EU GDPR – データの最小化の原則

本ブログでは、2018年に施行されたEU GDPR (General Data Protection Regulation: 一般データ保護規則)の中からピックアップした要件やEU規制当局が示しているガイドライン等について解説するとともに、OneTrustのソリューションについてもご紹介します。

はじめに

EU GDPRでは、企業が個人データを取り扱う際は、その目的や関係において必要のあるものに限定しなければならないという「データの最小化」という原則を定めています。The International Association of Privacy Professionals (IAPP) が公開している記事では、データの最小化という考え方は一般化されつつあり、本原則に関係する執行事例も昨今増加傾向にあると分析しています。

そこで今回は、データの最小化について英国の個人情報保護機関であるICOのガイドラインとともに実際の執行事例についてもご紹介したいと思います。

データの最小化の原則とは

データの最小化とは、サービスの個々の要素を提供するために必要な最小限の個人データを収集することとICOでは定義しています。
これは、実際に使用したいサービスの要素を提供するために必要以上のデータを収集できないことを意味します。

ここでは、データの最小化の原則に関連するEU GDPRの条文についてご紹介します。

はじめにデータの最小化の原則については、EU GDPR の第５条1項 (c)で以下の通り定められています。

(c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);
(c) その個人データが取扱われる目的との関係において、十分であり、関連性があり、かつ、必要のある
ものに限定されなければならない。（「データの最小化」）

個人情報保護委員会ホームページより：https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf

さらに、第25条では下記の原則に基づきデータの取り扱いの方法を決定・取り扱い時点で実装することを定めています。

• 第5条 (1)(b) ： 個人データを収集する目的は指定され、明示的かつ正当でなければならないとする「目的制限」の原則
• 第5条 (1)(e) ： 個人データはその処理目的に必要な期間を超えて保持されるべきではないとする「保管期限」の原則

収集した個人データの適切性の判断

では、収集した個人データが「十分であり」「関連性があり」「必要なものであると限定されている」これらの項目をどのように判断すればよいでしょうか？

ICOのガイドラインでは、EU GDPR ではこれらの用語が定義されていないため、 適切な量の個人データを保持しているかどうかを評価するには、まずなぜそれが必要なのかという目的を明確にする必要があると示しています。

その他に下記の項目について定期的に確認することが求められます。

チェックポイント

☑ 個人データ収集の目的を明確にする

☑ 目的を適切に遂行するための十分な個人データを保有している

☑ 保有している個人データを定期的にレビューし、不要なものを削除する

過剰な個人データの保有とみなされる例　(ICOガイドラインより)

ここでは、ICOのガイドラインの中から過剰な個人データの保有とみなされる例を抜粋してご紹介します。

例１

雇用主は一部の従業員の血液型の詳細を保有しています。 これらの従業員は危険な作業を行っており、事故が発生した場合に情報が必要となります。
雇用主は事故を防ぐための安全手順を導入しているため、このデータが必要になることはないかもしれませんが、緊急時に備えてこの情報を保持する必要があります。しかし、雇用主が危険業務に従事していない残りの従業員の血液型を保有している場合、そのような情報は無関係かつ過剰である可能性が高くなります。

本ケースの場合、目的より必要以上のデータを保有している場合、これはデータ最小化の原則に違反するだけでなく、違法となる可能性があるとICOでは解説しています。

例２

人材紹介会社は従業員にさまざまな仕事を紹介します。 応募者には一般的なアンケートが送信され、その中には特定の肉体労働にのみ関連する健康状態に関する具体的な質問が含まれています。 事務職に応募している個人からそのような情報を得るのは無関係であり、行き過ぎとみなされます。

本ケースの場合、将来役立つかもしれないという可能性を考えて個人データを収集してはならないとICOでは解説しています。
ただし、正当化できれば、決して起こらないかもしれない予見可能な出来事についての情報を保持できる場合があると同時に示しています。

データ最小化不遵守による執行事例 (フランス共和国データ保護機関 CNIL)

前項では、ICOのガイドラインで紹介されている過剰なデータの保有の例を抜粋して紹介していますが、実際にフランスの個人データ保護機関であるフランス共和国データ保護機関 ( The Commission nationale de l’informatique et des libertés：CNIL)が、2022年に導入された簡素化された制裁手続きであるSimplified Sanction Procedureに基づいて、データ最小化の不遵守を理由として公共・民間部門の関係者に対して制裁金を科している事例があります。

今回の執行事例では、従業員の車両の位置情報と従業員のビデオ監視という 2 つの問題が特に明らかになりました。

最初の問題について、CNILは、特別な正当な理由がない限り、従業員が休憩時間中にシステムを停止または一時停止することができない状態で位置情報データを継続的に記録することは、従業員の出入りの自由に対する過度の侵害であると指摘しています。

2番目の問題に関しては、特別な理由もなくワークステーションにいる従業員を常に撮影するビデオ監視システムの導入に関する立場を再確認しています。 実際、職場での事故の防止と証拠の収集は、ワークステーションの継続的なビデオ監視の実施を正当化するものではありません。
このような状況では、ビデオ監視システムによって生成される個人データは適切でも関連性もないとし、 従業員の永続的な監視は、いくつかの例外を除いて、追求される目的とは不釣り合いと指摘しています。

おわりに

IAPPによると、データの最小化の原則の要件についてはEUのプライバシー法のみならず、米国においても要件として導入する傾向にあるようです。
カリフォルニア州プライバシー保護庁は今年の4月2日に「施行勧告」を発表し、カリフォルニア州消費者プライバシー法（CCPA）の対象となる企業に対してデータ最小化要件が施行されることを示唆しています。

この傾向から、今後世界のプライバシー法においてもデータ最小化の原則が反映されていくことがうかがえます。
データ最小化のコンプライアンスに関して、適切な評価（レビュー）と文書化による記録等の対策がますます重要になってくるかもしれません。