近年に生じた技術の変化を受け、欧州議会及び欧州委員会は、存在する大きなリスクから個人情報を保護するために欧州の法制を現代化させるに至った。この法令の現代化は、新個人情報保護規則(以下「新規則」という。)として実現した。
新規則は2018年5月25日からすべてのEU加盟国において適用が開始される。つまり、国内法規への変更手続きを要しない。企業は新規則の規定を守るために必要な措置を取り始めなければならない。
新規則の大きな革新は、以下の2つの要素に分けることができる。
1)率先した責任の原則
個人情報取扱い責任者は、個人情報の取り扱いが新規則に則っていることを保証し示すために、技術的及び組織的に適切な措置を講じなければならない。この原則は、取り扱うデータ、その目的及びデータ取扱いの種類について組織が分析することを要請している。
2)リスク管理
新規則遵守を保証するための対策を講じるにあたって、データ取扱いの性質、環境、状況及び目的のみならず、個人の権利及び自由に対するリスクについても配慮しなければならない。
このリスク管理の観点から、新規則は、個人の権利及び自由に対する高いリスクが存在する場合に取るべき対策及びリスクのレベル及び種類に応じて適応させるべき対策について定めている。
既存の原則の発展
一般的に、新規則は新しい原則を導入するものではなく、既存の原則をより効果的な方法で発展させている。
1) 許可がない以上は禁止
明白に許されていない限り、個人データのいかなる取り扱いも禁止される。新規則において、この禁止の原則はいかなる種類の個人データについて同様に適用される。
2) 目的の限定
企業がデータの収集・編集することができるのは、特定の目的の場合に限られる。このため、データの取得を開始するときにはその目的を定めなければならず、将来の使用についても予め検討しなければならない。
3) データの最小化
事前に定められた目的を果たすために必要な範囲でのみデータの収集が可能である。これにより、過剰なデータ収集を防ぐ。
4) 透明性
利害関係人に対する情報は簡潔かつ透明で理解しやすく、アクセスも容易で、明瞭かつシンプルな言語でなければならない。従前は正確かつ透明でなければならなかった。
5) 守秘義務
企業は顧客の個人データを、技術的及び組織的な盗難から守る義務を有する。これは新しい規定である。情報の盗難が発生した場合、予測可能なリスク及び保存されたデータの種類にとって技術的組織的対策が適切であったことが重要となる。
企業の個人データ取扱い主任者
欧州指令第95/46号は、データ保護の主任者の業務に焦点があてられていた。しかし、新規則では、データ取扱い事業の登録や実際に行う取扱いに適用されるセキュリティ対策の決定といった、個人データ取扱い主任者の義務も含まれている。
企業に関連するものとして、たとえ主たる事業活動がデータ取扱いと関連していないとしても、新規則は、10人以上の個人情報を取り扱う場合にはデータ取扱い主任者を1名おかなければならないとしている。これは中規模の企業に大きく影響を及ぼす。
さらに、新規則では、個人情報保護責任者はデータ取扱い主任者と契約を結ばなければならないと定められている。加えて、新規則はこの契約が含まなければならない内容についても定めている。
また、個人情報保護責任者は、適用すべき対策及びその方法を定めるために、実施するデータ取扱いのリスクの評価を行わなければならない。取り扱うデータに応じて分析の方法は異なるが、大きな組織は存在するリスク分析メソッドを使用した分析をすべきであろう。
データのセキュリティ評価に関する通知
新規則はデータのセキュリティ評価(またはデータのセキュリティ破綻)について広範に定義しており、これには「譲渡、保管又はその他の形態又はコミュニケーションもしくは情報へのアクセス権が無いものによるアクセスにおいて取り扱われた個人情報の破壊、損失又は不慮または故意の変更」を生じさせるような事象のすべてが含まれる。実務においては、顧客情報が入ったノートパソコンの紛失、ある組織のデータベースへのアクセス権のない者によるアクセス(従業員である場合も含む)、又は不慮の情報の消去といったものが、新規則の規定に従ったセキュリティ違反に該当するだろう。
情報セキュリティ違反が生じた場合、企業は当該情報の破損を認知した時点から72時間以内に情報保護管轄機関に通知をしなければならない。
エステル・ウゴ (Hugo Ester)
ヴィラ法律事務所
より詳細な情報につきましては下記までご連絡ください。
2018年3月23日