GDPRの要求事項
最終更新日:2018年05月25日
GDPRでは、個人データ(※1)を扱う管理者および処理者(※2)に対してさまざまな要求事項を定義しています。
ここでは主な要求事項とそれに対する対策についてご案内いたします。
※1:「個人データ」とは
個人データとは、データ主体に関するあらゆる情報を意味します。
データ単体では個人を識別することができなくても、複数のデータを組み合わせることで個人識別につながると考えられる場合、それらのデータも
個人データとみなされます。
例)氏名、識別番号(会員番号、ID番号など)、技術的な情報(GPS情報、IPアドレス、Cookie情報、識別子など)、その他身体的、生理的、
遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
※2:「管理者」および「処理者」とは
GDPRでは個人データを取り扱うものとして3つの立場を定めています。詳しくはこちらをご参照ください。
データ主体の権利の確保
GDPRでは、データ主体は以下のような権利を有するものとしています。
管理者および処理者はデータ主体を守るためにこれらの権利の確保が求められています。
| 個人の権利 | 概要 |
|---|---|
| アクセス権(第15条) | 組織が自分の個人データを処理しているかどうか管理者に確認を求めることができます。 |
| 訂正権(第16条) | 自分に関する個人データが不正確な場合、管理者に修正を求めることができます。 |
| 削除権(忘れられる権利:第17条) | 管理者に対し個人データを削除することを求めることができます。 |
| 制限権(第18条) | 管理者が個人データについて保存以外の処理を行うことができないよう制限を求めることができます。 |
| データポータビリティ権(第20条) | 自分に関する個人データについて、機械処理が可能な形式で受け取って他の管理者に移転することができます。 |
| 異議権(第21条) | 個人データの処理が公益目的の業務遂行、公的権限の行使、または正当な利益の追求を適法根拠として行われている場合、個人データの処理の中止を求めることができます。 |
| 自動的処理のみによる意思決定に服さない権利(第22条) | 自己に対する多大な影響を生じうるプロファイリングを含む自動処理のみにもとづいた判断の対象にならないよう求めることができます。 |
スパイラルでできること
スパイラルでは以下の機能を用いることで、収集する個人データについて操作することができるようになっています。
データ主体の権利を守るために、個人データを収集するにあたって必要な操作を把握し、予め設定しておくことが望ましいでしょう。
データ操作(DBオペレーション):DBに登録されたデータについて編集や削除をすることができます。
マイエリア/フォーム:これらの設定を組み合わせることでデータ主体が自ら個人データへアクセスし、編集や削除をすることができる仕組みを構築することができます。
個人データ侵害時の監督機関への通知
個人データの侵害が確認された場合、管理者は72時間以内にその旨を監督機関へ通知しなければいけません。
72時間以内に通知できなかった場合には遅滞の理由を通知する必要があります。
通知する内容については以下の情報を含める必要があります。
- 個人データ侵害の性質に関する記述、また可能であれば関連するデータ主体の種類と概数、関連する個人データの記録の種類と概数
- データ保護責任者の氏名および連絡先の詳細
- 個人データ侵害から生じ得る結果
- 個人データ侵害に対応する管理者が講じる、または講じようとしている措置
また、処理者によって個人データが処理されている場合、処理者は個人データ侵害を認識した場合に遅滞なく管理者に通知する義務があります。
EU域外へのデータ移転制限
EEA(欧州経済領域)の領域外にある第三国への個人データの移転は、以下いずれかに該当する場合にのみ許可されます。
(1) 十分認定
GDPR相当の十分な保護措置を保証していると欧州委員会が認定した国、国の一部領域、国の一部セクター、または国際組織への移転であること。
(2) 契約による枠組み
移転先の管理者および処理者が適切なデータ保護措置を提供することについて法的拘束力のある義務があり、データ主体の権利の
法的強制・救済が可能であること。
(3) 特別な例外
その他、特別な場合の例外(データ主体の明示的な同意がある場合/データ主体を当事者とする契約の履行に必要な場合/データ主体または
第三者の重大な利益のために必要な場合 など)
データ保護影響の評価(DPIA)
データ保護影響評価(Data Protection Impact Assessment: DPIA)は、情報主体者のプライバシーに対するリスクを測定、分析、評価する、
プライバシー保護対策の1つでありリスク軽減対策を評価する手続きのことを指します。
目的に照らして個人データ処理が必要な範囲に限定されているか、また過度にプライバシーを侵害していないかを確認して、個人のプライバシーに
及ぼすリスクの程度を評価します。
個人データの処理が自然人の権利と自由に高いリスクを及ぼす可能性が高い場合、管理者は取扱前にDPIAを実施しなければなりません。
DPIAの実施が要求される場合
- 個人的側面の系統的かつ広範な評価をプロファイリングなどの自動処理で行い、その結果個人に法的効果または同等の重大な影響を与える場合
- 人種・民族的起源、政治的意見などの特別カテゴリの個人データまたは犯罪関係の個人データを大規模に処理する場合
- 公衆が立ち入れる場所で大規模、系統的な監視を行う場合
データ保護責任者(DPO)の指名
データ保護責任者(Data Protection Officer:DPO)の設置は、全ての企業において必須というわけではありません。
管理者または処理者は、以下のいずれかに該当する場合は、DPOを選任しなければなりません。
DPOの設置が要求される場合
- 官公庁または公共機関により個人データ処理が実施される場合
- 管理者または処理者の中心的業務がデータ主体に対する定常的かつ系統的で大規模な監視を必要とする個人データ処理業務である場合
- 管理者または処理者の中心的業務が、特別カテゴリーのデータまたは有罪判決および犯罪に関する個人データの大規模な処理である場合