GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制(19) – 個人データ処理に関する基本原則

 

GDPR第5条には、以下の個人データの処理に関する原則が規定されています。

今回から、この「個人データ処理に関する基本原則」に入っていきます。

 

【目  次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 個人データ処理に関する基本原則」とは

Q2: 適法性、公正性および透明性」とは

Q3: 目的のかつ目的による制限」とは?

Q4: データ最小化」とは?

 

Q1: 個人データ処理に関する基本原則」とは

A1: 以下の通りです。

① 適法性、公正性および透明性

② 目的のかつ目的による制限

③ データ最小化 (以上今回解説)

④ 正確性

⑤ 保存期間の制限

⑥ 完全性および秘密性

⑦ 説明・証明責任

 

Q2: 適法性、公正性および透明性」とは

A2:  個人データは、データ主体との関係において、(a)適法に(lawfully)、(b)公正に(fairly)かつ(c)透明性のある方法で(in a transparent manner)処理されなければならない(5(1)(a))という原則です。

(a)の処理(processing)の適法性とは、個人データの取得から削除・消去に至るまで全ての処理(取扱い)について以下の通り第6条または第9条に限定列挙されたいずれかの根拠が要求されるという原則です。

(i)  一般の個人データ: 第6条に定めるデータ主体(本人)の同意、契約履行上の必要性など。

(ii) 特別カテゴリーの個人データ(人種・宗教などに関する個人データ): 第9条に定めるデータ主体(本人)の明示的同意、雇用関係における必要性など。

処理の適法性についてはこのシリーズの後の回で詳しく解説します。

(b)の処理の「公正さ(fairness)」については、GDPRに直接的な定義はありません。しかし、一般的には、処理の「公正さ(fairness)」とは、個人データを、データ主体が合理的に予測可能な(would reasonably expect)範囲でのみ処理し、データ主体に対し、正当化できない悪影響(unjustified adverse effects)を及ぼす処理を行ってはならないことと解されています(参照:英国監督機関IOCサイト[1])。

(c)の個人データの処理の「透明性」(transparency)とは、データ主体に対しその処理に関する情報が十分に提供されることを意味する(前文39)とされています。具体的には、GDPRの第3章(Chapter III: データ主体の権利)第1節(Section 1)のタイトルが “Transparency and modalities”となっています。従って、透明性(transparency)の内容は、この第1節の規定(第12条~第15条)に基づき管理者などが行うべきデータ主体への情報提供・開示などであると解されます(前文39も参照)。この「透明性」についてはこのシリーズの後の回で詳しく解説します。

 

Q3: 「目的のかつ目的による制限」とは?

A3: 個人データは、特定・具体的で(specified)明確(explicit)かつ正当な(legitimate)目的のために取得されなければならず、また、この取得目的と両立しない(incompatible)[「適合しない」と訳す例もある]方法で処理されてはならない(“purpose limitation”)という原則です(5(1)(b)) (*)

(*) 上記の前半は目的(自体)の制限、後半は目的による(処理の)制限です。従って、5条1項(b)にある”purpose limitation”とは「目的のかつ目的による制限」を意味すると解されます。

管理者は、個人データの取得前から処理の目的を明確にし、これを記録し(30)、かつ、取得の際、その目的についてデータ主体に情報提供(通知)しなければならない(13, 14)とされています。

また、管理者が、個人データを当初データ主体に情報提供した目的(以下「当初目的」という)以外の目的(以下「他の目的」という)で、[データ主体の同意を得ることなどをせずに、]処理する(further processing)には、他の目的が当初目的と「両立する」(compatible with)ものでなければならない(5(1)(b))(以下「目的の両立性」という)とされています。

【「目的の両立性」の判断方法】 他の目的が当初目的と両立する(compatible with)かどうかの判断は、特に次の事項を特に考慮して行う(6(4))とされています。

- 両目的の関係(link)/個人データの取得状況(the context)およびデータ主体と管理者との関係[から判断して、データ主体の合理的な予測の範囲内かどうか]/個人データの内容(特に、特別カテゴリーの個人データ(9)、有罪判決・犯罪行為に関する個人データ(10)かどうか)/他の処理目的での処理の結果データ主体に生じ得る結果

他の目的が当初目的と「両立する」場合、その「他の目的」での処理に、当初取得目的での処理と異なる処理の適法性の根拠は要求されません(前文50参照)。従って、他の目的が当初目的と「両立する」限り、当初取得目的での処理についてデータ主体の同意などの「処理の適法性の根拠」がある限り、他の目的での処理も、改めてデータ主体の同意を得ることなどをしなくても、行うことができることになります。

反対に、他の目的が当初目的と「両立しない」場合には、他の目的での処理について改めてデータ主体の同意を得ることその他「処理の適法性の根拠」を具備しない限りその処理はできません。

 

Q4: データ最小化」とは?

A4: 個人データの取得・利用その他処理は、その処理の目的との関係において、適切・妥当(adequate, relevant)かつ必要な範囲に限定されなければならない(5(1)(c))という原則です。

より具体的には、取得・利用・保存する個人データの内容(nature)および量(amount)が、処理目的との関係で適切・妥当、均衡し(proportionate)(均衡性・比例性)かつ必要な範囲でなければならない、言い換えれば、過剰(excessive)であってはならないという原則です。

【適切性(adequacy)】 よりプライバシー侵害度が低い(less intrusive)または悪影響が少ない他の処理手段があればその別の手段を用いるべきであるとされます。

【「データ最小化」原則に反する例】

(a) 個人データの処理目的が、個人データの匿名化・データの一部削除・データの一般化(例:生年月日を削除し年齢層に置換え)などをしても達成できるのであれば、原データのままの処理は不適切・過剰であり、「データ最小化」原則に反するとされます。

(b) 個人を特定・識別するため、よりプライバシー侵害度が低い(less intrusive)他の手段(例: IDカードの利用)があるのに、生体データ(例:指紋)を利用する場合、生体データの利用は、処理の目的(個人の特定・識別)に対して不適切・過剰であり、「データ最小化」原則に反するとされます。

 

今回はここまでです。次回は「個人データ処理に関する基本原則」の残り(「④ 正確性」以下)を解説します。

「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー

【著者GDPR・Cookie規制関連本】

GDPR関連資格CIPP/E準拠 詳説GDPR (上) – GDPRとCookie規制」 2019年11月

GDPR関連資格CIPP/E準拠 詳説GDPR (下) – GDPRとCookie規制」 2019年11月

【著者の最近のプライバシー関連著作】

NEW!!中国の国家安全保障と「中国サイバーキュリティー法」の執行規定 ~「公安機関インターネットセキュリティー監督検査規定」の概要~』 企業法務ナビ, 2020/09/24

Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

カリフォルニア州消費者プライバシー法(CCPA)の論点-「事業者」概念と域外適用-」 『国際商事法務』 2020年8月号

プライバシーシールド(米国への十分性認定)無効判決の概要と影響 ~ EU司法裁判所Schrems II事件判決 ~」 企業法務ナビ,  2020/07/31

カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 –」 『国際商事法務』 2020年6月号

カリフォルニア州消費者プライバシー法(CCPA)の論点 – 個人情報の「販売」とCookie・オンライン広告規制 –」 『国際商事法務』 2020年4月号

個人情報保護法改正案の概要と企業実務への影響」 企業法務ナビ

​「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号

 

[2]

                                 

【注】

 

[1] 【「公正さ」に関するIOCの説明】 ”Principle (a): Lawfulness, fairness and transparency

[2]

==========

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(*) このシリーズでは、読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com(「AT」の部分をアットマークに置き換えてください。)

 

 

【筆者プロフィール】

浅井 敏雄 (あさい としお)

企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

 

関連記事

More from my site

  • Q&Aで学ぶ契約書作成・審査の基礎 第4回 – 契約用語2021年7月15日 Q&Aで学ぶ契約書作成・審査の基礎 第4回 – 契約用語   契約書では、日常あまり使わない独特の用語・用法(以下「契約用語」という)が使われる場合があります。契約を一から作成するような場合、この契約用語の使い方に案外悩むのではないでしょうか。そこで、今回はこの契約用語について解説します。 なお、本Q&Aは、全く新任の法務担当者(新卒者や法学部以外の出身者を含む)も読者として想定しているので、基本的なことから解説 […]
  • ゼロから始める企業法務(第20回/法務担当者の選考方法)2021年7月12日 ゼロから始める企業法務(第20回/法務担当者の選考方法) 皆様、こんにちは!堀切です。 これから企業法務を目指す皆様、念願かなって企業法務として新たな一歩を踏み出す皆様が、法務パーソンとして上々のスタートダッシュを切るための「ノウハウ」と「ツール」をお伝えできればと思っています。今回は法務担当者の選考方法(必要な力量の洗い出しとその見極め方等)について記事にしたいと思います。   「1人法務」から「複数法務」 […]
  • Q&Aで学ぶ契約書作成・審査の基礎 第3回 – 契約のスタイル:契約書末尾2021年7月1日 Q&Aで学ぶ契約書作成・審査の基礎 第3回 – 契約のスタイル:契約書末尾   今回は, 前回に引続き契約書のスタイルやそれに用いる用語などに関し解説します。順番から言えば, 今回は, 契約書の本文(具体的条項部分)のスタイル等の解説ですが, それについては解説することが多いので, 先に, 契約書末尾について解説します。 なお, 本Q&Aは, 全く新任の法務担当者(新卒者や法学部以外の出身者を含む)も読者として想定しているので, […]
  • 2021年7月1日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(35)-受領者への通知/データ・ポータビリティーの権利   今回は, ①管理者が, データ主体の要求に応じ行った個人データの訂正, 消去または処理制限を, その個人データを開示(提供)した各受領者に通知すべき義務, および, ②データ主体のデータ・ポータビリティーの権利に関し解説します。      【目  次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: […]
  • 2021年6月1日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(33)-アクセス権(2)   今回は前回解説したアクセス権に関し, 仮の事例ですが具体的事例でアクセス権への実際の対応方法について考えてみましょう。 なお, この事例は, 世界的情報プライバシー団体であるIAPP(The International Association of Privacy Professionals)の認定資格であるCIPP/E(Certified […]
to top