EU29条作業部会、GDPR運用ガイドライン案を追加公表


EU加盟各国のデータ保護監督機関の代表などから構成される29条データ保護作業部会 (Article 29 Data Protection Working Party) は、10月18日までに、「データ侵害通知」及び「自動的意思決定とプロファイリング」に関するGDPR運用ガイドラインのドラフトを公表し、11月28日を期限としてパブリックコメント募集を開始した。

IIJでは、11月開催予定の「第5回実践的GDPR対応セミナー」においてこれら2篇のドラフトガイドライン、10月に最終稿が採択されたDPIAに関するガイドライン、合計3篇について詳しく解説する。

「データ侵害通知」のガイドラインでは、いわゆる72時間通知の起点となる「侵害の事実を知ったとき」とは、個人データの侵害につながるセキュリティ・インシデントが発生したことについて管理者が合理的な確信を持った時点とすること、監督期間に対して必要な情報を同時に報告できない場合には逐次報告 (notification in phases) すればよいこと、複数国にデータ侵害の影響が及ぶ場合には主任監督機関 (lead supervisory authority) に報告すること、データ主体への通知には、メール、SMSなど直接通信できる手段を利用すべきであってwebでのプレスリリースによる通知は不充分であること、データ侵害について個人にリスクが及ぶ可能性が高くないと判断し、監督機関に報告しなかったことについて合理的な理由が説明できない場合、制裁金を課せられる可能性があることなどの解釈・運用方針が示された。

「自動的意思決定とプロファイリング」に関するガイドラインでは、22条の規制対象となる条件である意思決定による「法的効果と同等の重大な効果」とは、関係個人の環境、行動、選択に重大な影響を及ぼす可能性がある状態であること、22条2項の例外を適用する場合、よりプライバシー侵害程度が低い方法がないかを検討すべきであること、例外適用の場合にも管理者は意思決定の内容、人間の関与を得る方法、意見・異議表明の方法などについて十分な情報提供を行い、適切な保護措置を用意すべきこと、22条2項(a)の契約履行の必要性の例外要件は、契約の主たる内容とは関係ないごく一部にプロファイリングの実施が含まれているような場合には適用できないことなどが示された。

http://ec.europa.eu/newsroom/document.cfm?doc_id=47741
http://ec.europa.eu/newsroom/document.cfm?doc_id=47742

関連記事