EU一般データ保護規則GDPR 個人情報を守る法律

2018 年 5 月 25 日から施行される「EU 一般データ保護規則 ( GDPR)」。 企業やショップにだけではなく、私たち欧州・ドイツに住む個人にも深く関係してくる GDPR について、出来るだけわかりやすくまとめてみました。

注意:当記事はNIPPONip vol.48号の特集から一部を抜粋しています。 特集記事内容は2018年4月末の時点での情報になります。企業に関するGDPRについて: ドイツビジネス情報ブログ
NIPPONip本誌内記事監修:渥美坂井ヤンセン弁護士法人 NIPPONip本誌内DPOに関する記事協力:Enobyte GmbH

GDPR とは、個人情報を守るための法律です

GDPR には全部で 99 条にわたる条文が定められています。 簡単に言うと、欧州経済領域 (EEA) に在住する個人の情報を守る法律です。  一般の人にとっては自分たちのプライバシーや個人情報が守られるための法律です。

個人=データ主体の持つ権利

守られるべき個人情報は、GDPRでは、「個人データ」として規定されています。 「個人データ」とは、識別された、又は識別され得る自然人に関するすべての情報です。

個人データに関連する自然人は「データ主体」と呼ばれ、いろいろな権利が認められています。 データ主体の持つ権利は8つあり、

  1. 情報の通知を受ける
  2. アクセスする
  3. 訂正する
  4. 忘れられる
  5. 処理を制限する
  6. データポータビリティ
  7. ((自分の)情報の処理方法に)異議を唱える
  8. 自動処理による重要な決定の対象にならない

これまでと比較して、新しく重要とされる権利の一つが、「忘れられる権利」です。

簡単に言うと、料金の負担もなく、自分の個人データを消去するようにデータ管理者に要求できる権利です。  データ管理者はそれを保持する正当な根拠がない限り、不当な遅滞なく全ての個人データ(コンピューターの中のデータ、データベース、それらのコピーデータ、バックアップデータ、移動したコピーデータなど全て)を消去する義務があります。  その処理方法もデータ主体から要求されれば、「きちんとデータが消去された」と証明可能な方法で提示しなければいけません。
これまでは「個人データを収集する側」がその処理に関しての主導権を持っていたとも言えますが、これからはある側面では「個人」にその主導権が移ったとも言えることが GDPR の大きな特徴の一つです。

また AI 技術の発達により、「自動処理やプロファイリング等で、個人について重要な事柄を決定されない様にする権利」が注目されるようになりました。IT 技術・インターネットの発達で、「個人データ」は世界各国を移動し、収集されうることとなったため「個人データの移転」も規制することとなりました。これにより、個人データは移転された先でも守られることになりました。

ブログ版の補足情報として、8.の自動処理による重要な決定の対象にならない、とは、例えばとあるサイトの心理テストの質問にいくつか答えます。 心理テストの結果を見るために質問に答えたため、「心理テストの結果」はデータ主体(個人)の同意のもとで行われています。

ただし、その答えた結果や、それまでのサイト内での閲覧記録、他のテストへの返答などを自動処理で「この人(識別番号の持ち主)は●×△な人!」というようにプロファイリングすることや、心理テストに答えた人たちの統計を取って、別の目的でプロファイリングすることはGDPRに違反しているということになります。

この様に、GDPR とは「EEA 在住個人のデータを守るための法律」であると考えてはどうでしょう。 インターネット環境が浸透し、プライバシーが侵害されるリスクの高いこの時代に相応しい法が施行される、と思えるのではないでしょうか ?

GDPRの基本的な流れ

データ主体の同意の上で個人データは利用・管理されます。 情報を入手して管理する人は「情報管理者(Controller)」です。 その個人データを契約の上で処理・削除・移転する人は「情報処理者(Processor)」です。

ドイツに住んでいる私たちに馴染み深い例で考えてみましょう。 例えば、運転免許の書類の翻訳を直接個人の翻訳者に依頼する場合、情報管理者は翻訳者になります。 会社を通じて書類の翻訳を依頼する場合、会社が情報管理者、依頼された翻訳者が情報処理者になります。

また表に出てくる「データ保護責任者(DPO)」は各企業や店舗にとって必ずしも必要ではありません。 (ドイツの場合は)10人以下の従業員の場合などはDPOは不要となります。 そのため、DPOの居ない企業や店舗などに個人データについての問い合わせをする際には、情報管理者に直接問い合わせます。

当記事はNIPPONip vol.48号の特集から一部を抜粋しています。 特集記事内容は2018年4月末の時点での情報になります。

企業に関するGDPRについての記事はこちらのリンクから → ドイツビジネス情報ブログ

NIPPONip本誌内記事監修:渥美坂井ヤンセン弁護士法人は、フランクフルト、東京、ロンドンのオフィスにて、合計で130名を超える弁護士が協働して、日本語、ドイツ語、英語にてGDPR対応を含む幅広い企業法務についてリーガルサービスを提供しています。

NIPPONip本誌内DPOに関する記事協力:Enobyteは、長年のIT分野での経験に加え、公認データ保護責任者(DPO)によるコンサルティングを通して、今や多くの日本企業のGDPR対応をサポートしています。

参照:EUR-Lex – Europa EU , European Commission, JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(実務編)

SNSでもご購読できます。