日米欧中 個人情報保護法とEU GDPRのコンプライアンス [Kindle]

著者 : 浅井敏雄

• 2018年3月8日発売

感想・レビュー・書評

[Haru&Shuさんの感想 · 2020年3月7日]

日米欧中、特にGDPRと日本の個人情報保護法の規定や意味内容の相違が現業に照らして具体的なイメージが湧く点が多く、非常に勉強になった。また、通知の対応基準、評価の方法、DPOの選任要否など、GDPR対応上、実務で迷うであろう細かい部分に関しても、考え方と情報源を紹介してくれているので、字引的にも使えそう。中国サイバーセキュリティ法に関してもGDPRと比較しての規定有無が分かり、こちらも何に気を付ければ良いか、何が明かになっているかが、把握しやすい。出版時期が少し前なので、法制度のアップデートは留意すべきだけど（これに限らずだが）、基本を押さえる上では手もとにおいて随時参考にできるレベルの良書。



以下、個人的なメモ。

1 EU GDPR
1.1 定義
1.1.1 個人データ：
(a)識別・特定された個人に関する情報、または、
(b)以下を参照すること等により、直接的または間接的に識別・特定することができる個人に関する情報を意味する。
・氏名、ID番号／位置データ等の識別子／オンライン識別子(*1)／個人の身体的、生理的、遺伝子的、精神的、経済的、文化的もしくは社会的な同一性に特有な要素
*1：IPアドレス、クッキ識別子またはRFIDタグ等、個人使用の機器、アプリ、ツールまたはプロトコルによって提供される情報で、これを使うことで、特定の個人のプロファイル作成や識別が可能であることが述べられている。
1.2 取扱いの原則：
1.2.1 適法性、公平性および透明性 1.2.2 目的／目的による制限
1.2.3 データ最小化 1.2.4 保存期間の制限 1.2.5 完全性および秘密性
1.2.6 説明責任

1.3 特別カテゴリーの処理禁止
1.3.1 人種、民族的出自、政治的意見、宗教上または思想上の信念、労働組合加入、個人識別のための遺伝データ、成体データ（顔画像）、健康・性生活・性的傾向
*「労働組合加入」および「性生活・性的傾向」に関する個人データは、日本法上の「要配慮個人情報」に含まれていない。
→明白な同意が必要

1.4情報提供義務（透明性）：
直接取得　例：オンラインフォームへの入力、監視カメラによる取得等

1.5忘れられる権利（GDPR上の定義はない）
：一般的には、インターネット上にある個人情報を検索エンジンによる検索結果から消去することを検索事業者に請求する権利。第17条第1項が含むと思われる。
*2014年のGoogle検索に係る欧州司法裁判所→拡大されて適用される可能性が高いと思われる。

1.6データ・ポータビリティ：
利用者が自己の個人データをあるサービス事業者から他のサービス事業者に移行させることを容易にすること。Lock-in防止、事業者間の競争促進の目的。

1.7 匿名加工情報のGDPR上の位置付け
仮名化された個人データ(”pseudonymisation”)＝「匿名加工情報」（日本）
*仮名化(GDPR)とは、
個人データを別途保管されている追加情報を使わなければ特定の個人と紐づけられない情報
匿名情報(”anonymous information”)＝統計情報に類似（日本）
*「匿名加工情報」：日本法上、目的外利用や第三者提供に対する同意取得義務などはなく、一定の規律のみ適用されるが、GDPR上「仮名化」された個人データは他の個人データと同じ規律に服する。

1.8データ保護監督者（DPO）選任事由：
(1)公的機関・団体で処理される場合、(2)管理者／処理者の中核的業務が、その内容、範囲および／または目的の観点から見て、データ主体の定期的かつ系統的な監視を大規模に行うことを必要とする処理業務からなる場合、(3)管理者または処理者の中核的業務が、特別カテゴリーの個人データ、有罪判決等に関するデータを大規模に処理する場合
1.9従業員データ処理意見書
1.9.1基本的な考え方：
特に従業員の監視（モニタリング）については、従業員に対し十分な情報提供を求める
1.9.2同意以外の適法性の根拠
：以下のプレイバシー侵害を防止
(1)場所的な限定（宗教的な場所、トイレ、休憩室など）、(2)対象データの限定、(3)時間的限定
1.9.3従業員の不正アクセス、情報漏洩などの監視
（例）従業員のソフトウェア、クラウドサービス、デバイス等の使用状況のログデータ自動取得、追跡等
(1)正当な目的達成のみに必要な範囲で実施すべき、(2)疑わしい着信、発信のブロック／不正検出時のみログを保存など、(3)私的ファイル・コミュニケーション等にはアクセス不可、(4)電子メールのモニタリングは不正送信の検出基準を事前に説明する、送信前に警告メッセージを出して選べる措置を講じる
1.9.4人事情報のEU域外移転
適切なレベルの保護措置等、EU域外への移転の適法要件を満たし、移転先でのアクセスは必要最小限に。
1.10 個人データ侵害通知ガイドライン
1.10.1 管理者は不当に遅滞することなく、できれば72時間以内に管轄監督機関に通知
1.10.2 データ主体に対する通知義務：リスクが高い場合
1.10.3 定義：「個人データの自己によるまたは違法行為による破壊、紛失、修正・改ざん、無権限の開示・アクセスにつながる可能性のあるセキュリティー上の違反・侵害」
1.10.4 侵害のタイプ
(A)秘密侵害性：データが開示・漏洩またはアクセスされたこと
(B)可用性侵害：データがアクセス不能となりまたは破壊されたこと
(C)完全性侵害：データが改ざん・変更されたこと
1.10.5 リスク評価手法の参考例：
EUのネットワーク・情報セキュリティー機関（ENISA）が公表。

1.11 データ保護影響評価（DPIA）ガイドライン
管理者は、個人データ処理に関し新技術利用等により、個人の権利または自由に対し高度のリスクを生じさせる可能性がある場合、処理開始前にその影響評価をしなければならない。
→DPIA実施義務の判断基準として9つの類型がある。

1.12 データ主体の同意に基づく移転：
BCR、SCC/SDPC、行動規範・認証制度いずれにもよることができない場合の例外措置の位置付け

1.13 DPO選任の要否判断（DPOガイドライン）
核となる業務が(a)データ主体の定期的・体系的かつ大規模なモニタリング、(b)特別カテゴリーの個人データまたは有罪判決もしくは犯罪に関する個人データの大規模な処理
*従業員の給与支払や、社内情報システム部門によるITサポートにおける個人データ処理だけでは、DPO選任の義務はない。
*不特定の企業のため個人データを処理する企業（処理者）は、クラウドサービス事業者を含め、DPO選任の必要があると思われる。（！！！）
1.14 処理を第三者に委託する場合
1.1.4.1：下記の認証で十分性確認の方法になり得る
(I) ISO27001（情報セキュリティー管理）：
国際標準化機構の情報の機密性、完全性および可用性の管理に関する基準
(II) ISO27017（クラウドセキュリティー）：
クラウドサービスを特に対象とした基準
(III) ISO27018（クラウドプライバシー）
クラウドサービスにおける個人情報保護方法を規定する基準
(IV) SSAE16/ISAE 3402
米国公認会計士協会のセキュリティー、可用性、処理の整合性および機密性に関する基準
1.1.4.2 AWSのセキュリティ
1.1.4.2.1 ISO27018取得を公表。
1.1.4.2.2 規約上の責任分担
(1)AWSが利用者コンテンツを自己、不法な滅失、アクセスまたは開示から合理的かつ適切な措置を講じる旨が規定。但し、コンテンツ自体のセキュリティーは利用者自身が責任を負う。
→責任共有モデル：
クラウドのセキュリティはAWS責任。クラウド内のセキュリティは利用者責任。
1.1.4.2.3 域外移転
SCC（対処理者）相当の「AWS Data Processing Addendum and Model Clauses」の承認をWP29から取得済み。

*e-Privacy Regulation: GDPRの特別法。Cookie等を通じた行動追跡・マーケティング、通信の秘密に関わる規定がある。下記、概要解説。
https://www.businesslawyers.jp/articles/445
成立には至らず？（2019年11月否決「6ヶ月以内に再度案を出す」）
https://www.spring-partners.com/topic/1689.html

2 日本：個人情報保護法
2.1 定義：
2.2.1 個人情報：「データベース等を構成するもの（＝個人データ）」とそうでないものも含まれる。が、事業者の義務に関する多くの規定は「個人データ」のみに適用される。
*個人情報には個人識別符号（例：DNA、容貌等の身体的特徴で個人認証可能なもの、年金番号等）も含まれるが、多くの場合GDPR上の「個人データ」に含まれると解され、実質的な相違は僅少。
*GDPRでは、位置データ、オンラインID等が個人を特定し得る参照情報として挙げられている。
*「保有個人データ」：6ヶ月以上保有する個人データ。6ヶ月以内に消去する場合で適用対象が変わる。
2.3域外移転：
多くの規定は、国内個人情報を取得した事業者が外国で匿名加工情報を扱う場合も適用される。
2.4開示請求権：あり。
*GDPRのようなアクセス請求権の開示項目、データポータビリティはない。
2.5忘れられる権利：
2017年1月31日最高裁決定：権利は認めつつも、厳格な適用要件を設定。
2.6外国にある第三者への提供の制限
2.6.1 以下の要件を満たす必要あり
(1)外国にある事業者に個人データの取扱いを委託する場合
→提供元および提供先間の契約、確認書、覚書等（いわゆる日本版SDPC・SCC）
(2)同一企業のグループ内
→共通内規、プライバシーポリシー（日本版BCR）
*上記の日本版SCCもBCRも特に内容・形式が厳格に指定されているわけでも監督機関等の承認を要する訳でもない。（実質的に事業者が負う義務と同等の内容を課せば良い）

2.6.2日本法とGDPRの域外提供・移転制限の違い
(1)日本法は同意が原則だが、GDPRは例外。原則はSDPC・SCC等の適切な保護措置、(2)日本法は外国にある第三者なので同法人の支店間等は適用されないが、GDPRは適用対象（同じ法人内でもSCCが締結される・・！）。

2.7 匿名加工情報
2.7.1作成者の義務
(1)加工は個人情報保護法施行規則に従う、(2)削除した情報及び加工方法の安全管理措置を講じる、(3)匿名加工情報に含まれる個人に関する情報の項目を公表する、(4)第三者提供する場合、事前に提供方法・項目を公表し、当該第三者に提供情報は匿名加工情報である旨を明示する、(5)本人識別のための他の情報と照合しない、(6)安全管理、苦情処理その他適正取扱いのための措置を講じ、そん内容の公表に努める
2.7.2第三者作成の匿名加工情報を加工せずに再提供する場合の義務
(1)項目・提供方法を公表する、(2)提供先に提供情報が匿名加工情報である旨を明示する
2.7.3匿名各加工情報に関するガイドライン：
個人情報保護委員会から公表



3 中国：サイバーセキュリティ法
3.0.1 背景：
国家安全保障・産業政策が背景。反スパイ法（2014年11月）、国家安全保障法（2015年7月）、反テロリズム法（2015年12月）などの一連の安全保障関連法の1つ。
3.0.2 適用対象者：
「ネットワーク運営者」＝ネットワークの運営者、管理者、提供者。社外向けウェブサイト・イントラネットを持つ企業も含む。非常に広範に該当する可能性が指摘される。

3.0.3 解釈基準になり得る「情報セキュリティー技術-個人情報セキュリティ仕様」（2017年12月29日 中国国家情報セキュリティー標準化専門委員会公表）
：サイバーセキュリティ法よりも詳細な個人情報保護の原則および要件を規定。直接的な法的拘束力はないが、実務上、中国サイバーセキュリティ法の執行部門の解釈基準とされる可能性がある。

3.1 「個人情報」：実質的には、日本法の「個人データ」を意味するだろう。
以下、概説。
電子的手段またはその他の手段により記録される個人の氏名、生年月日、身分証明書番号、生体認証情報、住所、電話番号等、それ単独でまたは他の情報と組み合わせることにより自然人を特定できる全ての情報を意味する。

3.2 域外移転にかかわる諸規制
3.2.1 データローカライゼーション：
中国国内で取得・生成した個人情報・重要データは国内保存が必要
3.2.2 業務上の必要性により「個人情報・重要データ国外移転安全評価弁法」（制定予定？）に基づく評価が必要
*中国国外の企業でも同国内で事業をする場合は個人情報・重要データは国内保存が義務付けられる。→判断要素：中国通貨、中国語、中国内

3.3 取扱い
3.3.1 窃取その他不正な方法で取得、売買、提供してはならない。
3.3.2 取得、利用する場合、以下を遵守
A.適法性、正当性、必要性の原則、B.取得・利用のルール公表、C.目的・方法・範囲の明示、D.本人同意、E.提供サービスに関係のない情報の取得・利用はNG、F.法律等・本人同意に違反した取得・利用はNG、G.法律・同意を遵守
3.3.3 漏洩、改竄、毀損または本人同意なしの他人提供はNG。ただし、個人識別不可能、復元不可として処理した場合はOK
3.4 同意の要件：
明白性・明示性の要件、同意撤回権も規定なし。
ただ、「個人情報仕様」に以下の規定：
(1)理解可能で容易にアクセス可能な形式、(2)処理目的を開示、(3)平易で明確な言葉、他事項と区別要、(4)同意撤回の手段を提供