個人データを、ビジネスを守る、IIJ

用語集

アカウンタビリティ

Eng

Accountability

「アカウンタビリティ」とは、義務を遵守していることを証明できること、「アカウンタビリティ責任」とは、義務を遵守していることを証明する責任です。アカウンタビリティはGDPRを理解する上で極めて重要な概念です。GDPRが管理者に課する義務は、管理者がその遵守を証明する義務を課され、証明できない場合には遵守していないとみなされるという構造が見られ、また、アカウンタビリティのコロラリーとして、GDPRに基づく是正、救済を求める争訟手続における立証責任の転換に結びついています。管理者のアカウンタビリティ責任に関する明文の規定として、個人データ処理原則遵守の証明義務を規定した第5条第2項、データ侵害事故発生時の監督機関への72時間以内届出義務を履行できない理由の説明義務、届出が必要ないと管理者が判断する場合の記録作成義務、データ保護影響調査(DPIA)の実施等についてデータ保護役(DPO)の助言に従わない場合の記録作成義務などが見られます。

アクセス権

Eng

Right of access

データ主体が管理者に対して、自身に関する個人データ処理の有無及び内容について情報開示を求める権利。第15条に規定されています。開示義務対象となる情報は、処理の有無、第三国移転関係、処理期間、取得源、自動処理の有無・内容・影響などです。アクセス権は、個人データ処理の適法根拠、目的比例性など、その適法性、透明性、公正性について、データ主体が検証する機会を提供し、データ主体の権利行使を容易にするためのものであると前文63項で位置づけられています。

異議権

Eng

Right to object

(1) 公益、公的権限行使、又は正当利益追求を適法根拠とする個人データの処理について、データ主体が異議を述べる権利(第21条第1項)。異議があった場合、管理者は、異議の理由に優先するような差し迫った適法根拠を立証できなければ、処理を中止しなければなりません。優先する適法根拠の立証責任は管理者側にあります。
(2) ダイレクト・マーケティング目的の個人データ処理について、データ主体が異議を述べる権利(第21条第2項)。この場合、管理者は例外なく処理を中止しなければなりません。

移転

Eng

Transfer

移転の定義はGDPRでも、旧指令(95/46/EC)でも直接には与えられていません。移転に関する規制内容から推論すると、現在個人データを処理している管理者又は処理者が、別の管理者又は処理者が処理できる状態に当該個人データを物理的若しくは論理的に置き、又は別の管理者若しくは処理者に当該個人データの内容を伝えることであると考えられます。「物理的又は論理的に」というのは、個人データの物理的実体であるファイルを別のサーバーに移動又は複写して、その物理的な実体の所在を変更することだけではなく、別の管理者又は処理者に対して個人データにアクセスする権限(例えばファイルやデータベースを閲覧するアカウント、権限など)を付与することも、個人データ保護の観点という法の趣旨に照らせば移転と解されるとの意味です。

越境処理

管理者/処理者による個人データの処理で、a) 2カ国以上の加盟国に所在する事業所における事業活動としての処理を伴うもの、又は、b) 2カ国以上の加盟国に在住するデータ主体に対して重大な影響を及ぼす可能性が高いものです(第4条(23))。

欧州データ保護会議

Eng

European Data Protection Board: EDPB

GDPR第68条に基づき設立される予定の欧州連合の組織です。各加盟国監督機関の長、欧州各機関の代表、欧州委員会の代表などから構成されます。EU全域におけるGDPRの一貫性ある運用に貢献するため、欧州委員会への助言、各加盟国監督機関の間の紛争解決と調整、GDPR運用のためのガイドライン発行、データ保護に関するベストプラクティスの提言などの業務を行います。旧指令(95/46/EC)に基づく同様の機関である29条作業部会(Article 29 Working Party)の実質的な後継機関ですが、法人格を持つ欧州連合の組織としてその位置付けと権限が強化されます。

管理者

Eng

Controller

個人データ処理の目的及び処理を決定する自然人又は法人など(第4条第7項)です。複数の企業が共同して管理者の地位に立つことも可能です(共同管理者、joint controller)。共同管理者」の間ではその義務の分担について明確な協定が必要です(第26条)。

旧指令(EU個人データ保護指令)

正式名称:Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data。1995年制定。法形式はdirective(指令)であり、EUのすべての加盟国で同指令に基づく国内法が立法され、個人データ保護に関する現行法となっています。GDPR第94条の規定に基づき、GDPR施行とともに廃止されます。

拘束的企業準則

Eng

Binding corporate rules, BCR

複数企業からなるグループにおける個人データの処理と移転に関する法的拘束力ある内部規則です。監督機関の承認を受けたBCRは、第三国へのデータ移転を認める根拠となる適切な保護措置の一つとされています(第46条第2項)。
BCR承認のポイントは、GDPRが適用されない第三国においても保護措置の義務及びデータ主体の権利が管理者/処理者に対して法的拘束力を持ち、データ主体がこれを法的に強制するとともに、司法手続を通じて法的救済を得られることです。
BCRの必要的記載事項は第47条で指定されていますが、大きく分けて、1) 遵守すべきデータ保護ルールの内容、2) グループ内で遵守を実現する手段(監査、教育、苦情処理など)、3) BCRに拘束力を与え、データ主体に強制可能性を与えるしくみ、の3点です。

個人データ

Eng

Personal data

個人データとは、「識別特定された(され得る)個人に関する情報」です(第4条第1項)。「識別特定され得る個人」とは、一定の識別子(氏名、識別番号、位置データ、オンライン識別子など)や属性要素(当該個人の物理的、生理的、遺伝子的、精神的、文化的、社会的なアイデンティティに固有の属性要素)を参照することにより、直接的に又は間接的に識別特定され得る個人とされています。

個人データの侵害

Eng

Personal data breach

事故又は違法行為により、転送中、保存中又はその他処理中の個人データが破壊され、失われ、変更され、権限なく開示され、又はアクセスされること(第4条(12))です。個人データの侵害が発生した場合、管理者は不当な遅滞なく、可能な場合は侵害を知った時点から72時間以内に、担当する監督機関に届け出るとともに、不当な遅滞なく、データ主体に通知しなければなりません(第33,34条)。

削除権

Eng

Right to erasure

処理目的に照らし個人データ保持がもはや不要な場合、データ主体が同意を撤回した場合、データ主体が異議権を行使し、管理者がこれに優先する適法根拠を示せない場合、ダイレクト・マーケティングを目的とする処理についてデータ主体が異議権を行使した場合などにおいて、データ主体が管理者に対して個人データの削除を求める権利です(第17条)。管理者は不当な遅滞なく、これに応じる義務があります。管理者が削除権行使に応じる必要がない例外的な場合として、表現の自由の行使のために必要な場合、法的義務の遵守や公的権限の行使のために必要な場合などがあります。

自動化された意思決定

Eng

Automated individual decision-making, including profiling

データ主体に関する個人データ(データ主体から直接提供されたものに限らず、データ主体の行動監視から得られた個人データ、例えば金融取引履歴、web閲覧履歴、地理的移動履歴などを含む)に対して自動的に分析、評価、得点化などを行った結果だけを根拠とし、人間による判断を介在させずに行われる意思決定です。第22条第1項は、自動化された意思決定がデータ主体に法的効果を発生させ、又はこれと同様の重大な影響を及ぼす場合、データ主体はこのような意思決定に服さない(従わない)権利があると規定します。ただし、データ主体が明示的に同意した場合、契約の締結又は履行に必要な場合など例外的な場合には、自動化された意思決定が許容されます。例えば、データ主体の自動車運転データを送信する装置を自動車に装着し、運転データを提供することを保険料割引条件とし、運転データの自動的分析に基づくデータ主体の安全運転評価が保険料率の算定に影響することを内容とする保険契約を締結し履行しようとする場合などが該当すると考えられます。このような例外的な場合にも、当該意思決定に反論する機会をデータ主体に保証するなど、適切な保護措置が必要です(第22条第2項)。

主たる監督機関

Eng

Lead supervisory authority

複数加盟国の監督機関が関係する個人データの「越境処理」(cross-border processing)に関して主たる監督責任を持つ監督機関です。主たる監督機関は、越境処理に関係する管理者/処理者の事業所に対して行われる関係監督機関による調査など権限行使を調整します。複数の加盟国に事業所を有する管理者/処理者の主たる監督機関の決め方については、GDPR第56条に規定されています。原則的には、欧州統括拠点としての機能をもつ事業所の所在国を管轄する監督機関がその企業にとっての主たる監督機関となりますが、欧州統括拠点以外の事業所において個人データ処理に関する目的及び手段に関する意思決定が行われ、当該事務所がそのような意思決定を実施に移す権現を持っている場合には、当該事務所が当該個人データ処理(という一つの越境処理)については主たる監督機関となります。このような決め方なので、越境処理1件毎に主たる監督機関が異なる場合があります。

処理

Eng

Processing

個人データ又はその集合に対して行われるあらゆる作業又は一連の作業です。例として、取得、記録、体系化、構造化、保存、修正又は変更、検索、参照、利用、転送・配布などによる開示、整列・結合、制限、消去、破壊が挙げられています(第4条第2項)。

処理者

Eng

Processor

管理者のために個人データの処理を行う自然人、法人などです(第4条第8項)。管理者は処理者を利用する場合には、GDPRの遵守を十分保証する処理者を選ぶ義務があり(第28条第1項)、処理者は、管理者からの文書による指示に基づいてのみ、データを処理することとされています(第28条第3項)。

制限権

Eng

Right to restriction of processing

個人データの正確性に問題がある場合、個人データ処理が適法性根拠(同意、契約履行上の必要など)を欠いている場合、処理が目的比例性を欠く場合などの場合において、データ主体が管理者に対して、保存以外の処理を制限することを要求できる権利です。第18条に規定されています。

第三国

Eng

Third country

欧州経済領域 (European Economic Area = EEA)の領域外にある国や地域。第三国への個人データの移転は、GDPR第5章が規定する条件をみたす場合にのみ許されます。EEAは、EU及びEU加盟国とアイスランド、リヒテンシュタイン及びノルウェーとの間のEEA協定(1994/1/1)に基づき、EU加盟国以外の3カ国が「単一市場」(European Single Market)に参加する(=人、モノ、資本、サービスがEUとの間で自由に移動できる)ことを認める一方で、3カ国が経済社会分野についてEU法の適用を受けることを内容とする枠組です。これらの3カ国ではGDPRも適用されます。

訂正権

Eng

Right to rectification

データ主体が、自分に関する個人データが不正確な場合に、管理者に修正を求めることができる権利です(第16条)。処理の目的との関係において不十分な個人データを補完することを求めることもできます。データ主体からの要求に対して管理者は、原則として1ヶ月以内に対応しなければなりません。

適法性根拠

Eng

Legitimacy ground

個人データの処理が適法に行いうる根拠。第5条第2項で以下の6条件が限定列挙されています: 1) データ主体が同意した場合、2) データ主体を当事者とする契約の履行のため必要な場合、3) 管理者の法的義務履行のため必要な場合、4) データ主体等の重大な利益の保護のため必要な場合、5) 管理者の公的権限行使等のため必要な場合、6) 管理者又は第三者の正当な利益の追求のため必要な場合。

デザインとデフォルトによるデータ保護

Eng

Data protection by design and by default

「デザインによるデータ保護」とは、管理者は、個人データ処理を含む業務の初期設計及び実施の両時点において(つまり当該業務のライフサイクル全体にわたって)、データ保護の6原則(適法、目的限定、最小化、正確、保存制限、完全・機密)を実現するとともに必要な保護措置が処理手順自体に組み込まれるよう、個人データ処理を含む業務を設計しなければならないというポリシーです。詳細は第25条の解説を参照。
「デフォルトによるデータ保護」とは、 業務を予め決めた手順に従って(デフォルト状態で)実行した場合、自動的に適切な保護措置が機能するようにデフォルト状態を定義しなければならないというポリシーです。詳細は第25条の解説を参照。

データ主体

Eng

Data subject

個人データによって識別特定された(され得る)自然人(第4条(1))です。例えば「氏名」と「住所」のデータセットは個人データ、このデータセットにより識別特定される個人がデータ主体です。

データ主体の権利

Eng

Rights of the data subject

管理者による個人データの処理が透明かつ公正であることを担保するためにGDPRによりデータ主体に認められた権利(前文60項)。具体的には、情報提供を受ける権利(第12-14条)、アクセス権(第15条)、訂正権(第16条)、削除権(第17条)、制限権(第18条)、データ・ポータビリティ権(第20条)、異議権(第21条)、プロファイリングなど自動化された意思決定に服さない権利(第22条)が規定されています。

データ保護影響調査

Eng

Data protection impact assessment: DPIA

個人データ処理について、(1)目的に照らした処理の必要性・比例性、(2)処理に伴うリスク、(3)リスク軽減対策を事前評価する手続です。データ処理がプライバシーに高リスクを及ぼす可能性が高い場合、管理者はDPIAを実施しなければなりません(第35条第1項)。DPIAの結果、高いリスクを及ぼすと評価された場合には、管理者は監督機関に事前相談しなければならず(第36条第1項)、監督機関は必要に応じて助言を与え、処理の制限、禁止などを命じることができます。

データ処理原則

Eng

Principles relating to processing of personal data

個人データを処理する場合に遵守しなければならない最も重要な原則として第5条第1項に規定された6つの原則:「適法性」「目的限定」「データ最小化」「正確性」「保存制限」「完全性・機密性」です。以降の条文に規定されている個別の処理ルールは、これらの原則を具体的、詳細に規定するものです。例えば、6原則の遵守をデータ主体が検証、確保するために第3章ではアクセス権、制限権などのデータ主体の権利が規定され、完全性・機密性を確保するために第4章には管理者/処理者がとるべき具体的な保護措置が規定されています。

データ保護役

Eng

Data protection officer: DPO

管理者/処理者が指名し、GDPRの遵守状況監視、DPIAに関する助言、監督機関と管理者/処理者との窓口などの職務を行う役職です。DPOと略称されます。公的機関、中心業務において定常的・大規模な監視を行う管理者/処理者などはDPO指名義務があります。指名義務は加盟国法による上乗せ規制が可能で、旧指令(95/46/EC)に基づくドイツ国内法では、10名以上の正社員が個人データ処理に携わる場合にはDPO指名を義務化しており、GDPR施行に伴い、他の加盟国でも上乗せ規制が予想されます。DPOについては、最高経営レベルに直接報告できる地位、職務に関する独立性と利益相反の禁止、守秘義務などが求められます。

データ・ポータビリティ権

Eng

Right to data portability

データ・ポータビリティ権は、データ主体が、管理者が処理する自己に関する個人データを構造化され、一般的に利用され、機械で読み取れるフォーマットで提供することを管理者に要求できる権利です(第20条)。データ・ポータビリティ権の行使により、データ主体は自分がそのようなファイルを受け取るだけではなく、別のデータ管理者に対して直接個人データを構造化したファイルを移転することを求めることができます。アクセス権と異なり、データ・ポータビリティ権を行使できるのは、(1)データ主体の同意又は (2)データ主体を当事者とする契約の履行のため必要であることを適法性の根拠として処理されている個人データに限られます。データ・ポータビリティ権の対象となる個人データは、自動化手段により処理(つまり、コンピュータ、監視カメラ、GPSなどを利用する処理)されているデータに限定され、紙媒体上の個人データは対象となりません。また、データ・ポータビリティ権の対象となる個人データは、データ主体が提供したデータに限定されますが、位置情報追跡、ネット行動監視、監視カメラによる行動監視、スマートメーター記録など、データ主体の行動を管理者が監視した結果として得られた個人データも含まれます。

29条作業部会

Eng

Article 29 Working Party

旧指令(95/46/EC)第29条に基いて設置された作業部会。構成員は、EU各加盟国の監督機関代表、EU諸機関の代表、欧州委員会の代表。任務は旧指令第30条に列記されており、主なものは:旧指令に基づく加盟国ごとの措置の一貫性確保のための検討、欧州委員会に提言、意見、作業ペーパーを提出することなどです。GDPR施行に伴い、欧州データ保護会議(EDPB)に改組されます。

標準契約条項

Eng

Standard contractual clauses: SCC

GDPRの適用がない第三国領域所在の管理者/処理者への個人データの移転を適法化するためにデータ輸出者とデータ輸入者との間で締結する契約に含むべき条項であって、GDPRと同等の十分な保護措置を法的拘束力を持つ(legally binding)義務として 関係当事者(データ輸出者、データ輸入者、その後の復処理者など)に課すとともに、関係当事者、データ主体及び監督機関がこれらの義務を法的に強制でき(legally enforceable)、データ侵害の場合にはデータ主体が裁判などを通じて是正措置又は賠償など法的救済を受けられるなどの内容を規定するもの。旧指令に基づくSCCモデル条項を欧州委員会が公開している。GDPRでは、第46条第2項(c)(d)に位置付けられ、欧州委員会が決定(decision)するもの又は加盟各国監督機関が採択し欧州委員会が承認(法形式はdecision)するもの、の2通りが規定されている。

復処理

Eng

Sub-processing

処理者から別の処理者(「復処理者」)に処理を再委託すること。処理者は、復処理を行おうとするときには、あらかじめ書面で管理者の承認を得なければなりません。この承認は(再委託を許す条件を示して)包括的に与えてもよく、再委託の案件ごとに審査の上個別に承認を与えることもできます。処理者は、復処理者を追加、変更しようとするときには、管理者に事前に通知し、管理者が異議を述べる機会を確保しなければなりません(第28条第2項)。
管理者、処理者、復処理者、復復処理者と再委託が連鎖する場合も、書面による契約で、管理者が当事者である当初の処理契約と同じデータ保護義務を課さなければなりません。復処理者(復復処理者)が義務を履行できない場合には、直前の委任者が管理者に対してすべての義務を負うものとされます(第29条第4項、第9項) 。

リスクベース・アプローチ

Eng

Risk-based approach

リスクベース・アプローチとは、個人データの処理に伴うデータ主体の権利及び自由に対する様々なリスクについて、管理者は、a)そのような様々なリスクシナリオ、b)データ処理がどのように行われるか、c)データ処理の範囲、d)データ処理が行われる状況、f)データ処理の目的を考慮して、それぞれのリスクシナリオの蓋然性及びデータ主体にとっての深刻度合に応じて、当該データ処理がこの規則を遵守して行われていることを保証し、そのような遵守を証明できるような、組織的対策及び技術的対策を実施しなければならないというデータ保護への取組み方です(第24条第1項)。絶対的な尺度では同じ保護措置でも、処理に伴うリスクの大小に応じて、当該保護措置が十分かどうかの評価が違い、管理者のアカウンタビリティ責任の重さはリスクの大小に応じて差が生じることになります。

BCR

拘束的企業準則

Cross-border processing

越境処理

DPIA

データ保護影響調査

DPO

データ保護役

EDPB

欧州データ保護会議

EEA (European Economic Area)

EU個人データ保護指令

旧指令

SCC

標準契約条項