EU GDPR – 個人データの委託先管理
Komiya SN
本ブログでは、2018年に施行されたEU GDPR (General Data Protection Regulation: 一般データ保護規則)の中からピックアップした要件やEU規制当局が示しているガイドライン等について解説するとともに、OneTrustのソリューションについてもご紹介します。
はじめに
2023年は、個人情報の漏洩・紛失事故が過去最多であったと言われています。事故の理由としては、サイバー攻撃等による不正アクセスが増加していた他、個人情報の不正持ち出しや、共有すべきでない個人情報を閲覧していたなど人為的な理由による漏洩事故についても顕著であったと分析されています。実際に昨年の個人情報漏洩事故の漏洩件数上位には、自組織の従業員や委託先従業員による不正持ち出しの事案があげられています。(東京リサーチ調べ) このような傾向から、企業は自組織のみならず業務委託先においても個人データ管理とガバナンスの構築が必須となっています。
日本国内の委託については、個人情報保護法が適用され、個人情報取扱事業者および委託先に求められる要件が定められており、企業はこれに遵守する義務があります。※「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。(個人情報保護法)
一方、EUのプライバシー法であるEU GDPR(一般データ保護規則)では、「委託」という概念は明確に定義されていませんが、個人データの扱いに関する管理者と処理者の義務を明確に区別した構成になっており、委託先管理においてもこの「管理者」と「処理者」に求められる要件があてはまると考えられます。日本企業においても、GDPR適用対象である場合は企業内での対応の整備が必要と考えられます。
今回の記事では、個人データの委託に関連するEU GDPRで求められる要件を中心にご紹介します。
EU GDPRにおける個人データの委託に求められる要件とは
本章では、下記についてICO ( Information Commissioner’s Office)のガイドラインを参考にEU GDPRにおける個人データの委託に関連する要件について解説します。
1. EU GDPR の 管理者(Controller)と処理者(Processor)の定義
2. 管理者 (Controller) と処理者 (Processor)の責任
3. 管理者が (Controller)が処理者 (Processor)へデータ処理を委託する際に問われる責任
管理者 (Controller)と処理者(Processor)とは?
EU GDPRでは、管理者(Controller) と処理者 (Processor)について以下の通り定義されています。
- 管理者 (Controller):個人データの処理の目的と手段を単独で、または他者と共同で決定する自然人、法人、公的機関、政府機関、またはその他の団体を意味します。GDPR 4条 (7)
- 処理者 (Processor):管理者に代わって個人データを処理する自然人、法人、公的機関、政府機関、またはその他の団体を意味します。GDPR 4条 (8)
この管理者と処理者という定義は、同じ企業グループ間の個人データの扱いについても、個人データの処理を監督する立場の管理者と個人データを管理者に代わって処理する処理者という上記の定義が適用されるます。また、企業や組織が個人データの処理を外部ベンダー等へ委託する場合の「委託元と委託先の関係性」においても同定義が適用されます。
ポイント:いずれのケースにおいても管理者(Controller)と処理者(Processor)の概念が適用される。
管理者と処理者の責任
次に管理者と処理者に問われる責任について解説したいと思います。
1.管理者の責任
個人データ処理に関して管理者の立場である場合は、個人データ処理がGDPRに遵守し適切に行われて
いるか管理することが問われています。具体的には、以下のポイントが重要とされています。
- データ保護原則の遵守
GDPR5条で規定されている「データ保護原則」への遵守が求められます。
【データ保護原則】
① 適法性、公平性および透明性の原則
② 目的の限定の原則
③ データの最小化の原則
④ 正確性の原則
⑤ 保管の制限の原則
⑥ 完全性および機密性の原則
※ ③ データ最小化の原則については別ブログで解説していますのでこちらもご参照ください。 - 個人の権利
個人が、アクセス、訂正、消去、制限、データポータビリティ、異議申し立て、自動化された意思決定に関連する権利など、個人データに関する権利を行使できるようにする必要があります。 - セキュリティ
個人データのセキュリティを確保するために、適切な技術的および組織的なセキュリティ対策を実施する必要があります。 - 適切な処理者の選択
個人データの処理が GDPR の要件を満たす適切な技術的および組織的措置を実施できる処理業者のみを使用できます。処理者がGDPR の要件に沿って個人データを処理する能力があるかどうかを評価することが求められます。 - 処理者との契約
処理者と拘束力がある契約を締結する必要があり、その契約にはGDPR 28条(3)の条項が含むことが求められます。 - 個人情報漏洩時の通知
個人データ漏洩時に、監督当局および個人データ漏洩の影響を受ける個人への通知が義務付けられています。 - 説明責任
処理活動記録の保持、データ保護影響評価の実施、データ保護責任者の任命など、GDPR の説明責任義務を遵守する必要があります。 - 監督当局との協力
監督当局への協力・その職務の支援を提供することが求められます。
2. 処理者の責任
処理者は、処理するデータに関して自律性と独立性が低くなりますが、英国 GDPR に基づくいくつかの
直接的な法的義務を負い、監督当局による規制の対象となります。処理者の義務については、主に次の
ポイントが重要とされています。
- 管理者の指示によるデータ処理
個人データは、管理者の指示に従ってのみ処理できます(法律で別途要求されない限り)。指示の範囲外で行動したり、独自の目的で処理したりする場合は、処理者としての役割を離れ、その処理の管理者になります。 - 管理者との契約
管理者との拘束力のある契約を締結することが求められています。これには、GDPRの必要条項を含めることが求められます。 - サブプロセッサー (再委託)
管理者の書面による許可なしに別の処理者へ個人データの処理を依頼してはいけません。許可が付与された場合は、対象となるサブプロセッサーとの間に管理者と処理者が締結した内容と同等の個人データの保護を提供する条件で、契約を締結することが求められます。 - セキュリティ
個人データのセキュリティを確保するために、偶発的または違法な破壊や紛失、変更、不正な開示やアクセスからの保護を目的とした適切な技術的および組織的対策の実施が求められます。 - 個人データ侵害の通知
個人データ侵害に気付いた場合は、遅滞なく管理者に通知する必要があります。管理者は、監督機関 に通知できる時間が限られているため、処理者からの即時通知を契約で義務付ける場合もあります。また、個人データ侵害に関する義務を遵守するために管理者を支援することが求められます。 - 個人データ保護違反の通知
管理者の指示がGDPR違反につながる場合は、直ちに監督当局へ通知することが求められます。 - 説明責任義務
個人データ記録の保持やデータ保護責任者の任命など、英国 GDPR の特定の説明責任義務に従う必要があります。
個人データの処理を委託する際に問われる責任
上記の管理者および処理者の責任・義務の内容を踏まえた上で、ここでは個人データの委託において管理者に問われる要件の重要なポイントについて解説したいと思います。
管理者の責任において重要なポイントとしては、委託する処理者がその個人データ処理を遂行する上でGDPRの要件に従って個人データの処理を遂行することができる能力があるか適切に評価することがあげられます。この評価にあたり実施する処理活動の性質やデータ主体に対するリスクを考慮することが求められます。
ICOでは、この評価を実施する際の管理者が考慮すべき事項について次のことを挙げています。
- 処理活動の環境で業界標準が適用される場合、処理者が業界標準にどの程度準拠しているか
- GDPR 32条~36条に基づく義務の履行など管理者を支援するための十分な技術的専門知識があるか
- 管理者にプライバシーポリシー、記録管理ポリシー、情報セキュリティポリシーなどの関連文書を提出しているか
- 承認された行動規範または認証スキームを遵守しているか
管理者は自らのコンプライアンスと、その処理者のコンプライアンスの確保に主に責任を負います。つまり、処理者との契約条件にかかわらず、管理者はGDPR に規定されている是正措置および制裁の対象となる可能性があります。
こうしたリスクを軽減するためにも、処理者を選定する際および定期的なモニタリングの際に実施する評価は重要と考えられます。
個人データの委託先管理とガバナンス体制の構築
前章では、個人データの委託に関連するGDPRで求められる管理者と処理者のそれぞれの要件についてご紹介しました。要約すると、GDPRにおける委託先管理という観点では主に以下が重要と考えられます。
- GDPRの要件を満たす適切な処理者の選定のための評価の実施
- EU GDPRの規則に沿った形で運用が行われているか検証が行うことができるよう個人情報の取り扱い・管理状況の記録
- 漏洩等の事案が発生した時の対応を行うため、体制・通知手段の整備
- 個人データ取扱い状況の検証および管理措置の見直しのための定期的な監査の実施
個人データの委託先管理を支援するOneTrustのソリューション
GDPR で求められている要件を遵守する上で、例えば個人情報の取り扱い・管理状況をExcel等で管理することも可能ですが、Excelファイルの管理が煩雑になってしまったり、漏洩等の事案が発生時に管理者や監督機関へ提出するデータが不十分となる可能性も考えられます。さらに、処理者選定時および定期的な監査実施時の評価についても、PDFファイルやExcelによる情報収集の場合、同じく管理が煩雑になってしまう可能性も想定されます。
OneTrustでは、こうした課題を解消に円滑な委託先管理をサポートするソリューションをご提供しています。
Data Mapping (データマッピング )
GDPRでは、管理者および処理者それぞれに個人データ処理活動の記録を義務付けています。データマッピング機能により、個人データの種類、その保存場所、収集方法、アクセス権限のある人、利用方法について、台帳(インベントリ)を作成し記録することで、個人データの所在およびフローを可視化することができます。プライバシー法規制に準拠し、説明責任を果たす時に役立ちます。
PIA / DPIA Automation (プライバシー評価自動化)
GDPRでは、定期的に管理者によるデータ保護影響評価(DPIA)が義務付けられています。プライバシー評価自動化 (PIA/DPIA Automation)は、個人データ処理活動に関する質問票の作成から評価実施の一連のサイクルの自動化を可能にします。
Incident Management (インシデント管理)
不正アクセスや個人情報漏洩などのインシデントが発生した時に、GDPRでは遅延なく監督機関ならびにデータ主体に対する個人データの侵害の通知が義務付けられています。インシデント管理では、管轄のプライバシー法に基づいてワークフローを自動作成することができ、インシデント発生時の迅速な対応に役立ちます。
Third Party Risk Management (サードパーティリスク管理)
サードパーティ リスク管理 (TPRM) は、サードパーティ (ベンダー、サプライヤー、パートナー、請負業者、またはサービス プロバイダーと呼ばれることもあります) との取引に関連するリスクの特定と軽減に焦点を当てたリスクを管理をするのに役立ちます。
おわりに
昨今のビジネス環境では、国内外のクラウドや外部組織等へ委託してビジネスを進める上で、個人データ処理の委託は避けて通ることはできません。それに伴い、グローバルに展開している企業は海外のプライバシー法への遵守が求められる場合もあります。
弊社では、OneTrustソリューションの販売および導入支援サービスを通して、個人データ委託管理における海外のプライバシー法規制に関する対応についてもサポートしております。もし、興味のある方はご相談ください。
