GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制 (21) – 処理の適法性

 

今回は、GDPRの最大の特徴の一つである「処理の適法性」(Lawfulness of processing)について解説します。

 

 

【目  次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 「処理の適法性」とは?

Q2: 「処理の適法性の根拠」とは?

Q3: 一般企業が「処理の適法性の根拠」にできるのは?

 

 

Q1: 「処理の適法性」とは?

A1: 個人データの全ての処理について明確・積極的な適法性(lawfulness)の根拠を要求するGDPR上最も重要な原則の一つです。この原則があることが、GDPRが、日本の個人情報保護法[1]を含め、他の多くの個人データ・個人情報保護法制と異なる点です。

具体的には、個人データの「処理」(取得・利用・保存・移転・廃棄その他あらゆる取扱い)本Q&A第12回Q1参照)は、GDPR第6条第1項に限定列挙されたいずれかの根拠(以下「処理の適法性の根拠」という)がある場合、その限りにおいて適法(lawful)とされる旨規定されています(6(1))。言い換えれば、このいずれかの根拠があることを示せなければその処理を行うことはできないということです。

 

Q2: 「処理の適法性の根拠」とは?

A2: 個人データの処理が以下のいずれかの場合に該当することです。

 

【処理の適法性の根拠】

(a)データ主体が、自己の個人データが特定・具体的な(specific)目的のため処理されることに同意した場合。

(b)管理者とデータ主体の間の契約の履行のため、または、その契約締結前にデータ主体の求めに応じた手続を行うため、処理が必要な場合。

(c)管理者が負う法的義務を遵守するため処理が必要な場合。

– この処理の根拠は、EUまたはEU加盟国の法令に定められたものでなければならない(6(3))。加盟国はこの処理の条件等を定めることができる(6(2))。[従って、例えば日本法(強行法規)上の義務は含まれない。]

(d)データ主体または他の者の命等に係る利益(vital interests)を守るため処理が必要な場合。

(e)処理が、公的機関の権限行使または管理者に与えられた公的任務遂行(*)に必要な場合。

(*) この原文は、「公益のため(in the public interest)、または、管理者に与えられた公的権限(official authority)の行使のため(in the exercise of official authority vested in the controller)に行われる任務(task)の遂行(the performance)」である。ICO(英国の監督機関)のWebサイトの説明[2]によれば、これは、次のいずれかを意味する。

(i)公的機関による権限行使

(ii)民間組織である管理者に与えられた公的任務(例:水道会社の事業)の遂行

従って、本Q&Aでは、分かり易いように「公的機関の権限行使または管理者に与えられた公的任務遂行」という。

– この処理の根拠は、EUまたはEU加盟国の法令に定められたものでなければならない(6(3))。加盟国はこの処理の条件等を定めることができる(6(2))。

(f)管理者または第三者が得ようとする正当利益(legitimate interests pursued by the controller or by a third party)のため処理が必要な場合。

但し、この管理者等の正当利益より、データ主体の利益・権利・自由を優先させるべき(override)場合(特にデータ主体が子供の場合)を除く。本Q&Aにおいては、この条件を省略し、単に「正当利益」と呼ぶ場合がある。

更に、以下のことに注意が必要です。

「特別カテゴリーの個人データ」[3]の処理については、データ主体が特定具体的な目的に関しその処理に対し明示的な(explicit)同意を与えた場合その他所定の場合(9(2))を除き、原則として禁止されている(9(1))(本Q&A第11回Q2参照)ので、これが、処理の適法性と言えます。

Cookieデータ等の利用には必ずデータ主体の同意が必要です(本Q&A第7回Q2参照)。

 

Q3: 一般企業が「処理の適法性の根拠」にできるのは?

A3: 一般企業が、通常の業務で、個人データの処理の適法性根拠とすることができるのは、上記の内、次のいずれかに限られると思われます。

データ主体の同意

契約履行等のため

法的義務遵守のため

管理者等の正当利益のため

なお、特別カテゴリーの個人データとCookie等の処理に関しては、Q2の通りです。

 

今回はここまでです。次回から、処理の適法性の根拠について、「同意」から始めて詳しく解説していきます。

 

「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー

【著者GDPR・Cookie規制関連本】

GDPR関連資格CIPP/E準拠 詳説GDPR  (上) – GDPRとCookie規制」 2019年11月

GDPR関連資格CIPP/E準拠 詳説GDPR  (下) – GDPRとCookie規制」 2019年11月

[1]

                                 

【注】

[1] 【日本の個人情報保護法と処理の適法性】 例えば、個人情報保護法上、個人情報の取得については、「偽りその他不正の手段により個人情報を取得してはならない」とされているだけで、明確・積極的な適法性の根拠が要求されているわけではない。

[2] 【公益任務等に関する説明】 ICOサイト ”Public task

[3] 「特別カテゴリーの個人データ」】 人種/民族的出自/政治的意見/宗教上または思想上の信念/労働組合加入/遺伝データまたは生体データで個人識別目的のもの/健康・性生活・性的傾向を示す(reveal)個人データ(9(1))。

[1]

==========

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(*) このシリーズでは、読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

 

 

【筆者プロフィール】

浅井 敏雄  (あさい としお)

企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School  (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP  (International Association of Privacy Professionals) 会員、CIPP/E  (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

 

関連記事

More from my site

  • 2021年8月15日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(38)-自動意思決定ガイドライン   GDPRは, データ主体に対し, プロファイリングを含む個人データの自動意思決定に服さない権利を与えており(22), 第36回Q6,Q7でその概要を解説しました。 この自動意思決定に服さない権利およびプロファイリング(4(4))については, WP29が2017年10月3日に採択し2018年2月6日に修正した“Guidelines on […]
  • 2021年8月1日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(37)-データポータビリティーガイドライン   GDPRは, データ主体の権利に関し, 従来のアクセス権等に加え, データ保護指令にはないデータ・ポータビリティーの権利を新設し(20), 本シリーズの第35回でGDPR上の規定を中心としてその概要を解説しました。 この権利については, WP29が2016年12月13日に採択し2017年4月5日に改訂された“Guidelines on the […]
  • 2021年7月15日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(36)-異議申立権/自動意思決定に服さない権利   今回は, ①異議申立権, および, ②自動意思決定に服さない権利に関し解説します。    【目  次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: 異議申立権とは? Q2: 正当利益等に基づく処理に対する異議申立権とは? Q3: ダイレクトマーケティング目的での処理に対する異議申立権とは? Q4: […]
  • ゼロから始める企業法務(第20回/法務担当者の選考方法)2021年7月12日 ゼロから始める企業法務(第20回/法務担当者の選考方法) 皆様、こんにちは!堀切です。 これから企業法務を目指す皆様、念願かなって企業法務として新たな一歩を踏み出す皆様が、法務パーソンとして上々のスタートダッシュを切るための「ノウハウ」と「ツール」をお伝えできればと思っています。今回は法務担当者の選考方法(必要な力量の洗い出しとその見極め方等)について記事にしたいと思います。   「1人法務」から「複数法務」 […]
  • 2021年7月1日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(35)-受領者への通知/データ・ポータビリティーの権利   今回は, ①管理者が, データ主体の要求に応じ行った個人データの訂正, 消去または処理制限を, その個人データを開示(提供)した各受領者に通知すべき義務, および, ②データ主体のデータ・ポータビリティーの権利に関し解説します。      【目  次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: […]
to top