【GDPR】管理者(Controller)と処理者(Processor)と共同管理者(Joint controllers)の概念~臨床試験の場合は?ヘルスケアアプリの場合は?~

GDPR
2022.02.10
この記事は約16分で読めます。

はじめに

 GDPRでは管理者と処理者という言葉がいたるところに出てきます。
 この用語についてのイメージを掴んでおかないとGDPR全体の理解が難しくなります。
 ここでは、管理者(Controller)、処理者(Processor)、共同管理者(Joint controllers)の概念について、少しでもイメージが掴めるように書いていければと思います。

 なお、管理者、処理者、共同管理者の概念については、EDPBという組織がGuidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0)(管理者と処理者と共同管理者の概念に関するガイドライン(バージョン. 2.0))を出しているので、こちらも参考にします。

EDPB:European Data Protection Board
GDPRの考え方や解釈を示すことで、統一的な見解となるように活動している欧州委員会の組織

 このガイドラインは約50ページからなる文書ですが、この文書がどのようなものかの概要を掴めるよう、一番下にガイドラインの目次を付けておりますので、ご参考になればと思います。

 もちろん、このシリーズは治験や医療データに特に注目することが前提なので、治験や医療データの文脈で関係する部分があれば優先的に注目していきます。

管理者(Controller)

 GDPRの第4条に管理者の定義がありますので、一度ここで引用します。

「管理者」とは、自然人又は法人、公的機関、部局又はその他の組織であって、単独で又は他の者と共同で、個人データの取扱いの目的及び方法を決定する者を意味する。その取扱いの目的及び方法がEU法又は加盟国の国内法によって決定される場合、管理者又は管理者を指定するための特別の基準は、EU法又は加盟国の国内法によって定めることができる

個人情報保護委員会によるGDPR条文第4条(7)の仮訳

 管理者は特定の「人」がなるものではなく、組織そのものが管理者としての役割を果たすことになるのが一般的だと思います。

 管理者の考え方で一番大事なところは、処理の「目的と手段」、すなわち処理の理由と方法を決めるという点です。手段については、実用的で具体的な実施方法までを管理者が決めなければならないということは無く、そのような「非本質的な手段」の部分は処理者に決定を委ねることができます。

 繰り返しになるところがありますが、管理者の定義には5つの主要な要素から構成されているそうです。
 この5つの要素は原文では以下のように記載されています。

  • “the natural or legal person, public authority, agency or other body”
  • “determines”
  • “alone or jointly with others”
  • “the purposes and means”
  • “of the processing of personal data”.

 これは英語の文章となっていますが、その箇条書きをそのまま和訳すると語順がおかしくなるので、日本語に合わせた語順で並べ替えて和訳します。

  • 「自然人または法人、公的機関、部局又はその他の組織が」
  • 「単独または他者との共同で」
  • 「個人データの処理の」
  • 「目的と手段を」
  • 「決定する」

 それでは、それぞれについて見ていきます。

自然人または法人、公的機関、部局又はその他の組織が

 管理者となりうるエンティティのタイプに関しての言及です。GDPRでは、管理者は「自然人または法人、公的機関、部局又はその他の組織」であるとされています。すなわち、原則として、管理者の役割を担うことができる主体の種類に制限はありません。そして、実際には、GDPRの意味での管理者は、組織内の個人(CEO、従業員、取締役など)ではなく、通常は組織が務めています。

 企業グループ内でのデータ処理に関して、例えば親会社の代わりにデータを処理する場合など、事業所が管理者または処理者のどちらの役割を果たしているかという問題には特に注意を払わなければなりません。

 組織の活動範囲内で行われる従業員による個人データの処理は、その組織の管理下で行われていると推定することができるので、それらの活動に対する管理者としての責任を負います。もし、従業員が自分自身の目的のために個人データを使用しようとして、与えられた権限を違法に超えてしまうことがあったとしても(例:自分の会社を設立する場合など)、それはその組織としての管理者の責務である従業員へのGDPRに対する研修や情報提供など、技術的・組織的に適切な対策を講じていないこととなるので、やはり管理者である組織の責務の問題となります。

単独または他者との共同で

 第4条の定義を見ると、管理者は、処理の「目的と手段」を「単独でまたは他者と共同で」決定する行為者であるとし、「目的および手段」が複数の行為者によって決定される可能性があることを認めています。つまり、複数の異なる団体が同一の処理に対して管理者として行動し、それぞれが適用されるデータ保護規定に従うことになります。

 これに対応して、ある組織は、目的と手段に関するすべての決定を行わない場合でも、管理者となることができます。共同管理者の基準と、2人以上の関係者が共同で管理を行う範囲は、後に明らかにするように、異なる形をとることができます。

個人データの処理の

 管理者が決定した目的および手段は、「個人データの処理」に関するものでなければなりません

 GDPR第4条(2)では、個人データの処理を「個人データまたは個人データの集合に対して実行されるあらゆる操作または操作の集合」と定義しています。その結果、管理者の概念は、単一の処理操作または一連の操作のいずれかにリンクされます。実際には、特定のエンティティが行使する管理は、問題となっている処理の全体に及ぶこともあれば、処理の特定の段階に限定されることもあります。

 データを処理することを決定した者は、これに個人データが含まれるかどうか、含まれる場合にはGDPRに基づく義務は何かを検討する必要があります。行為者は、個人データを意図的に対象としていない場合や、個人データを処理していないと誤って評価した場合でも、「管理者」とみなされます

 処理活動を外部に委託しても、その際に処理の目的および(本質的な)手段に決定的な影響を与える者(例えば、誰の個人データを処理するかに影響を与えるような方法でサービスのパラメータを調整する者)は、データに実際にアクセスすることがなくても、管理者とみなされることになります。

目的と手段を

 処理の「目的と手段」は、管理者の概念の本質的な部分、すなわち管理者としての資格を得るために当事者が決定すべきことを表しています。

  • 目的:意図された、または計画された行動を導く予想される結果
  • 手段:結果がどのように得られるか、または目的がどのように達成されるか

 GDPRでは、個人データは特定された明示的かつ合法的な目的のために収集されなければならず、その目的と両立しない方法で処理されてはならないと定めています。したがって、処理の「目的」とそれを達成するための「手段」を決定することは特に重要です。

 管理者は、処理の目的と手段の両方を決定しなければなりません。逆に、処理者は、処理の目的を決定することはできません。しかし実際には、管理者は自分に代わって処理を実行するように処理者に依頼する場合、処理者が行う具体的な処理の実行方法について独自に一定の決定を行うことが多いです。

 EDPBは、処理者が処理に関連して何らかの決定を行うことができる余地が存在することを認識しており、処理者がどの程度までその処理の方法について独自の意思決定を行うことができるのかは、その処理が「必須な手段」か「必須でない手段」かによって線引きできると説明しています。

決定する

 個人データの処理に関する意思決定権の行使を意味します。

 管理者とは、処理に関する特定の重要な要素を決定する組織です。
 管理者は、法律で定義されている場合もあれば、事実上の要素や事例の状況の分析に由来する場合もあります。問題となっている具体的な処理作業を見て、誰がそれを決定するのかを理解するには、「なぜこの処理が行われているのか」、「特定の目的のために処理を行うべきだと誰が決めたのか」という質問を検討する必要があります。

処理者(Processor)

 GDPRの第4条に処理者の定義がありますので、一度ここで引用します。

「処理者」とは、管理者の代わりに個人データを取扱う自然人若しくは法人、公的機関、部局又はその他の組織を意味する

個人情報保護委員会によるGDPR条文第4条(8)の仮訳

 処理者の定義を見ると、管理者の定義と同様に、幅広い行為者を想定しており、「自然人または法人、公的機関、部局、その他の組織」とすることができます。つまり、どのようなタイプの行為者が処理者の役割を担うかについては、原則として制限はなく、組織かもしれませんし、個人かもしれません。

 処理者としての資格を得るための2つの基本条件は以下のとおりです。

  • 管理者とは別の事業体であり
  • 管理者の代わりに個人データを処理すること。

 企業グループ内では、ある企業が管理者である別の企業の処理者となることができます。これは、両社が別個の事業体であるためです。一方、企業内のある部門は、同じ企業内の別の部門に対して処理者になることはできません

 処理者は、少なくとも処理の「目的および手段」の必須な要素に関して、管理者から与えられた指示を実行することが求められます。規則の第6条(取扱いの適法性)および関連する場合は第9条(特別な種類の個人データの取扱い)に従った処理の合法性は、管理者の活動から導き出されることになり、よって、処理者は管理者の指示に従わずデータを処理することはできません(管理者の指示により、処理者が最も適した技術的および組織的手段を選択できるようにすることもできます)。

 「代わりに」行動することは、処理者が自らの目的のために処理を行うことができないことも意味します。第28条(10)に規定されているように、処理者は、管理者の指示を超えて、独自の処理目的及び手段の決定・実行をすればGDPR違反になります。処理者は、その処理に関して管理者とみなされ、管理者の指示を超えたことで制裁を受ける可能性があります

 EUの法律は全ての加盟国の公用語で用意されているのですが、フランス語のGDPRを見ると、Processorにあたる用語として「sous-traitant」という言葉が使われています。
 このフランス語は「下請け」「下請け業者」といった意味であり、英語のGDPRである「処理者」とは少し違ったニュアンスを受けますが、実際にはフランス語のニュアンスの方が実態に近く、日本法で言う「委託(先)」に近い存在のように感じます。

共同管理者(Joint controllers)

 共同管理者はGDPR第26条で規定されていますので、一旦、ここで第26条を見てみます。

  1. 二者以上の管理者が共同して取扱いの目的及び方法を決定する場合、それらの者は、共同管理者となる。管理者らが服すべきそれぞれの管理者の責任がEU 法又は加盟国の国内法によって定められていない場合、その範囲内において、管理者は、本規則に基づく義務、とりわけ、データ主体の権利の行使に関する義務、並びに、第 13 条及び第 14 条に規定する情報を提供すべき管理者それぞれの義務を遵守するための管理者それぞれの責任について、管理者の間での合意により、透明性のある態様で定める。その合意においては、データ主体のための連絡先を指定できる。
  2. 第 1 項に規定する合意は、共同管理者各自とデータ主体とのそれぞれの間における役割及び関係を適正に反映するものとする。その合意の要点は、データ主体に利用可能なものとされる。
  3. 第1 項に規定する合意に定める条件にかかわらず、データ主体は、個々の管理者との関係において、及び、個々の管理者に対して、本規則に基づく自己の権利を行使できる。

 GDPR第26条は、GDPR第4条(7)の定義を反映しており、「2人以上の管理者が共同で処理の目的と手段を決定する場合、それらは共同管理者となる」と規定しています。広い意味では、異なる当事者がこの処理活動の目的と手段を共同で決定する場合、その特定の処理活動に関して共同管理者となります。したがって、共同管理者の存在を評価するには、管理者の特徴である「目的と手段」の決定が複数の当事者によって決定されているかどうかを調べる必要があります。”共同で “には、様々な形や組み合わせが考えられ、”一緒に “または “単独ではない “という意味に解釈されなければなりません。

 複数の事業体が関与するすべての処理が共同管理者になるわけではありません。共同管理者が存在するための包括的な基準は、処理の「目的と手段」の決定に2つ以上の事業体が共同で参加していることです

日本の個人情報保護法の「共同利用」とは異なる概念ですね。

臨床試験の事例で考えてみる

 この、Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0)には、「Example: Clinical Trials」という形で事例検討がされています。
 この事例を私が訳したものを以下に載せます(少し意訳しています)。

例:臨床試験
 医療機関(治験責任医師)と大学(スポンサー)は、同じ目的の臨床試験を共同で開始することを決定する。両者は共同で治験実施計画書(治験の目的、方法論/デザイン、収集するデータ、被験者の除外/包含基準、データベースの再利用(関連する場合)など)を作成した。両者は、同じ目的および処理の本質的な手段を共同で決定し、同意していることから、本臨床試験の共同管理者とみなすことができます。研究目的のために患者の医療記録から個人データを収集することは、医療提供者が管理者となる患者ケアの目的で同じデータを保存・使用することとは区別されます
 治験責任医師が治験実施計画書の作成に参加せず(スポンサーが作成した治験実施計画書をそのまま受け入れる)、スポンサーが(単独で)治験実施計画書を作成した場合、この臨床試験においては、治験責任医師を処理者、スポンサーを管理者と考えるべきである。

 この事例を少し深堀してみます。
 前半は、治験責任医師とスポンサーが共同してプロトコールを作成したとなっています。すなわち、個人データ収集の目的と処理を一緒実施していることになります。よって、この研究で集積されたデータについては、治験責任医師とスポンサー共同管理者となります。

 ただ、研究のためのデータ収集においては、当然ながら患者の治療の目的も共存しており、治療目的のためのデータ収集は医療記録(診療録)に記録されています。よって、この医療記録の管理者は治験責任医師であり、スポンサーは関係ないことになります。
 同じ画面でも、処理の「目的と手段」が異なる場合は分けて考える必要があります。

 一方で、スポンサーが単独でプロトコールを作成し、治験責任医師はプロトコールの実質的な立案に関わっていない場合、それは共同で目的と手段を決めたことにはならず、決めたのはスポンサーであるため、スポンサーが管理者となるとともに、治験責任医師はあくまで処理者という位置づけとして整理されます。
 ただ、この場合でも、医療記録(診療録)の管理者は治験責任医師となります。

 このガイドラインが、その前段階の「意見書(opinion)」の時には、少し違う臨床試験のシナリオが用意され、また少し違う考え方を土台にして「共同管理者にあたる」と整理していたことがあるため、「臨床試験の場合は治験責任医師とスポンサーは(常に)共同管理者にあたる」と認識されている方がたまにいらっしゃいますが、それは意見書からガイドラインになったタイミングで、少し整理が変わったことをご存知ないのが原因ではないかと思っています。

血圧計アプリの事例で考えてみる

 同じガイドラインに血圧計アプリの開発に関するシナリオがあります。
 こちらも訳してみますので、皆さん、ゆっくり考えてみてください。

例:健康データの分析
 血圧計アプリを開発しているABC社と医療関係者向けアプリを提供しているXYZ社は、血圧の変化が特定の病気の予測にどのように役立つかを調べたいと考えています。両社は、共同プロジェクトを立ち上げ、ホスピタルDEFにも参加を呼びかけます
 このプロジェクトで処理される個人データは、ABC社、DEF病院、XYZ社が個々の管理者として個別に処理している個人データで構成されています。血圧の変化を評価するためにこのデータを処理する決定は、3つの関係者によって共同で行われます。ABC社、DEF病院、XYZ社は共同で処理の目的を決定した。XYZ社は、処理の必須手段を率先して提案します。ABC社とDEF病院は、結果を十分に利用できるようにアプリの機能の一部の開発に携わった後、これらの必須手段を受け入れます。このようにして、3つの組織は、血圧の変化が特定の病気を予測するのに役立つかどうかを評価するという、処理の共通の目的を持つことに同意します。研究が完了すると、ABC社、DEF病院、XYZ社は、自分たちの活動にその結果を利用することで、評価から利益を得ることができます。これらの理由により、これらの企業は、この特定の共同処理について共同管理者としての資格があります
 仮に、XYZ社が他の企業から、独自の目的を持たずに単にこの評価を行うように依頼され、他の企業に代わってデータを処理していたとしたら、たとえ非本質的な手段の決定を委託されていたとしても、XYZ社は処理者としての資格を有することになります。

ご参考:Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0)の目次

エグゼクティブ・サマリー
序論
PART I – 概念
 1 一般的な見解
 2 コントローラの定義
  2.1 管理者の定義
   2.1.1 「自然人または法人、公的機関、代理店またはその他の団体」
   2.1.2 「決定する」
   2.1.3 「単独で、または他者と共同で」
   2.1.4 「目的および手段」
   2.1.5 「個人データの処理について」
 3 共同管理者の定義
  3.1 共同管理者の定義
  3.2 共同管理者の存在
  3.2.1 一般的な考慮事項
  3.2.2 共同参加の評価
  3.2.3 共同支配権が存在しない状況
 4 処理者の定義
 5 第三者/受領者の定義
PART II – 異なる役割を割り当てた場合の結果
 1 コントローラとプロセッサの関係
  1.1 処理者の選択
  1.2 契約またはその他の法的行為の形式
  1.3 契約またはその他の法的行為の内容
   1.3.1 処理者は、管理者からの文書化された指示に基づいてのみデータを処理しなければならない(GDPR第28条(3)(a))
   1.3.2 処理者は、個人データを処理する権限を与えられた者が、守秘義務を誓っているか、または適切な法的守秘義務を負っていることを保証しなければならない(GDPR 28(3)(b))
   1.3.3 処理者は、第32条に従って要求されるすべての措置を講じなければならない(GDPR第28条(3)(c))
   1.3.4 処理者は、他の処理者を従事させるために、第28条(2)及び第28条(4)で言及されている条件を尊重しなければならない(GDPR第28条(3)(d))
   1.3.5 処理者は、データ対象者の権利行使の要求に応じる義務の遂行のために、管理者を支援しなければならない(GDPR第28(3)(e)条)
   1.3.6 処理者は、第32条から第36条に基づく義務の遵守を確保するために、管理者を支援しなければならない(GDPR第28条(3)(f))
   1.3.7 処理活動の終了時に、処理者は、管理者の選択により、すべての個人データを削除または管理者に返却し、既存のコピーを削除しなければならない(GDPR第28条(3)(g))
   1.3.8 処理者は、第28条に定められた義務を遵守していることを証明するために必要なすべての情報を管理者に提供し、管理者または管理者が委任した他の監査人が実施する検査を含む監査に協力しなければならない(第28条(3)(h) GDPR)
  1.4 データ保護法を侵害する指示
  1.5 処理の目的および手段を決定する処理者
  1.6 サブプロセッサー
 2 共同管理者の結果
  2.1 GDPR に基づく義務を遵守するための共同管理者のそれぞれの責任を透明性のある方法で決定する
  2.2 責任の割り当ては取り決めによって行われる必要がある
   2.2.1 取り決めの形式
   2.2.2 データ主体に対する義務 2.3 データ保護当局に対する義務

タイトルとURLをコピーしました