か等を判断するための処理。

(3).DPIA実施義務の判断基準の当てはめ例

処理の例(i)　

(内容)病院による患者の遺伝データ, 健康データ処理

(該当する類型)センシティブ・データまたは高度に個人的なデータ／弱者に関するデータ／大規模なデータ処理。

(DPIAの要否)必要

処理の例(ii)

(内容)高速道路でのナンバープレート割出しのための監視カメラの使用

(該当する類型)系統的モニタリング／新技術・手法の利用による処理

(DPIAの要否)必要

処理の例(iii)

(内容)従業員のパソコン操作, サイト閲覧等のモニタリング

(該当する類型)系統的モニタリング／弱者に関するデータ

(DPIAの要否)必要

処理の例(iv)

(内容)SNSの公開データからのプロファイル生成

(該当する類型)評価またはスコアリング／大規模な処理／データの照合・結合／センシティブ・データまたは高度に個人的なデータ

(DPIAの要否)必要

処理の例(v)

(内容)全国レベルの与信評価, 不正行為データベースの作成

(該当する類型)評価またはスコアリング／法的効果または同様の重要な効果を生じさせる自動意思決定／サービス利用等許否決定のための処理／センシティブ・データまたは高度に個人的なデータ

(DPIAの要否)必要

処理の例(vi)

(内容)弱者を対象とする研究・臨床試験で, センシティブ・データを仮名化した後にアーカイブ目的で保存すること。

(該当する類型)センシティブ・データ／弱者に関するデータ／サービス利用等許否決定のための処理

(DPIAの要否)必要

処理の例(vii)

(内容)個々の医療関係者または弁護士による患者または顧客の個人データの処理

(該当する類型)センシティブ・データまたは高度に個人的なデータ／弱者に関するデータ

(DPIAの要否)不要

処理の例(viii)

(内容)メーリングリストを利用した, 一般的なニュース内容のオンラインマガジン

(該当する類型)大規模な個人データ処理

(DPIAの要否)不要

処理の例(ix)

(内容)自社eコマースサイトでのユーザの閲覧・購入履歴から限定的なプロファイリングを作成。これに基づきユーザに広告表示

(該当する類型)評価またはスコアリング

(DPIAの要否)不要

(4).DPIA実施に関する留意事項

(a)高度のリスクありと判断せずDPIAを行わない場合, そう判断した理由およびDPOの見解を文書化および記録しておく必要がある(説明責任)。 [なお, DPIA実施義務および監督機関との協議義務の違反は制裁金対象(83(4)(a))]

(b)データ保護指令20条(Prior checking)に基づく監督機関の事前審査済みの処理については, 処理方法に変更がない限り, 改めてDPIAを実施する必要はない。

(c)一旦DPIAがなされた後であっても処理またはリスクに変化が生じた場合は, DPIAの要否を見直す必要がある。例えば, 以下のような場合である。

①処理の範囲／目的／技術・手法／対象個人情報管理者／移転先／データ保存期間／セキュリティー措置等, 処理の条件に変更が生じた場合。

②自動処理が以前より重大な結果をもらすようになったり, 特定のカテゴリーのデータ主体が差別されるようになったり, 社会状況の変化等によりリスクの重大性が増加した場合。

(d)DPIAの内容を公表する義務はない。しかし少なくとも要約を公表することは企業に対する社会的信頼の醸成を期待できる。

(e)セキュリティー対策等をしてもなお, DPIAの結果, 処理に高度のリスクが予想される場合, 管理者は, 事前に監督機関とDPIA等を提出した上協議しなければならない(36(1))。

(f)監督機関は, 当該処理がGDPRに違反しまたはリスクもしくはリスクの軽減策が不十分であると判断する場合, 事前協議申請後原則8週間以内に, 管理者に対し, 当局の助言を書面で提供し, かつ, 必要な場合是正命令等(58)をすることができる(36(2))。

(5).DPIAの項目

本ガイドラインでは以下が提案されている(Annex 2)。

(a)処理の体系的記述(35(7)(a))：処理の内容, 範囲, 背景, 目的(前文90)／個人データ, その移転先, 保存期間／処理の機能的説明／処理環境(ハードウェア, ソフトウェア, ネットワーク, 人, 紙または紙データの送信方法)／承認された行動規範がある場合は当該規範(35(8))

(b)処理の必要性および比例性の評価(35(7)(b))：

①必要性, 比例性確保措置：処理目的の特定性, 明確性, 正当性(5(1)(b))／処理の適法性根拠(6)／処理目的に照らした適切性, 関連性, 必要最小限性(5(1)(c))／処理目的達成に必要な保存期間(5(1)(e))

②データ主体の権利保護措置：データ主体への情報提供(12, 13, 14)／アクセス権およびデータ・ポータビリティーの権利(15,20) ／訂正および消去請求権(16,17,19) ／処理禁止権および処理制限請求権(18,19,21) ／処理を委託する場合の処理者の条件, 処理者に課すべき義務(28) ／個人データの域外移転に係る保護措置(第5章) ／DPIAに基づく監督機関との事前協議(36)

(c)データ主体の権利自由に対するリスクの評価 (35(7)(c))：データ主体から見たリスクの原因等(前文84)／リスク(不正アクセス, 改ざん, データ消失等)の発生原因(前文90) ／不正アクセス, 改ざん, データ消失等によるデータ主体の権利・自由への影響／不正アクセス, 改ざん, データ消失等に繋がる可能性がある脅威の内容／リスクの発生可能性および重大性(前文90) ／リスクに対する対策(35(7)(d)項および90)

(d)関係者の関与：DPOのアドバイス(35(2)) ／データ主体またはその代理人の意見(必要な場合)(35(9))

(6).DPIAのプロセス

DPIAのプロセス(methodology)に関しては, 本ガイドラインでは, 以下を繰り返す図が示されているが, それ以上の詳細への言及はない。

(i)内容の明確化／(ii)処理の必要性と比例性の評価／(iii)処理方法の計画／(iv)リスク評価／(v)リスクに対する対策の検討／(vi)文書化／(vii)モニタリングと見直し

むしろ, 本ガイドラインによれば, 管理者は, DPIAにGDPRで最低限評価が要求されている項目(35(7))が含まれていれば, 自ら適切と判断するフレームワークを採用すればよく, 特定のプロセスが指定されているわけではないとする。

但し, 本ガイドラインは, そのような適切なフレームワークとして, 過去に, ドイツ, スペイン, フランス, 英国, 各業界, ISOから公表されているモデル等を例示している(Annex 1)。

page top

今回は以上です。

【筆者の最近の個人情報保護関連書籍】

NEW!!『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要」2021/11/18

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24

「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[2]

【注】

^[1] 【資金洗浄・テロ資金対策(AML/CTF )】(参考)渡邉雅之「マネー・ローンダリング対策に係る国際的取組み」2018年08月17日,BUSINESS LAWYERS, 護士ドットコム

[2]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP (International Association of Privacy Professionals) 会員,CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録