GDPRのお勉強:目的と免責
EUで2018年に施行されたGeneral Data Protection Regulation、いわゆるGDPRは、世界の個人情報の保護に関する法律のお手本のように世界的にみられています。
GDPRに関する解説は、書籍やウェブ上にある程度ありますが、医療データや治験データなどの健康医療関連データの取り扱いについて特化した、しかも日本語での解説はほとんど見当たりません。
そこで、自分の勉強も兼ね、GDPRの条文を第1条から(第50条ぐらいまでを目標に)、関連するガイドラインなども引用しつつ、特に医療データでの扱い方について注目して見ていきたいと思います。
ちなみに私はGDPRの専門家でも、法律の専門家でもありません。
そのため、誤った理解をして記述してしまうかもしれませんが、ご容赦下さい。
GDPRの基本のキホン
GDPRの正式な名称は以下のような長い名前です。
REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
この法律の原文(英語)はここから閲覧することができます。
最初にRecital(前文)という、「GDPRがどのような背景ででき、個人データはどのように扱われるべきと考えているか」といった、背景や概念的なことが173項にわたって書かれています。
そのあとに、法律の条文が第一章から始まります。
よほど英語が得意な人でないと、なかなか英語のまま法律を読もうとする気にはならないと思いますが、 ありがたいことに、日本の個人情報保護委員会がGDPRを日本語訳(仮訳)してくれているので、この個人情報保護委員会の訳をベースにGDPRを読んでいきたいと思います。
個人情報保護委員会のGDPRのページ
https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/
なお、個人情報保護委員会は、GDPRをRecital(前文)部分と条文部分でファイルを分けて訳しています。
また、個人情報保護員会はGDPRの前文、条文だけでなく、関連するガイドラインの日本語訳も用意してくれています。
ただ、これらはGDPRに関するガイドラインの一部でしかありません。
特に重要と思われるものの一部は和訳してくれていますが、医療や臨床試験でのデータの取り扱いについて説明しているガイドラインはほとんどありません(これを書いている時点では「新型コロナウイルス感染症の発生下における科学的研究を目的とした健康に係るデータの取り扱いに関するガイドライン03/2020」のみ)。
よって、適宜、本場のガイドラインを見ざるを得ないことも出てきます。
前文を1から順に見ていくことはしませんが、各条文を理解するうえで大事な記載が前文にある時は、引用していきたいと思います。
この個人情報保護委員会のページを見ると、一番上にGDPRとは何ぞやということを書いてくれていますので、引用させて頂きますと…
EU(※)では、EU域内の個人データ保護を規定する法として、1995年から現在に至るまで適用されている「EUデータ保護指令(Data Protection Directive 95)」に代わり、2016年4月に制定された「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されました。
https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/
GDPRは個人データやプライバシーの保護に関して、EUデータ保護指令より厳格に規定します。
また、EUデータ保護指令がEU加盟国による法制化を要するのに対し、GDPRはEU加盟国に同一に直接効力を持ちます。
※EU:EU加盟国及び欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタイン
もともとEUにはGDPRの前身となる「EUデータ保護指令(Data Protection Directive 95)」というルールが1995年から存在していたのですが、そのルールが2016年にDirective(指令)から、Regulation(規則)に格上げされ(EU全体の法律となる)、2018年5月25に施行されたとのことです。
ちなみに、ここでいうEUとは、いわゆるEU加盟国に加え、アイスランド、ノルウェー、リヒテンシュタインを含んだ国々になります。
さて、ここで法律の正式名称に戻りますが、
REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
という、長~い法律名を、個人情報保護委員会は以下のように訳しています。
個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016 年4 月27 日の規則(EU) 2016/679 (一般データ保護規則)
皆さんご存知の通り、GDPRは個人情報の保護に関連する法律ですが、この日本語訳を見ると、ちょっと違和感を感じるかもしれません。
「EUの地域における、個人データの取り扱い、関連する個人の保護、およびそのデータの移転に関連する法律であり、あわせて1995年から存在していたDirective(指令)を廃止する規則である」ということは、なんとなく読み取れるかと思いますが、しっくりこないと感じる方もいるかも思います。
また、「個人情報ではなく個人データと書いてあるけど違いがあるの?」といった疑問を感じる方もいるかもしれませんが、今はあまり気にしないで良いと思います。
GDPRの条文の構成(目次)
GDPRの構成は以下のようになっています。
第1章が法律の目的や対象、第2章は個人データの取り扱いに関する基本原則、第3章は個人(GDPR用語でいうと「データ主体(data subject)、日本の個人情報保護法の用語でいうと「本人」)の権利、第4章は個人データの取り扱いに関する管理者・処理者を中心にした内容、第5章はEUの外(EU域外)に個人データを移転する時の取り扱いについて記述されています。
実務などでGDPRを勉強したい人でも、普通の人はこの第5章までの内容を知っていれば十分だと思いますので、基本的には第6章以降は対象外にします。
第1章 一般規定
第1条 対象事項及び目的
第2条 実体的適用範囲
第3条 地理的適用範囲
第4条 定義
第2章 基本原則
第5条 個人データの取扱いと関連する基本原則
第6条 取扱いの適法性
第7条 同意の要件
第8条 情報社会サービスとの関係において子どもの同意に適用される要件
第9条 特別な種類の個人データの取扱い
第10条 有罪判決及び犯罪と関連する個人データの取扱い
第11条 識別を要しない取扱い
第3章 データ主体の権利
第1節 透明性及び手順
第12条 データ主体の権利行使のための透明性のある情報提供、連絡及び書式
第2節 情報及び個人データへのアクセス
第13条 データ主体から個人データが取得される場合において提供される情報
第14条 個人データがデータ主体から取得されたものではない場合において提供される情報
第15条 データ主体によるアクセスの権利
第3節 訂正及び消去
第16条 訂正の権利
第17条 消去の権利(「忘れられる権利」)
第18条 取扱いの制限の権利
第19条 個人データの訂正若しくは消去又は取扱いの制限に関する通知義務
第20条 データポータビリティの権利
第4節 異議を述べる権利及び個人に対する自動化された意思決定
第21条 異議を述べる権利
第22条 プロファイリングを含む個人に対する自動化された意思決定
第5節 制限
第23条 制限
第4章 管理者及び処理者
第1節 一般的な義務
第24条 管理者の責任
第25条 データ保護バイデザイン及びデータ保護バイデフォルト
第26条 共同管理者
第27条 EU 域内に拠点のない管理者又は処理者の代理人
第28条 処理者
第29条 管理者又は処理者の権限の下における取扱い
第30条 取扱活動の記録
第31条 監督機関との協力
第2節 個人データの安全性
第32条 取扱いの安全性
第33条 監督機関に対する個人データ侵害の通知
第34条 データ主体に対する個人データ侵害の連絡
第3節 データ保護影響評価及び事前協議
第35条 データ保護影響評価
第36条 事前協議
第4節 データ保護オフィサー
第37条 データ保護オフィサーの指名
第38条 データ保護オフィサーの地位
第39条 データ保護オフィサーの職務
第5節 行動規範及び認証
第40条 行動規範
第41条 承認された行動規範の監視
第42条 認証
第43条 認証機関
第5章 第三国又は国際機関への個人データの移転
第44条 移転に関する一般原則
第45条 十分性認定に基づく移転
第46条 適切な保護措置に従った移転
第47条 拘束的企業準則
第48条 EU 法によって認められない移転又は開示
第49条 特定の状況における例外
第50条 個人データ保護のための国際協力
第6章 独立監督機関
第1節 独立的地位
第51条 監督機関
第52条 独立性
第53条 監督機関のメンバーに関する一般的条件
第54条 監督機関の設置規定
第2節 職務権限、職務及び権限
第55条 職務権限
第56条 主監督機関の職務権限
第57条 職務
第58条 権限
第59条 活動報告書
第7章 協力と一貫性
第1節 協力
第60条 主監督機関とその他関係監督機関との間の協力
第61条 共助
第62条 監督機関の共同作業
第2節 一貫性
第63条 一貫性メカニズム
第64条 欧州データ保護会議の意見
第65条 欧州データ保護会議による対立の解決
第66条 緊急の手続
第67条 情報交換
第3節 欧州データ保護会議
第68条 欧州データ保護会議
第69条 独立性
第70条 欧州データ保護会議の職務
第71条 報告書
第72条 手続
第73条 議長
第74条 議長の職務
第75条 事務局
第76条 機密性
第8章 救済、法的責任及び制裁
第77条 監督機関に異議を申立てる権利
第78条 監督機関を相手方とする効果的な司法救済の権利
第79条 管理者又は処理者を相手方とする効果的な司法救済の権利
第80条 データ主体の代理人
第81条 訴訟手続の停止
第82条 賠償の権利及び法的責任
第83条 制裁金を科すための一般的要件
第84条 制裁
第9章 特定の取扱いの状況と関係する条項
第85条 取扱いと表現の自由及び情報伝達の自由
第86条 公文書の取扱い及び公衆のアクセス
第87条 国民識別番号の取扱い
第88条 雇用の過程における取扱い
第89条 公共の利益における保管の目的、科学調査若しくは歴史調査の目的又は統計の目的のための取扱いと関連する保護措置及び特例
第90条 守秘義務
第91条 教会及び宗教団体の既存のデータ保護規則
第10章 委任される行為及び実装行為
第92条 委任される行為の執行
第93条 委員会の手続
第11章 最終規定
第94条 指令95/46/EC の廃止
第95条 指令2002/58/EC との関係
第96条 既に締結された協定との関係
第97条 欧州委員会の報告書
第98条 データ保護に関するEU の他の法的行為の見直し
第99条 発効及び適用
それでは次回以降、第1条から見ていきたいと思います!
