ものづくり経営革新等支援機関

GDPRにおけるデータ処理の基本原則(目的の限定・データの最小化・正確性)

https://imamura-net.com

おはようございます!マネジメントオフィスいまむらの今村敦剛です。

何回かのシリーズで、GDPR第5条で示されている、個人データの取り扱いと関連する基本原則についてまとめたいと思います。2回目の今回は「目的の限定」「データの最小化」「正確性」についてです。

当ページの内容は、情報提供のみを目的として提供されており、GDPRがどのようにあなたおよびあなたの組織に適用されるかについて、法的な助言として提供するものではありません。したがって、当ページの記載事項に基づいて判断してはなりません。あなたの弁護士等と協力して、GDPRがあなたの組織に具体的にどのように適用されるのかを、話し合うことをお勧めします。したがって当社は、このページの情報について、法的な保証を行いません。このページに記載されている情報や見解は、予告なしに変更することがあります。

「目的の限定」とは

まずは該当するGDPR第5条1.(b)の日本語仮訳を見てみましょう。

(b) 特定され、明確であり、かつ、正当な目的のために収集されるものとし、かつ、その目的に適合しない態様で追加的取扱いをしてはならない。公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために行われる追加的取扱いは、第 89 条第 1 項に従い、当初の目的と適合しないものとはみなされない。(「目的の限定」)

個人情報保護委員会 一般データ保護規則の条文 より

要は目的外利用をしてはならないということです。(例えば、サービス提供のために個人情報を収集したのに、新サービス案内のためのマーケティングメールを送る等)

データ管理者はまず個人データの処理の目的を明確にしなければなりません。そしてそれ以外の目的での追加的処理の場合は、それが当初の目的と適合するかどうかを評価する必要があります。適合する場合は、もともと収集した際の適法根拠に沿えばいいですが、適合しなければまた別の適法根拠が求められます(例えば改めて同意を得るなど)。

  • また、目的の限定については、前文(50)にも解説があります。特に、当初の目的と適合するかどうかを確認するための切り口として、次の4つが示されています。
  • 当初の目的と予定されている追加的取扱いの目的との間の関連性
  • 個人データが取得された経緯、特に、個人データのさらなる利用に関するデータ主体と管理者との間の関係に基づくデータ主体の合理的な期待
  • 個人データの性質;意図する追加的取扱いのデータ主体への結果
  • 当初の取扱業務及び予意図(原文ママ)する追加的取扱業務の両方についての適切な保護措置の存在

「データの最小化」とは

これについても、該当するGDPR第5条1.(c)の日本語仮訳を見てみましょう。

(c) その個人データが取扱われる目的との関係において、十分であり、関連性があり、かつ、必要のあるものに限定されなければならない。(「データの最小化」)

個人情報保護委員会 一般データ保護規則の条文 より

余分な情報を収集しないように、ということですね。限定するための考え方としては、①必要性と、②つり合い(proportionality)という2つの面から検討することができます。①の必要性については、商品を購入者に宅配便で送るためだけならば、住所や氏名は必要ですが、社会保険番号は必要とはいえませんね。②のつり合いについては、例えば、個人の特定に生体データ(指紋など)をとることなどがあります。そこまでやらなくても代替手段でも目的を実現できるのではないかという場合(指紋認証ではなくIDカードなどでもよい)は、つり合いがとれていない(≒過大なデータの取得)とみなされるかもしれません。

「正確性」とは

該当するGDPR第5条1.(d)の日本語仮訳を見てみましょう。

(d) 正確であり、かつ、それが必要な場合、最新の状態に維持されなければならない。その個人データが取扱われる目的を考慮した上で、遅滞なく、不正確な個人データが消去又は訂正されることを確保するための全ての手立てが講じられなければならない。(「正確性」)

個人情報保護委員会 一般データ保護規則の条文 より

正確性や最新の状態を保つための社内の仕組みや技術的措置を講じる必要性がありそうです。

  • B!

最近の人気記事

1

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 国際標準化機構(ISO)は、現行のISO9001:2015(品質マネジメントシステム規格I)を改訂する準備を進めているようです。現在の ...

2

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 2024年2月、ISO(国際標準化機構)は、マネジメントシステム規格に「気候変動への配慮」を盛り込む形で規格の一部を改定しました。今回 ...

3

おはようございます!マネジメントオフィスいまむらの今村敦剛です。 5Sの考え方がISO9001や14001の運用に役立つことがあります。その逆もあって、ISOの仕組みが5S活動に役立つこともあるんです ...