役所からの個人データ提供請求への対応について仏CNILがガイダンス公表


フランスのデータ保護当局CNILは、7月10日、権限ある第三者からの情報請求への対応に関するガイダンス(GUIDE PRATIQUE « tiers autorisés » Juillet 2020)を公表した。

裁判所、捜査機関、税務署、社会保険関係当局などからの情報提供請求など、法令の規定に基づく官公署からの情報提供請求は、従業員、取引先担当者などの個人データ提供を伴う場合がある。このような場合、データ管理者である事業者は、法令に基づく情報提供請求に従う義務を負うと同時に、個人データ処理の適法性およびセキュリティを確保する義務を負う。CNILが公表したガイダンスは、このような場合におけるデータ管理者の対応の手引きである。

ガイダンスの概要は以下の通り。

ガイダンスの構成

第三者から法令に基づく情報提供請求を受けた場合、データ管理者の対応は以下を考慮すべきである。
(1) 請求に法令の根拠があるかどうかを確認すること
(2) 請求元および請求範囲を確認すること
(3)データ提供のための通信の安全を確保すること

第1部:請求元の権限の確認

情報提供請求を受けたデータ管理者がまず行うべきことは、当該請求が法令の根拠を有するかどうかを確認することである。請求が法令の根拠を示している場合、Legifrance(注:フランス現行法令を閲覧できる政府Webサイト)で確認すること。法令の根拠が示されていない場合、請求元に法令の根拠を確認すること。
請求者の権限を確認しないまま個人データを開示した場合、データ管理者は違法な開示のリスクを負うことになる。

第2部:請求元および請求範囲の確認

<請求元の確認>
法令の確認:
情報提供を請求する官公署が、そのような請求をする権限を有することを規定する法令の条項で言及されているかどうかを確認すること。
実務上の確認:
情報提供を請求する文書が、たしかにその官公署が発信したものであるかどうかを確認すること。
確認手続:
文書を受領したら、当該官公署の公式Webサイトなどに表示されている電話番号に確認の電話をする。
文書の発信元住所や発信元メールアドレスが当該官公署の公式Webサイトなどに表示されている住所やドメイン名と一致するかどうかを確認する。
情報提供を請求する担当者の身元を所属官公署に確認する。
情報提供を請求する官公署のDPOに連絡を取る。情報提供を請求する権限を有する官公署は多くの場合DPOを選任している。
誤って情報提供してしまった場合には、速やかにCNILにデータ侵害を報告すること。

<請求範囲の確認>
官公署の情報提供請求の権限を規定する法令の条文は、請求可能な情報の範囲を規定している。
一義的には官公署がその範囲を遵守しなければならないが、請求を受けたデータ管理者は、適法な情報提供の範囲について確認する責任を免除されるわけではない。
請求を受けたデータ管理者は、提供する情報が請求の根拠となる法令が情報提供の範囲として規定する範囲内であることを確認する責任がある。
請求を受けたデータ管理者は、提供する情報が、請求されていない過剰な個人データを含んでいないかどうかを確認する責任がある。

<職業上の守秘義務との関係>
官公署から提供請求を受けたデータが、データ管理者が負う職業上の守秘義務の適用範囲内にある場合、データ管理者は、そのような情報提供請求の根拠となる法令が、そのような守秘義務の適用を除外するものであるかどうかを確認しなければならない。

第3部:通信のセキュリティ確保

情報提供請求の権限を規定する法令が具体的な通信手段を指定することは稀である。提供請求者および対応するデータ管理者が協議して通信手段を決定する場合、セキュリティ確保義務、とくにデータの秘匿性・完全性が確保されるようにしなければならない。
具体的には、暗号化、ハッシュにより完全性の検証を可能にすること、最新技術に対応したセキュリティ水準を提供するデータ交換プラットフォームの利用、異なる通信チャネルにより暗号化されたデータと復号化に必要な情報を別々に送信することなどを考慮すべきである。


【GUIDE PRATIQUE « tiers autorisés » Juillet 2020(CNILによるガイダンスの原文)】
https://www.cnil.fr/sites/default/files/atoms/files/guide_tiers_autorises.pdf

関連情報

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

CNILによるクッキー(Cookie)等 利用同意取得に関する推奨事項の概要

CNILは、2019年7月、クッキー等の利用に関するガイドラインを公開しましたが、この推奨事項では、同ガイドラインを補完し、ウェブサイト管理者等が利用者から適法・有効に同意を取得する方法・手続について、ユーザーインターフェースの具体的な実装例を示しつつ、推奨すべき事項をまとめています。

世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

サンプルの閲覧はこちら
購入のお申込みはこちら

関連記事