前回のコラムでは、GDPRの対象となる個人データについて紹介しました。
引続き、基礎編として、GDPRで求められる要求事項を理解するうえで重要となる用語について、解説します。
① 情報管理者(Controller)
GDPRの対象となる個人データを処理する企業のことです(GDPR第4条(7))。個人データの処理についてGDPRの要求事項を遵守する責任があり、GDPR に違反した場合の処罰対象となります。
たとえば、欧州経済領域(EEA)域内の従業員の個人データを処理する日本企業の欧州子会社(A社)は、情報管理者となります。
② 情報処理者(Processor)
情報管理者に代わり、GDPRの対象となる個人データを処理する企業のことです(GDPR第4条(8))。 たとえば、EEA域内の企業(A社)から、給与計算等の個人データの処理業務を受託しているクラウドベンダ―は、情報管理者であるA社に代わって処理しているため、情報処理者となります。
情報管理者は、情報処理者を利用する場合、その情報処理者がGDPRの要求事項を遵守していることを確認する必要があります。
③ 監督機関(Supervisory Authority)
プライバシーや個人情報保護の状況を監督する、独立した公的機関です(GDPR第4条(21))。EU諸国をはじめ各国で設置されています。日本でも、諸外国に倣い、個人情報保護法(2015年9月改正)にもとづき、2016年1月に「個人情報保護委員会」が特定個人情報保護委員会から改組・設置されました。
各国の監督機関は連携しており、本社と異なる国の拠点がGDPRの処罰対象となった場合は、対象拠点の国の管轄監督機関が代理で処罰することが想定されます。
④ 仮名化・匿名化
仮名化(Pseudonymisation)とは、個人を特定できる追加情報とは別に保管され、かつ技術的および組織的対策により、追加情報なしでは個人を特定できないように個人データを処理することを言います(GDPR第4条(5))。たとえば、ポイントカードの利用者の情報は、カードID、氏名、連絡先、生年月日を保有していますが、カードID以外の情報を削除して、カードIDのみを残した場合、これを仮名化といいます。仮名化されたデータは、それ単独では個人を特定できませんが、追加情報を使用すれば個人を特定できることから、仮名化されたデータは、個人データとして取り扱われます。
一方、匿名化(Anonymisation)は、特定の個人を識別できないように個人データを復元不可能な状態に加工することを言います。たとえば、小売店はポイントカードから顧客の売り上げデータを収集していますが、このデータを匿名加工して、商品メーカに提供しています。いつどの店でどんな商品を購入したのか、購買活動データから個人が識別できる情報を除外し、復元不可能な状態である場合、これを匿名化といいます。匿名化データは個人データに該当しないことから、GDPRの適用対象外となります(GDPR前文26項)。
⑤ プロファイリング(Profiling)
プロファイリングとは、能力や趣向等を評価、予測するために行動履歴データ等の個人データを自動化処理(コンピュータ処理)により分析することです(GDPR第4条(4))。たとえば、SNS情報を活用した採用希望者の人物評価、クッキー識別子を利用したオンライン広告事業者によるマーケティングです。
情報主体者である本人には異議を唱える権利およびプロファイリング等の自動化処理(コンピュータ処理)に基づいた決定に服さない権利が認められている一方、企業は情報主体者にプロファイリングを実施する旨、利用目的等を通知し、情報主体者から明示的な同意を取得しておくことが求められています。
⑥ データ保護責任者(Data Protection Officer:DPO)
データ保護責任者は、情報管理者もしくは情報処理者が個人データ保護指針を遵守できているかの監視等を行います(GDPR第39条)。データ保護責任者には、自社の従業員、もしくは業務委託契約に基づいた第三者を選任することができます(GDPR第37条6項)。
なお、データ保護責任者については、2016年12月13日に第29条作業部会からガイドライン(「Guidelines on Data Protection Officers ('DPOs')」)が公表されており、データ保護責任者の設置の条件、選任、位置づけ、業務概要等について定められています。
⑦ 同意(Consent)の要件
個人データを取得する際は、明確な取得方法により情報主体者の同意を得ることが求められます。明確な取得方法として、書面(電磁的記録を含む)、口頭、ウェブサイトでチェックボックスにチェックをいれるといった方法等により、情報主体者が能動的に同意の意思を示したことが分かる必要があります(GDPR第7条1、2項)。
さらに、「特別なカテゴリの個人データ」(GDPRコラム【第4回】参照)の取扱いおよび同意により個人データをEU域外に移転する場合は、その旨の同意を取得する必要があります。
情報主体者はその同意をいつでも撤回する権利があるため、企業は情報主体者からの撤回申請を受け付け、処理する仕組みを整備する必要があります。
その他の論点として、現行のEUデータ保護指令に基づく国内法のうち一部の国において、従業員から取得された同意を自由意思とみなすかどうかの判断に厳格な国も一部あり、従業員データを日本本社等にEU域外移転する場合は留意する必要があります。
最後に、今回解説したGDPRの用語を日本の個人情報保護法の類似する用語と対比すると以下のようになります。
| GDPRの用語 | 改正個人情報保護法の用語 |
|---|---|
| 情報管理者 | 個人情報取扱事業者 (第2条5項、第15条~第35条) |
| 情報処理者 | 委託先 |
| 監督機関 | 個人情報保護委員会 (第59条~第74条) |
| 仮名化・匿名化 | 匿名加工 (第2条9項) |
| プロファイリング | 該当なし |
| データ保護責任者(DPO) | 個人データの取扱いに関する責任者 |
GDPRコラム
- 第1回 EU一般データ保護規則(GDPR)とは (2016.08.25)
- 第2回 GDPRの影響を受ける日本企業と違反時の制裁金 (2016.08.25)
- 第3回 2018年5月の施行に向け必要な取組(基礎編)~要求事項の理解 (2017.04.25)
- 第4回 GDPRの対象となる個人データとは (2017.06.06)
- 第5回 GDPRの用語・概念解説【前編】 (2017.06.27)
- 第6回 GDPRの用語・概念解説【後編】 (2017.07.26)
- 第7回 GDPRのガイドライン概説【特別編】 (2017.08.25)
- 第8回 グローバル企業におけるGDPR対応の進め方(①プロジェクト体制整備編) (2017.09.28)
- 第9回 グローバル企業におけるGDPR対応の進め方(②影響調査編) (2017.10.20)
- 第10回 データ移転規制への対応 (2017.11.28)
- 第11回 GDPR対応のための規程類の整備 (2018.01.23)
- 第12回 個人データ侵害時の監督当局等への通知 (2018.02.07)
- 第13回 インターネットサービス企業でのGDPR対応の進め方 (2018.03.13)
【関連ページ】