仏CNIL、オンラインサービス提供者が処理者としてGDPRを遵守するためのグッドプラクティスガイダンスを公表


6つのグッドプラクティス

2020年7月9日、フランスのデータ保護監督機関(CNIL)は、15のオンラインITサービスプロバイダーに関する調査を踏まえ、6つのグッドプラクティスを推奨するガイダンス(以下「本ガイダンス」)を公表した。本ガイダンスの主要なポイントは以下の通りである。

1. 関係当事者の位置づけを決定すること

オンラインサービスのように、オーダーメイドの処理委託ではなく、すぐに使えるソリューション(いわゆるターンキー・ソリューション)の場合であっても、サービス提供者は、GDPRの適用上、処理者の立場となる。ただし、単にソフトウェアを提供する場合には、処理者にはならない。一方、サービス提供者が自らの目的のためにも個人データを処理する場合には、サービス提供者は管理者の立場にもなる。例えば、CRMやアカウント管理の目的に個人データを利用する場合などである。

2. 明確な契約を締結すること

管理者と処理者は、GDPR28条3項で規定される必須事項を含む処理契約を締結する必要がある。処理契約では、処理の目的、期間、性質、および個人データのカテゴリとデータ主体のカテゴリを明確にする必要があり、処理契約によって処理者の活動内容(たとえば、電子メールルーティング、データホスティング、メンテナンス、またはサポートサービス)が設定される。
契約に盛り込まれていない処理は、処理の前に当事者間で話し合い、少なくとも管理者からの書面の指示に従う必要がある。
処理の再委託は、管理者が書面で再委託の条件を指定して承認する場合のみ許される。この承認方法には、再委託先ごとに承認を与える方法と再委託の範囲について承認を与える方法があり、本ガイダンスでは、処理契約でこれら2つのどちらかを指定することを推奨している。
管理者が再委託の範囲について承認を与える場合、処理者は再委託先のリストを管理者に通知し、随時リストの加除を行ってリストを最新状態に更新しておく必要がある。本ガイダンスでは、再委託先の選定基準も契約内容としておくことを推奨している。

3. 委託業務の内容を文書化すること

管理者は処理者がGDPRを遵守していることを確認しなくてはならない。管理者が処理者のGDPRの遵守の是非を監査できるよう、処理者は必要な情報を管理者(または管理者が監査を依頼する者)へ提供する旨の条項を処理契約に盛り込んでおく必要がある。そして、処理者は、管理者の書面での指示に従った処理活動を記録し、管理者がその記録を利用できるようにしておく。

4. 個人データを保護するためのツールを提供すること

処理者は、GDPRの要件を満たす十分な保証を提供する必要があり、個人データを尊重するソリューションとツールを提供する必要がある。また、処理者には、管理者に対する支援とアドバイスを行う役割もあり、管理者の指示が法令等に違反すると考えられる場合は、管理者に警告する必要がある。本ガイダンスでは、処理者がエンドユーザーの同意取得のインターフェイスを実装すること、ユーザーが同意をいつでも撤回できるようなリンクを付けておくこと、保存期間が終了したら自動的に消去するシステムを実装すること等を推奨している。

5. データ管理者によるデータ主体権利行使への対応を支援すること

データ主体の権利行使への管理者の対応について、処理者は管理者を支援する必要がある。処理契約では、処理者が行う支援内容を定め、処理者が提供するソリューションにデータ主体の権利行使に対して簡単かつ迅速に対応する機能が含まれていかどうかを確認しておくことが重要である。データ主体の権利行使に対して原則として1か月以内に対応する必要があるため、本ガイダンスでは、データ主体が権利行使できるインターフェイスを設定し、権利行使を随時確認できるような状態にし、権利行使があれば自動的に管理者か処理者に対応を割り振るシステムを構築しておくことを推奨している。

6. 個人データのセキュリティを保証すること

管理者は、セキュリティに関して十分な保証を提供できる処理者を使用する必要がある。本ガイドラインでは、①サービスプロバイダーに情報システムのセキュリティポリシーを伝達してポリシーに沿うよう要求すること、②処理者が提供するセキュリティに関する保証について文書化しておくこと、を推奨している。例えば、①では、セキュリティ監査、施設の訪問、組織の認定、DPOのスキルの認定を受けること、②では、管理者と処理者の双方が従業員に対して契約上の機密保持義務を課して従業員にデータ保護を認識させること、が挙げられる。

 

【CNIL 本ガイダンス(Responsable de traitement et sous-traitant : 6 bonnes pratiques pour respecter les données personnelles)】
https://www.cnil.fr/fr/responsable-de-traitement-et-sous-traitant-6-bonnes-pratiques-pour-respecter-les-donnees

 

関連情報

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

サンプルの閲覧はこちら
購入のお申込みはこちら

関連記事