おはようございます!マネジメントオフィスいまむらの今村敦剛です。
シリーズで、GDPR第5条で示されている、個人データの取り扱いと関連する基本原則についてまとめています。3回目で最終回の今回は「記録保存の制限」「完全性及び機密性」についてです。
「記録保存の制限」について
「記録保存の制限」について書かれているGDPR第5条1.(e)の条文(日本語仮訳)を見てみましょう。
(e) その個人データが取扱われる目的のために必要な期間だけ、データ主体の識別を許容する方式が維持されるべきである。データ主体の権利及び自由の安全性を確保するために本規則によって求められる適切な技術上及び組織上の措置の実装の下で、第 89 条第 1 項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のみのために取扱われる個人データである限り、その個人データをより長い期間記録保存できる。(「記録保存の制限」)
個人情報委員会 一般データ保護規則の条文 より
個人情報は、必要以上に保持しないでおこうということです。その個人情報がもう不要になれば、安全に削除しなければならないということでもあります。新規採用者の個人データを収集したならば、採用活動が終われば求職者のデータは保持してはいけません。法定保存期限があればそれに従う必要がありませんし、そのような法定のものがなければ、社内でルール化する必要があります。
「完全性及び機密性」について
完全性と機密性という言葉は、情報セキュリティの三要素であり、"CIA"と呼ばれることがあります。CはConfidentiality(機密性)、IはIntegrity(完全性)、AはAvailability(可用性)の略であり、情報セキュリティを学べば必ず出てくる考え方です。
GDPR第5条1.(f)では、そのうち完全性と機密性のことについて触れられています。完全性とは「データが完全であること(正確で、漏れや抜け、誤りがないこと)」であり、機密性とは「権限ある人だけがアクセスできること」のことを指します。情報セキュリティ三要素のCIAのA(Availablitity)についてはGDPRでは触れられていませんが、これは対策が不要ということではなく、やはり考慮する必要はあると個人的には思います。
これを踏まえて、GDPR第5条1.(f)の日本語仮訳を見てみましょう。
(f) 無権限による取扱い若しくは違法な取扱いに対して、並びに、偶発的な喪失、破壊又は損壊に対して、適切な技術上又は組織上の措置を用いて行われる保護を含め、個人データの適切な安全性を確保する態様により、取扱われる。(「完全性及び機密性」)
個人情報委員会 一般データ保護規則の条文 より
データ管理者は、個人情報の機密性や完全性を確実にするために、技術的措置(アクセス制限やウイルス対策ソフト)はもちろん、組織的措置(ルール作りやルール教育、その見直し等)を行いましょうということですね。特にセンシティブデータ(日本の個人情報保護法でいうところの要配慮個人情報)の扱いは、より完全性と機密性の高い措置を講じる必要がありそうです。経営者も、そのような措置を実現できるように経営資源の配分(要は予算や人の確保)も行わなければなりません。