GDPRとプライバシー保護について

EUでは、プライバシー保護の強化を目的としたGDPR(一般データ保護規則)が制定され、2018年5月25日より施行されている。GDPRの施行を機会に、プライバシーの保護について基本から捉え直してみたい。

プライバシー振り返り

最初に、プライバシーとは何かを復習しておく。

プライバシーとは?

プライバシーマークのホームページから以下、引用する。GDPRでは、2点目の「自己の情報をコントロールできる権利」を特に強化している。
・個人や家庭内の私事・私生活。個人の秘密。また、それが他人から干渉・侵害を受けない権利。
・自己の情報をコントロールできる権利。

プライバシーの保護がなぜ必要なのか?

プライバシーの保護の必要性についても、明確にしておきたい。プライバシーマークのホームページの内容を参考に整理してみた。
・プライバシーの侵害が発生しないことで、安心・安全な社会が実現され、個人の権利利益の保護が図られること。

プライバシーが保護されているとは?

個人の立場として、プライバシーが保護されているとはどのようなことを指すのであろうか。この点については、私見で以下の内容としてみる。
・知らない間に、自分の個人データが情報取得されたり他者に渡されたりしていないこと。

GDPRで登場する用語

GDPRで登場する代表的な用語の定義をまとめる。

データ主体

個人データが属する自然人を指す。自然人とは、権利能力が認められる社会的実在のことで、いわゆる個人を指す。

個人データ

直接自然人を識別可能な情報、および特定の状況で自然人を識別しる可能性のある情報を指す。※広く、個人に関する情報と捉えたほうが良いかもしれない。

データ管理者

個人データの処理の目的や手段を決定する自然人、法人等を指す。

データ処理者

データ管理者に代わり、個人データを処理する自然人、法人等を指す。

GDPRで定める個人データ処理の原則

GDPRでは、プライバシー保護のために、データ処理について6つの原則を設けており、これらの原則を遵守していることを証明できる必要がある。

適法・公正・透明

個人データの処理は、合法的で、公正で、データ主体に対して透明でなければならない。

目的限定

個人データの収集は、特定された明確かつ合法的な目的のために行わなければならない。

データ最小化

取得して処理する個人データは、処理の目的を達成するために、必要かつ十分なデータに限定しなければならない。

正確性

処理対象の個人データは、正確で最新でなければならない。

保持期間限定

個人データの保管は、目的に対して必要な期間に限らなければならない。

完全性・秘匿性

不正、不法な処理等が行われないようにセキュリティを確保しなければならない。

個人データの収集について

個人データを収集するためには、個人からの同意を得なければならない。同意内容は、明確で撤回可能であること。必要のない個人データの提供を条件としてはいけない。

個人の権利について

個人データに対して、個人の権利を以下のように定めている。主な権利の概要を整理する。

アクセス権

データ主体は、データ管理者に対して、データ管理者が保有する個人データについて、情報提供を請求することができる。

訂正権

データ主体は、自分に関する個人データが不正確な場合、データ管理者に訂正を求めることができる。

削除権

データ主体は、データ管理者に対して、削除を求めることができる。

制限権

データ主体は、データが正確でない等の場合、データ管理者に対して、保存以外の処理をしないように求めることができる。

データポータビリティ権

データ主体が、自分に関する個人データを機械処理が可能な形式で受取り、他のデータ管理者に移転することができる。

プロファイリングされない権利

自動化された処理のみによる個人の評価等に服さない権利がある。

個人データの活用について

プライバシーを保護しつつ、個人データの活用がしやすくなるように、「仮名化データ」と「匿名化データ」の概念が定義されている。「仮名化データ」に関しては、個人データ保護の対象であるが、「匿名化データ」であれば、GDPRによる保護対象外となる。

仮名化データ

個人が識別できないように加工されたデータであるが、他の情報と突き合わせをすることで再識別が可能なデータ。

匿名化データ

個人が識別できないように加工されたデータであり、他の情報と突き合わせようとしても再識別が不可能なデータ。

総括

ICTが発達した社会においては、プライバシーの保護が図られるためには、個人においても、個人データがどのように扱われているのかを知っている必要があり、個人が行使できる権利について理解している必要がある。一方、個人データを扱う側は、プライバシーを保護するために、データを扱う各プロセスを厳密に見直す必要があり、その上で安心してデータを取り扱えるように、システムの改善や組織の体制を整えていく必要がある。

参考