EU一般データ保護規則を遵守するためのポイント
第5回・完 「EU一般データ保護規則の遵守対策」
McDermott Will & Emery法律事務所
弁護士 Wilko Van Weert
弁護士 武 藤 ま い
最終回では、複雑かつ完全遵守のハードルが高いEU一般データ保護規則の遵守に向けて何をすればよいかを簡単にみていきたい。
まず、EU一般データ保護規則は、「個人データ」と「処理」を広範に定義していることから、会社の日常的業務の大部分に同規則が適用される。そのため、監督機関等のガイダンスも限られており執行に不透明感のある現段階で、全ての個人データの処理行為について、文字通りに同規則を遵守しようとするのは、なかなか難しい。そこでまず大事なのは、自社の現在のコンプライアンスのレベルを確認した上で、自社の業務内容及び自社の規模に見合った着実な遵守対策をたてることである。対策を立てる上では、いずれの加盟国の監督機関が自社のリード監督機関となるのかについて決定しておくと、義務の解釈判断等をする上で役立つであろう。
これまでEUのデータ保護法にはほとんど注意を払ってこなかったという場合、遵守対策として最初にすべきなのは、いかなる個人データが、いかなる目的のために、いかに処理されているかを把握することである。具体的には、質問表や関連部門の担当者とのインタビュー等を通じて、そうした情報を集め文書化・マップ化していくこととなる。集められた情報は、EU一般データ保護規則の下生じる個人データの処理行為についての記録保持義務を果たす上で、また同規則遵守対策のための作業に優先順位をつける上で大いに役立つであろう。
こうして会社内でのデータフローを把握した後は、データセキュリティの見直し・強化と一定の文書の作成を行うこととなる。
まず、データセキュリティについて述べると、EU一般データ保護規則は、データ管理者とデータ処理者は、リスクに応じたセキュリティレベルを確保するために、適切な技術的組織的措置を講じる必要があるとする。いかなる措置をとるかは、最先端の技術、実施費用、保護対象の個人データの性質、及び破壊、改ざん、不正アクセス等のリスク等を考慮した上で決めるべきとされるが、例として挙げられている仮名化や暗号化については、可能な限り実施したい。また、実際に不正アクセス等のリスクが発生した場合、すなわちデータブリーチが発生した場合、データ管理者は、一定の場合には、監督機関及びデータ主体に対し通知しなければならないため、データブリーチ発生時の対応手順について予め定めておきたい。この点、監督機関に対する通知義務が発生しない場合でも、データ管理者は全てのデータブリーチについて記録しなければならない点には注意したい。
次に、一定の文書の作成であるが、作成すべき文書には、データ保護規定、国際データ移転のためのデータ移転契約、プライバシーノーティス、データ主体からの請求対応規定、及びデータ処理行為の記録等が含まれる。中でも、適切なデータ保護規定は、適切な技術的組織的措置としてみなされるので、EU一般データ保護規定にそったデータ保護規定の改定・作成は優先的に行うべきであろう。また、データ処理行為の記録については、従業員数が250名以下の会社の中には記録保持義務が発生しない会社もあるが、説明責任の観点からは、そうした会社でも処理行為についての記録をつけることが望ましい。言うまでもなく、記録は、監督機関からの調査やデータ主体からの請求があった場合に役立つだろう。さらに、会社によっては、データ処理者との契約やデータ主体からの同意書のテンプレートの見直しが必要となるであろう。
以上見てきた通り、現在EUにおけるデータ保護法の遵守体制が不十分な会社においては、EU一般データ保護規則及び関連するEEA加盟国法を遵守するために、相当な作業を行う必要があるが、監督機関による執行の厳格化及び権利主体からの苦情申立等のリスクの増大に鑑み、全5回に渡って見てきた留意点を踏まえつつ、2018年5月25日までに着実に遵守対策を進めていきたい。