EU一般データ保護規則を遵守するためのポイント
第2回 「EU一般データ保護規則上の7原則」
McDermott Will & Emery法律事務所
弁護士 Wilko Van Weert
弁護士 武 藤 ま い
やや堅い話となるが、EU一般データ保護規則を遵守するためにまず抑えておきたいのが、同規則上の7つの原則である。
第一に、個人データは、データ主体との関係で適法に、公正かつ透明な方法で処理しなければならない(適法性、公正性、及び透明性の原則)。第二に、個人データは、特定の、明確かつ正当な目的のために収集しなければならず、当該目的と相容れない方法でさらに処理してはならない(目的制限の原則)。第三に、個人データは、処理目的との関係で適切であり、関連性があり、かつ必要最小限に抑えられていなければならない(データ最小化の原則)。第四に、個人データは正確でなければならず、必要な場合には、更新されなければならない(正確性の原則)。第五に、個人データは、処理目的に必要以上の期間に渡り、データ主体を識別可能な形態で保管してはならない(保管制限の原則)。第六に、個人データは、適切な技術的又は組織的な措置を講じた上で、当該個人データの適切な安全性を確保する方法で処理しなければならない(完全性及び機密性の原則)。第七に、データ管理者は、第一から第六の原則の遵守につき責任を負い、遵守を証明できなければならない(説明責任の原則)。なお、ここで「管理者」とは、個人データの処理の目的と手段を決定する自然人又は法人をいう。
第一の適法性の要求が具体的に何を意味するかというと、個人データを処理するにあたっては、EU一般データ保護規則上明示されている6つの法的根拠のうちの一つに基づかなければならないということである。6つの法的根拠を簡潔にあげると、①データ主体の同意、②データ主体との契約の締結又は履行上の必要性、③データ管理者のEU法又は加盟国法上の法的義務履行のための必要性、④データ主体又は第三者の生命に関する利益の保護のための必要性、⑤公共の利益のための業務の遂行又は公的権限の行使のための必要性、及び⑥管理者又は第三者の正当な利益追求のための必要性である。このうち①同意については、それが有効であるためには様々な要件があるので注意が必要である。また、法的根拠特定後は、説明責任の原則に則り、その法的根拠を文書に記しておく必要がある上、透明性の原則に基づき、データ主体に対しそれを知らせる必要がある。特に、⑥正当な利益が法的根拠である場合には、それがどういった利益であるのかについてデータ主体に対し具体的に説明する必要がある。
さらに、個人データの中でも特に機密性が高いとされる「特別範疇」の個人データについては、原則として処理が禁止されており、処理が許容される場合の法的根拠の要件がより厳しくなっている。「特別範疇」の個人データとは、人種・民族、政治的意見、宗教上又哲学上の信条、もしくは労働組合加盟の有無を明らかにするデータ、健康状態に関するデータ、自然人の性生活や性的嗜好に関するデータ、及び自然人を特定する目的で処理される遺伝的又は生態的データを指す。「特別範疇」の個人データの処理の法的根拠には、データ主体の明示的同意が含まれるが、加盟国によっては明示的同意は法的根拠として認められていない。また、データ管理者が加盟国の労働法上や社会保障制度上の義務の履行や権利の行使をするのに必要な場合が法的根拠に含まれたり、加盟国は健康状態に関するデータや遺伝的又は生態的データの処理につきさらなる条件や制限を設けることができるなど、「特別範疇」の個人データの処理にあたっては、特に加盟国法に注意する必要がある。
また、刑事上の有罪判決や犯罪行為又はそれらに関連するセキュリティ措置に関連する個人データの処理については、公的権限の管理下で行われる場合、もしくはEU法又は加盟国法によって認められている場合にのみ(例えば、テロ行為を促進するウェブサイトや児童ポルノ画像を掲載するウェブサイト等をブロックするフィルターの使用)許される。そのため、特別範疇のデータのみならず、こうしたデータについても、特に人事課においてや内部通報制度の運営上その取り扱いに注意したい。