GDPR第25条(設計段階及び初期設定におけるデータ保護)のガイドライン案が公表される


EU一般データ保護規則(GDPR)第25条(設計段階及び初期設定におけるデータ保護)のガイドライン案が公表される

欧州データ保護会議(EDPB)は、第15回定例会でGDPR25条(設計段階及び初期設定におけるデータ保護)のガイドラインの原案を採択したが、その内容が公表された。内容の概要は以下の通り。現在、パブコメに付されたところである。

① 25条は、データ保護の原則とデータ主体の権利と自由を、設計段階及び初期設定において効果的に実装することを中心的な義務とする規定である。25条に基づき、管理者は、適切な技術的および組織的対策と必要な保護手段を実装しなくてはならない。また、管理者は、実施された対策の有効性を実証できなければならない。

② 「設計段階におけるデータ保護」は、個人データ処理の方法の決定段階はもちろんのこと、実際に個人データを処理する段階においても維持されている必要がある。処理時の効果的なデータ保護を確保するために、処理者は、選択された手段と対策の効果を定期的に見直す必要がある。 また、ガイドラインでは、処理を設計する際に管理者が考慮しなければならない要素の基準を示している。例えば、「最先端」の基準では、データ保護の原則の継続的な効果的な実装を確保するために、管理者は技術の進歩について最新の状態を保つ必要があるとしている。また「実装のコスト」では、管理者は、処理操作全体にわたるすべてのデータ保護原則の効果的な実装と継続的なメンテナンスに必要なコストとリソースを考慮する必要があるとしている。

③ 「初期設定におけるデータ保護」とは、初期設定では特定の目的ごとに必要最小限の個人データのみが用いられるようにすることである。初期設定には管理者とデータ主体が設定できるパラメーターの両方が含まれる、としている。

④ ガイドラインには、カギとなる設計と初期設定の要素を実例と共に挙げ、5条1項のデータ保護原則を効果的に実装する方法に関する実践的なガイダンスも掲載している。

⑤ 最後に、管理者、処理者、テクノロジープロバイダーが協力して25条を遵守する方法、および25条の遵守を競争上の優位性として使用する方法に関する推奨事項も記載している。

【EDPBの公表】
https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2019/guidelines-42019-article-25-data-protection-design_en

関連記事