おはようございます!マネジメントオフィスいまむらの今村敦剛です。
GDPRにおける主要な登場人物(組織)は3者です。データ主体(個人情報の持ち主である個人)のほか、管理者・処理者の3者です。このうち、管理者と処理者についてまとめてみました。
スポンサーリンク
管理者(controller)とは
「管理者」と日本語で書くと一個人のような気がしますが、必ずしもそうではあります。管理者についての定義は、GDPR第4条(7)で定められています。
‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;
「管理者」とは、自然人又は法人、公的機関、部局又はその他の組織であって、単独で又は他の者と共同で、個人データの取扱いの目的及び方法を決定する者を意味する。その取扱いの目的及び方法がEU法又は加盟国の国内法によって決定される場合、管理者又は管理者を指定するための特別の基準は、EU 法又は加盟国の国内法によって定めることができる。個人情報委員会 一般データ保護規則の条文日本語仮訳より
管理者の定義は、下記の3つの要素からなる、といっていいでしょう。
- 自然人又は法人、公的機関、部局又はその他の組織 the natural or legal person, public authority, agency or other body
- 単独で又は他の者と共同で which alone or jointly with others
- 個人データの取扱いの目的及び方法を決定する者 determines the purposes and means of the processing of personal data
これらの要素を一つずつ押さえていきましょう。
自然人又は法人、公的機関、部局又はその他の組織 the natural or legal person, public authority, agency or other body
「管理者」というと、組織の中の責任者というイメージがあります。日本のプライバシーマークなどでは、組織内で個人情報保護の陣頭指揮を執る人を「個人情報保護管理者」などと呼びますが、GDPRの管理者はこれとは異なります。確かにGDPRの定義の上でも自然人がなることもあり得るのですが、実際のところは多くのケースで「管理者」とは、会社や組織によって任命された個人ではなく、その会社もしくは組織そのものを指します。これは、第29条作業部会のOpinion 1/2010でも ‘preference should be given to consider the controller to be the company or body as such’と定められています。
単独で又は他の者と共同で which alone or jointly with others
たとえば、旅行に行きたいと思い、旅行代理店に申し込みをしたとします。その旅行代理店は、航空会社やホテルをデータベースを共有していた場合、これは「共同で」管理者である可能性があります。このような可能性は、グループ会社の場合もあり得ます。従業員データベースや顧客データベースは、親会社が用意をし、それを子会社が利用するというケースもあるでしょう。そのような場合も、親会社と子会社は「共同で」管理者である可能性があります。
個人データの取扱いの目的及び方法を決定する者 determines the purposes and means of the processing of personal data
個人データの取り扱いの目的・方法を決めるということが、管理者であることを定める大きな側面になるでしょう。目的とは「なぜ処理するか」であり、方法とは「どうやって処理するか」という手段のことです。この決定権がある組織が管理者ということですね。一方で処理者は、管理者の指示に従って処理をするだけの組織です。もっとも、管理者に技術的なことについて助言をすることはできるでしょうが、決めるのはあくまでも管理者です。
管理者の役割の一例
- データ主体(個人情報の主)に対して情報提供をする
- 個人データの取り扱いに必要な体制を整える(例えば、データ保護オフィサーや代理人などの選定)
- 処理が正当な理由で行われることを確実にする
- データ主体の権利が尊重されることを確実にする
- リスクの高い処理の場合には、データ保護の影響評価を実施する
- データに対する適切なセキュリティがあることを確実にする
- 個人データの違反があった場合には、データ保護当局(DPA)またはデータ主体への通知が必要かどうかを決定する
処理者(processeor)とは
処理者についての定義は、GDPR第4条(8)で定められています。
‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;
「処理者」とは、管理者の代わりに個人データを取扱う自然人若しくは法人、公的機関、部局又はその他の組織を意味する。個人情報委員会 一般データ保護規則の条文日本語仮訳より
処理者の定義は、下記の2つの要素からなる、といっていいでしょう。
- 管理者とは異なる法人・組織であること
- 管理者に代わり、個人データを処理すること
処理者とは、処理の全部または一部を管理者から請け負う外部委託先を想像すると理解しやすいでしょう。GDPRでは、処理者は管理者の指示に基づいてのみ個人データを処理すること、そして管理者と処理者の間で契約等を書面で交わすことを要求しています。このような管理者の指示を超えて、データ処理の目的や方法を処理者自らが決めることになると、処理者は管理者としてみなされます。
処理者の役割の一例
- EEA域外への個人データの移転を含め、管理者からの文書化された命令でのみ個人データを処理する
- 個人データを処理する権限を与えられた担当者が、確実に機密保持をする
- 安全に個人データを管理する上での必要な措置(第32条に記載)を全て行う
- 個人データ処理を再委託する場合は、その再委託先の管理を確実にする
- データ主体が権利行使を要求した場合、管理者にしたがって適切な技術的および組織的措置を行う
- 管理者が第32~36条(セキュリティ、データ保護の影響評価および違反通知)の義務を遵守するにあたって支援する
- 管理者が要求する場合、データ処理サービスの提供の終了後、すべての個人データを管理者に返却まだは削除する
- 第28条に定める義務の遵守を実証するのに必要なすべての情報を管理者に提供し、必要に応じて監査等に応じる