DPIAの実施義務に関するその他の留意点
DPIAの実施義務の有無を判断するためには、会社における具体的な個人データの処理および移転の内容を調査し、把握するために、いわゆるデータマッピングを行う必要があります。データマッピングは、GDPR遵守に関する現状把握を目的として実施されるものです。DPIAの要否を判断するために、自社グループにおけるGDPRの適用対象となる個人データの処理行為の上記の基準への該当の有無を確認し、リスク評価を行うことが必要となります。
DPIAの実施要件は、自然人の権利及び自由に対して高いリスクをもたらす可能性のある既存の処理業務で、リスクの変化が生じたものについて、処理の性質、範囲、文脈および目的を考慮して、適用されます。すなわち、現行のデータ保護法であるDirective 95/46/EC第20条に従ってデータ保護監督当局等のチェックを受けた処理業務で、以前のチェックから変化なく実施されているものについては、DPIAは必要ないということになります。反対に、前回のデータ保護監督当局等によるチェックの時点から処理業務の実施条件に変化があり、高いリスクをもたらす可能性がある処理業務については、DPIAを実施する必要があります。例えば、新しい技術が使用されるようになったことまたは個人データが異なる目的のために使用されていることを理由として、処理業務によるリスクに変更が発生する場合は、DPIAが必要となる可能性があります。
DPIAの実施方法
①実施時期
DPIAは、「処理の前に」実施しなければなりません(第35条第1項および第35条第10項、前文第90項および第93項)。DPIAは、一定の処理業務の内容がまだ確定していないとしても、処理業務の設計において現実的に可能な限り早期に開始されるべきであるとされています。前述の通り、特定の技術または組織的対策の選択は処理により生じるリスクの重大性または可能性に影響を与えうるため、DPIAの展開プロセスの進展に伴って、影響評価の個別の段階を繰り返すことが必要となる可能性もあります。
②実施方法
データ保護影響評価は、少なくとも以下の事項を記載する必要があります(第35条第7項)。
- 想定される処理業務および処理の目的の体系的な記述。該当する場合には、管理者が追求する正当な利益。
- 目的に関する処理業務の必要性および比例性の評価
- データ主体の権利および自由に関するリスクの評価
- リスクに対応することを想定した対策。データ主体および関係するその他の者の権利および正当な利益を考慮し、個人データの保護を確保し、かつGDPRの遵守を立証するための保護措置、セキュリティ対策およびメカニズムを含む。
下記の図表は、DPIAを実施に関する包括的なプロセスを表したものです。ここで記載される各プロセスは、実務上、DPIAが完了するまでの間に複数回にわたり再度実施される可能性があります。
行動規範(Code of conduct)(第40条)の遵守は、データ処理業務の影響を評価する際に考慮されなければならないとされています(第35条第8項)。行動規範とは、管理者または処理者のカテゴリーを代表する組織またはその他の団体が、特定の分野における企業のニーズを考慮して作成するデータ保護に関する規範をいいます。行動規範に従って処理業務が行われていることは、データ保護に関する十分な対策が実施されていたことを立証するために有益であると考えられています。GDPRの遵守状況を立証するための認証(Certification)(第42条)および拘束的企業準則(Binding Corporate Rules (BCR))(第47条)による対応状況も考慮の対象となります。DPIAの一般的な実施方法における要素が踏まえられていれば、どのような方法論を採用するかは管理者の裁量に委ねられます。
③DPIAの実施方法に関するその他の留意事項
管理者においてデータ保護責任者が選任されている場合は(第35条第2項)、データ保護責任者(Data Protection Officer: DPO)の助言も求めなければならず、DPOの助言および行われた決定はDPIAにおいて文書化される必要があります。また、DPOは、DPIAの実施についても監視する必要があります(第39条第1項第c項)。したがって、例えば、会社が新しい技術を導入して新商品・サービスを立ち上げる際にDPIAが必要となる場合、DPOがDPIAに関してどのような姿勢で対応するかによって当該新商品・サービスの立ち上げのスケジュールに多大な影響を及ぼす可能性があります。すなわち、DPOがDPIAの実施義務や実施後のDPIAに関するデータ保護監督当局への事前相談の要否について、過度にデータ保護を重視した態度で助言を行う場合、不必要にDPIAに関するデータ保護監督当局に対し事前相談を行わなければならない個人データの処理行為が出てくることになり、それによって当該新商品・サービスの立ち上げを、データ保護監督当局からDPIAの実施についてクリアランスを得るまで、行うことができないことになります。
そのため、DPOの選任はこの点でDPIAとも連動する問題であることを考慮して実務対応を行う必要があります。DPOの地位および選任については、本連載第4回「データ保護責任者(Data Protection Officer)の要件」も御参照下さい。
データ保護監督当局との事前相談
上記の通り、DPIAは、処理業務が自然人の権利および自由に対する高度のリスクをもたらす可能性がある場合において必要とされます。その場合、データ管理者は、データ主体の権利および自由に対するリスクを評価し、当該リスクを受け入れ可能なレベルまで軽減させ、かつGDPRの遵守を立証することを想定した対策を示す必要があります。
もっとも、特定されたリスクがデータ管理者の対策によって十分に対応できない場合は、依然として残余リスクが高いデータ処理であるため、管理者はデータ処理を行う前にデータ保護監督当局に対する相談を行う必要があります。残余リスクが高いデータ処理の例としては、データ主体が重大なまたは回復不能といえる結果に直面する可能性があり、これを克服することが不可能である、または当該リスクが発生することが明白であるといえる場合が挙げられます。
まとめ
上記の通り、DPIAに関するGDPR対応は、まずDPIAの実施義務の要件について検討を行うことが出発点となります。そのため、企業としては、上記の通りデータマッピングを行い、自社におけるGDPRの適用対象となる個人データの処理行為の内容を把握したうえで、それらの処理行為が上記のDPIAの実施義務の有無の判断基準に照らして、DPIAの実施義務のある個人データの処理行為を判断すべきです。DPIAの評価に基づく対策によっても依然として高度のリスクが残る場合には、データ処理を行う前にデータ保護監督当局との事前相談を行う必要があります。今後、DPIAの要否に係るデータ保護監督当局による処理業務のリストが公表されることになるため、DPIAの実施義務の検討においては、データ保護監督当局によるそれらのリストの動向についても留意しておく必要があります。
・IIJプライバシー保護規制対応ソリューション
・IIJ DPOアウトソーシングサービス
- 第1回:EUで始まる新しい一般データ保護規則「GDPR」とは?
- 第2回:新しい一般データ保護規則概説(2) - GDPRの適用範囲と執行制度
- 第3回:新しい一般データ保護規則概説(3) - 個人データ処理の要件および個人データのセキュリティ
- 第4回:新しい一般データ保護規則概説(4) - データ保護責任者(Data Protection Officer)の要件
- 第5回:新しい一般データ保護規則概説(5)データ保護影響評価およびデータ保護監督当局との事前相談
杉本 武重
S&K Brussels法律事務所 代表パートナー
弁護士(日本、ニューヨーク州、ブリュッセル(B-List))
2004年3月、慶應義塾大学法学部法律学科卒業、司法修習(59期)を経て、2006年10月に長島・大野・常松法律事務所へ入所。2012年6月にシカゴ大学ロースクール法学修士課程を卒業(LL.M)、その後2013年7月オックスフォード大学法学部法学修士課程を卒業(Magister Juris)。 2013年ウィルマーヘイル法律事務所ブリュッセルオフィス、2017年ギブソン・ダン・クラッチャー法律事務所ブリュッセルオフィス、2018年バード・アンド・バード法律事務所ブリュッセルオフィス・パートナーを経て、2019年S&K Brussels法律事務所を創業し 代表パートナーに就任。
主な専門分野は、EUカルテル規制・EU企業結合規制を含むEU競争法全般、EUデータ保護法及びEUサーバーセキュリティ、腐敗行為防止コンプライアンス。
特に、日本企業のEUの一般データ保護規則のコンプライアンス対応、個人データの越境移転について数多くの助言を行っており、EUデータ保護法やEUカルテル法に関する講演も数多く行っている。
