おはようございます!マネジメントオフィスいまむらの今村敦剛です。
何回かのシリーズで、GDPR第5条で示されている、個人データの取り扱いと関連する基本原則についてまとめたいと思います。初回は「適法性・公正性・透明性」についてです。
データ処理の原則について
データ処理の原則は、欧州初の法的拘束力のある個人データ処理ルールである欧州評議会条約第108条(convention108)や、それに続いて定められた一般データ保護指令(Directive)でも述べられています。もちろん、GDPRでも同様ですが、GDPRにおいては第5条で再定義および補強されています。大まかに言うと、下記の6つの点が、データ処理の原則と言えます。
- 適法性、公正性及び透明性
- 目的の限定
- データの最小化
- 正確性
- 記録保存の制限
- 完全性および機密性
適法性、公正性及び透明性 Lawfulness, fairness and tranparency
GDPR第5条(a)の、適法性、公正性および透明性に関する部分の日本語仮訳を引用します。
(a) そのデータ主体との関係において、適法であり、公正であり、かつ、透明性のある態様で取扱われなければならない。(「適法性、公正性及び透明性」)
個人情報保護委員会 一般データ保護規則の条文 より
適法性について
ここでいう「適法性」とは何でしょうか。データの管理者(個人データの処理方法や目的を決める者。主には個人データを収集する企業や組織など)は、データの処理に関して法的根拠がある場合に限り、個人データは処理されなければならないということを意味しています。もう少し具体的に言えば、GDPRにおいては、下記の法的根拠のいずれかが満たされている場合に、適法だとみなされます。
- 同意 Consent … データ主体の同意がある場合
- 契約の履行 Contract Performance … 契約の履行(サービスの提供)などのために処理が必要である場合
- 法律による義務 Legal obligation … 管理者が従うべき法的義務を満たすために必要である場合(これはEU法または加盟国法のみが対象)
- 重大な利益 Vital interests … データ主体やその他の自然人の重大な利益を保護するうえで必要な場合
- 公共の利益 Public interests … 裁判や徴税、センサスなど調査統計目的の場合
- 正当な利益 Legitimate interest … データ主体の権利と自由を侵害しない範囲で、業務上の理由がある場合(必要性のテストが必要)
上記の具体的な基準などは、加盟国によって異なる場合があります(例えば未成年者の基準となる年齢など)。
公正性・透明性について
公正性や透明性についての具体的な定義はありません。ただし、前文(39)が参考になると思われます。日本語仮訳を引用します。
(39) いかなる個人データの取扱いも適法かつ公正でなければならない。自然人に関する個人データが収集され、利用され、調査され、又は、それら以外の取扱いをされていること、及び、どの範囲の個人データが取扱われており、又は、取扱われることになるのかが、当該自然人に対して明らかにされなければならない。透明性の原則は、それらの個人データの取扱いと関連する情報及びコミュニケーションに容易にアクセスできること及び容易に理解できること、また、明確かつ平易な文言が用いられることを求める。この基本原則は、特に、データ主体に対する管理者の識別名及び取扱いの目的の情報、並びに、関係する自然人に関する公正かつ透明性のある取扱いを確保し、そして、取扱われている自然人に関する個人データの確認及びコミュニケーションを得る当該自然人の権利を確保するためのさらなる情報と関係している。(攻略)
個人情報委員会 一般データ保護規則の前文 より
処理が個人に悪影響を及ぼさないことや、悪影響を及ぼしたとしても正当化されるときは「公正」といえるでしょう。反対に、処理が個人に悪影響を及ぼし、そのような損害が正当化されない場合、処理は公正ではないと言えるでしょう。
また透明とは、個人データを処理する際に、データの管理者(処理の目的や方法を決める者。主に個人情報を取り扱う企業や組織)によるデータ主体(個人)への説明が、タイムリーであり、オープンであり、明確・明瞭でなければならないことを意味すると言えるでしょうか。前文でもあるように「明確かつ平易な文言が用いられること」が求められており、場合によっては子どもにも理解されるような簡潔でわかりやすい言葉で書かれる必要性があります。
このあたりは、プライバシー通知を作成する上で考慮が必要になるでしょうね。