DRIブログ

厳しさは国内法の100倍? これからのGDPR対策について(2/2)

2019/07/31 0:00:00 / by 仲程 隆顕

はじめに

前回はGDPRが適用になる場合とGDPR最新動向についてご紹介いたしました。 

前回の記事を読む

今回はGDPR特有の権利とその対策についてご紹介いたします。

GDPRではデータ主体に認められている権利が全部で8つあります。その中には日本の個人情報保護法でも認められているものと認められていないGDPR特有のものがあります。今回はGDPR特有の権利の中から「忘れられる権利」、「データポータビリティの権利」、「異議を述べる権利」の3つについてご紹介します。GDPR特有の権利についてご理解いただき、今後のお取り組みの参考にしていただければ幸いです。

<データ主体に認められる8つの権利一覧>

gdpr2_list

出典:図解入門ビジネス 最新GDPRの仕組みと対策がよ~くわかる本

 

GDPR特有の権利とは?
  1. 忘れられる権利
    個人データを消去してもらう権利です。権利が認められる場合、企業は遅延なく個人データを消去する義務を負います。

  2. データポータビリティの権利
    データ主体が企業に対して提供した個人データを、構造化され、機械可読性のある形式(CSV、JSONなど)で受け取る権利です。また、その個人データの提供を受けた企業から妨げられることなく、別の企業に対し、個人データを移行することもこの権利によって保障されています。

  3. 異議を述べる権利(異議権)
    次の3つの場合に、データ主体自身の個人データの処理に対し異議を述べることができる権利です。この処理には、プロファイリングが含まれます(第21条第1項第1文、同条第2項)。異議が認められた場合、企業は該当データを取り扱うことが出来なくなります。
    1. 公共の利益
      個人データの処理が、第6条第1項
      (e)にいう公共の利益のためまたは管理者に付与された公的権限の行使のために行われている場合(例:宗教団体の個人データの取扱いや政党による選挙活動期間中の個人データの取扱いなど(参考:GDPR前文第55,56項))
    2. 正当な利益
      個人データの処理が、第6条第1項
      (f)にいう管理者または第三者の正当な利益のために行われている場合
    3. DM
      個人データの処理がダイレクトマーケティングのために行われる場合


      出典: Information Law EUデータ保護規則(GDPR)―データ主体の権利⑦:処理に対して異議を述べる権利(Right to objected)

 

ⅲ.について、データ主体がダイレクトマーケティングの目的のための取扱いに対して異議を述べる場合、その個人データは、そのような目的のために取り扱われてはいけません(GDPR213。言い換えると、ダイレクトマーケティング目的の個人データの取扱いについて異議を述べられた場合、企業は無条件に当該データの取扱いを停止しなければならなりません。

国内法では目的外利用不正な手段による取得の場合のみ、異議を述べることができます。GDPRではより広い範囲で異議を述べることが認められているため、今回はGDPR特有の権利として紹介させていただきました。

 

企業は各権利にどう対応すべきか?

 データ主体から各権利に基づく申請を受けた場合、企業が最初に行うことは、権利が認められる要件を満たしているか確認することです。

  1. 忘れられる権利への対応
    忘れられる権利は無条件に認められるわけではなく、第171項の要件のいずれかを満たす場合にのみ認められるため、6つのどの項目に該当するか確認します。いずれかに該当する場合は、該当する個人データを消去します。
    1. 収集された目的又はその他の取扱いの目的との関係で、必要のないものとなった場合
    2. データ主体が、個人データの取扱いの根拠である同意を撤回し、かつ、取扱いのための法的根拠が他に存在しない場合
    3. データ主体が、第21条第1項によって取扱いに対する異議を述べ、かつ、その取扱いのための優先する法的根拠が存在しない場合、又は、第21 条第項によって異議を述べた場合
    4. 個人データが違法に取り扱われた場合
    5. その個人データが、管理者が服するEU 法又は加盟国の国内法の法的義務を遵守するために消去されなければならない場合
    6. 情報社会サービス(※1)の提供との関係において収集された場合

      1情報社会サービス
      遠隔地において、電子的手段によって、サービスの受領者の個々の要請に応じて提供されるサービス(Directive(EU)2015/1535 1条1項(b))


  2. データポータビリティの権利への対応
    忘れられる権利と同様に無条件に認められるわけではなく、第201(a)(b)を満たす場合にのみ認められるため、それらの条件を満たすか確認します。個人データの取扱いに関して、データ主体が同意を与えた場合、またはデータ主体が契約当事者となっている契約に基づく場合で、なおかつ、その取扱いが紙媒体などではなく、コンピュータをシステムで行われる自動化された手段によって行われる場合であることがデータポータビリティの権利として認められる条件です。

  3. 異議を述べる権利(異議権)への対応
    下記のいずれかの理由によって、やむを得ない正当な根拠があることを証明します。
    • データ主体の利益、権利、自由よりも優先する取扱いである
    • 訴えの提起及び攻撃防御のために必要である

 

企業はまずここに取り組むべき

各権利の申請に対し、迅速かつ漏れなく対応するために、該当する個人データが社内のどこにあるのか把握する必要があります。そのために実施すべきなのは、データカタログの構築とデータリネージュの管理です。

データカタログに関する記事を読む

データカタログの構築は、社内で管理している膨大なデータから該当する個人データを識別するために実施します。該当する個人データを迅速に把握するのに有効です。

データリネージュの管理は、個人データが社内のどこで登録され、どこで利活用されているのかを把握するために行います。社内で最初に登録されたデータのみ消去しても、データの利用部門に個人データが残っていると、その対応は不十分です。データリネージュの管理は、データの取扱い停止、消去、移転などに漏れなく対応するために有効な施策です。

 

おわりに

2回にわたりGDPR未対応の企業に向けて、GDPRについてご紹介しました。施行から1年が経ちましたが、どのように解釈したらいいのか不透明な点も多く、GDPRへの対応を難しくしています。実際の運用がどのように行われるのか今後の動向にも注目しましょう。ここで述べた内容は日本企業が対応しなければならないGDPRのほんの一部にすぎませんが、これをきっかけにGDPR対策を進めていただければ幸いです。

 

Topics: データマネジメント

仲程 隆顕

Written by 仲程 隆顕