ICOが「管理者・処理者間の契約と責任」に関するガイドラインドラフト公表


9月13日、英国データ保護監督機関であるInformation Commissioner’s Office (ICO) は、「管理者・処理者間の契約と責任」と題するガイダンスのドラフト版を公表し、10月10日を期限としてパブリックコメントを求めた。

来年5月に施行されるGDPRでは、管理者と処理者との間の契約関係について、書面契約の義務化、契約に記載すべき条項の法定化、処理者自身の義務と責任の法定化など、旧指令(95/46/EC)に比べて規制が強化される。このガイダンスはこれらの新規制を含む管理者・処理者関係についてICOの法解釈を解説するものだ。EUとしての法解釈については、EU加盟各国のデータ保護監督機関の代表者で構成される29条作業部会のガイドラインを待たなければならない。しかし、ICOが29条データ保護作業部会の議論をリードする先導的役割を従来から担ってきたことを考えると、今回公表されたガイダンスは29条作業部会によるガイドラインの内容に大きな影響を及ぼすだろう。

ガイダンスの内容のうち特に目新しいものは下記のとおり:

●処理者がプライバシーを保証すべき範囲として、正社員、臨時雇従業員のほか、外注作業者も含めたこと
●書面による処理契約には、次の項目も含めることができること
 ・処理契約の内容にかかわらず、処理者はGDPRに基づき処理者に直接課せられる義務を免れることはできないこと
 ・データ侵害事故発生の場合のデータ主体に対する損害賠償責任の範囲(免責の範囲)について管理者・処理者間で予め合意した内容
●処理契約に先立ち、GDPRの規制内容について処理者の理解度を確認しておくのがグッドプラクティスであること
とくに、管理者がデータ侵害事故に関して制裁金又は損害賠償を支払った場合、事故の原因に応じた管理者、処理者それぞれの責任範囲、求償範囲、免責範囲などについて予め合意しておくことは重要だろう。

GDPRによる規制強化内容を現在の処理契約に反映させることにより処理者の負担は増加する可能性があるので、契約改訂には時間を要することが予想される。管理者には早めの取組が求められる。

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/09/ico-opens-consultation-on-gdpr-guidance/

ICO GDPRガイダンス「管理者・処理者間の契約と責任」の概要

●管理者と処理者との間の契約
 ・管理者が処理者を使用する場合、書面による処理契約が必要である。
 ・処理者が処理の一部を再委託する場合にも同様に書面による処理契約が必要である。
 ・処理者が処理の一部を再委託する場合には、処理者は管理者の書面による承認を得なければならない。
●書面契約の内容
 ・書面契約には以下の条項を含めなければならない。
   ‐ 処理の内容、期間、目的、処理される個人データの種類、データ主体の種類
   ‐ 処理は管理者の書面による指示に基いてのみ行うこと
   ‐ 処理者は処理に関与するすべての者がプライバシーに服することを保証しなければならないこと
   ‐ 処理者は適切なセキュリティ対策を実施すること
   ‐ 処理を再委託する(復処理者を利用する)場合には、事前に管理者の書面による承認を得ること
   ‐ データ主体の権利行使(アクセス権、訂正権、忘れられる権利など)について管理者を支援すること
   ‐ 処理のセキュリテイ対策、データ侵害報告、及びデータ保護影響評価に関する規定の遵守について管理者を支援すること
   ‐ 処理処理の終了時点で個人データを削除又は返還すること
管理者による監査、調査を受忍すること
   ‐ GDPR遵守と相容れない指示を官公署から受けた場合には管理者にただちに報告すること
 ・書面契約に記載する処理内容は一般的であったり、何でも該当する(catch all)表現であってはならず、明確でなければならない。
 ・処理者がプライバシーを保証すべき対象は正社員だけでなく、臨時雇の従業員や外注先従業員も含むことを書面契約に明記すべきである。
 ・セキュリティ対策については、処理者はGDPR第32条に基づき、リスクに対応するセキュリティ対策を講じる義務を負うことを明記すべきである。これらには、暗号化、仮名化、障害耐性確保、バックアップなどが含まれる。
 ・処理者が処理を再委託する場合の管理者による事前承認については、次の条項を書面契約に記載すべきであり、これにより再委託が連鎖する場合でも管理者が個人データの処理について全体のコントロールを維持するとともに、最初に処理を委託した処理者が再処理によって責任を回避することができないよう措置すべきである。
   ‐ 事前の一般的承認に基づいて処理を再委託する場合には、処理者は管理者に通知し、異議を述べる機会を与えること
   ‐ 処理を再委託する場合には、GDPR第28条第3項に規定された義務的記載条項による契約上の義務を受託者(復処理者)に課さなければならないこと
   ‐ 処理を再委託する場合においても、元々の処理者は受託者(復処理者)の法令遵守について管理者に対して直接責任を負うべきこと
 ・データ主体の権利行使に関する支援については、処理者が適切な技術的・組織的対策を講じることにより、GDPR第三章に基づくデータ主体の権利行使に対応する義務を果たせるよう支援しなければならないことを書面契約に明記すべきである。
 ・処理のセキュリティ対策、データ侵害報告、及びデータ保護影響評価に関する規定の遵守について管理者を支援すべきことに関しては、次の事項を書面契約に記載すべきである。
   ‐ 管理者がGDPR第32条に基づくセキュリティ対策の要求を満足できるよう管理者を支援しなければならないこと
   ‐ 管理者がGDPR第33、34条に基づくデータ侵害事故の報告・通知義務を履行できるよう管理者を支援しなければならないこと
   ‐ 管理者がGDPR第35、36条に基づくデータ保護影響評価(DPIA)の実施及び監督機関への事前相談の義務履行について管理者を支援しなければならないこと
●処理委託関係における管理者の義務と責任
 ・管理者は、GDPRを遵守し、データ主体の権利を保護することを保証できる処理者でなければ使用してはならない。管理者は、使用する処理者がGDPRを遵守できるかどうかをチェックする責任がある。
 ・管理者は、このガイダンスの要求事項を満たす契約を処理者との間で締結しなければならない。
 ・管理者は、処理者に対して書面による処理指示を与えなければならない。
 ・管理者は、処理者の使用如何に関わらず、GDPR遵守全般及び遵守の証明について直接責任を負い、監督機関から行政命令、制裁金賦課を受け、データ主体から損害賠償請求を受ける可能性がある。処理者による法令遵守違反により発生した損害についても、管理者がそのような損害を発生させた事故について全く責任がないことを証明できない限り、管理者は発生した損害全体について責任を負うことになる。この制度により、データ主体は適切な補償を得ることができる。管理者は処理者に対して責任範囲に応じて求償することはできる。
●処理委託関係における処理者の義務と責任
 ・処理者は、管理者からの書面による指示に基づいてのみ処理を行わなければならない。
 ・処理契約に基づく契約的義務のほか、管理者はGDPRのもとで以下の義務を直接負う。
   ‐ 管理者からの事前の書面による承認を得ずに復処理者を使用しない(処理を再委託しない)こと。
   ‐ 監督機関に協力すること
   ‐ 処理のセキュリティを確保すること
   ‐ 処理記録を作成・保持すること
   ‐ データ侵害事故が発生した場合、遅滞なく管理者に報告すること
   ‐ (必要に応じて)DPOを選任すること
   ‐ 処理者がEU域内に事務所を持たない場合、EU域内に代表者を選任すること
 ・処理者が復処理者を使用(処理を再委託)する場合、復処理者のの義務履行について元々の処理者は管理者に対して責任を負う。
 ・処理者を使用する場合、上記のような処理者の義務と責任について、処理者の理解度を確認するのはグッド・プラクティスである。
 ・処理者との契約においては、契約条項の如何に関わらず、処理者はGDPRが処理者に直接課する義務を免れないことを明記することも可能である。(侵害事故における)損害賠償の範囲(免責の範囲)に関する合意内容を契約で特定しておくことも可能である。

関連記事