第5条は「個人データの取扱いと関連する基本原則」とあるとおり、個人データの取扱いに関する原則が書かれています。
内容は少し抽象的ですが、一部を除いて「まぁ、その通りですね」と同意できる内容だと思います。
これらの基本原則が、GDPRにおける個人データの取扱いを考える上での土台となっています。
- 適法性、公正性及び透明性
- 目的の限定
- データの最小化
- 正確性
- 記録保存の原則
- 完全性および機密性
今は「こういったことも書いてあったような…」ぐらいで良いので、頭の片隅に残していただくのが良いと思います。
第5条:個人データの取扱いと関連する基本原則
1. 個人データは:
(a) そのデータ主体との関係において、適法であり、公正であり、かつ、透明性のある態様で取扱われなければならない。(「適法性、公正性及び透明性」)
「適法」という点については当然だろうと思いますが、具体的な説明は第6条以降に記載があるので、そちらで確認していけたらと思います。
前文39項に透明性について、以下のように説明しています。
自然人に関する個人データが収集され、利用され、調査され、又は、それら以外の取扱いをされていること、及び、どの範囲の個人データが取扱われており、又は、取扱われることになるのかが、当該自然人に対して明らかにされなければならない(It should be transparent to natural persons that …)。透明性の原則は、それらの個人データの取扱いと関連する情報及びコミュニケーションに容易にアクセスできること及び容易に理解できること、また、明確かつ平易な文言が用いられることを求める。
一般データ保護規則(GDPR)の前文39項 (個人情報保護委員会の仮日本語訳)
ここでの「透明性」の考え方は、「データ主体にとって、どの範囲の自分のデータが、誰にどのように利用され、取扱われているのかが、そのデータ主体が容易に知り、理解できること」といった感じではないでしょうか。
(b) 特定され、明確であり、かつ、正当な目的のために収集されるものとし、かつ、その目的に適合しない態様で追加的取扱いをしてはならない。公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために行われる追加的取扱いは、第89条第1項に従い、当初の目的と適合しないものとはみなされない。(「目的の限定」)
個人データを扱うときは、まずその利用目的を明確にする必要があります。
その利用目的が正当化される法的根拠があれば、その利用目的の中で個人データの利用が認められます。
よって、その利用目的の「範囲を超えた利用」については、その「範囲を超えた利用目的」に対しても法的根拠がない限り、データ利用は認められません。
第5条(b)の後半を見てみると、第89条第1項を引用していますので、とりあえず第89条第1項を先取りして見てみましょう。
公共の利益における保管の目的、科学調査若しくは歴史調査の目的又は統計の目的のための取扱いは、本規則に従い、データ主体の権利及び自由のための適切な保護措置に服する。それらの保護措置は、とりわけ、データの最小化の原則に対する尊重を確保するため、技術的及び組織的な措置を設けることを確保する。それらの措置は、それらの目的がそのような態様で充足されうる限り、仮名化を含むことができる。データ主体の識別を許容しない又は許容することのない別の目的による取扱いによってそれらの目的が充足されうる場合、それらの目的は、その態様によって充足される。
一般データ保護規則(GDPR)の条文 第89条第1項 (個人情報保護委員会の仮日本語訳)
「公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために行われる追加的取扱い」の場合には、データ最小化や仮名化といった適切な技術的・組織的を施していれば、当初の利用目的と越えるものとはみなされない(利用目的が適合しないとは考えない)と書いてあります。
日本の個人情報保護法で考えると、目的外利用に関する「学術研究や公衆衛生向上に関する例外規定」に対応するものだと思います。
「とりあえず個人データを集めて、何に使うかはあとから考えよう」的な発想はいけません。
(c) その個人データが取扱われる目的との関係において、十分であり、関連性があり、かつ、必要のあるものに限定されなければならない。(「データの最小化」)
利用目的の達成に必要ないデータまでを取得してはなりません、という原則です。
また、「データ最小化」の考え方は、個人データの利用目的を達成し、または不要になった場合には、すみやかにそのデータを消去する、という考え方にも繋がります。
(d) 正確であり、かつ、それが必要な場合、最新の状態に維持されなければならない。その個人データが取扱われる目的を考慮した上で、遅滞なく、不正確な個人データが消去又は訂正されることを確保するための全ての手立てが講じられなければならない。(「正確性」)
個人データは正確で、必要に応じ最新のデータが維持できるよう管理されなければならず、また不正確な個人データは速やかに消去または訂正できる合理的な仕組みが求められています。
(e) その個人データが取扱われる目的のために必要な期間だけ、データ主体の識別を許容する方式が維持されるべきである。データ主体の権利及び自由の安全性を確保するために本規則によって求められる適切な技術上及び組織上の措置の実装の下で、第89条第1項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のみのために取扱われる個人データである限り、その個人データをより長い期間記録保存できる。(「記録保存の制限」)
前半は、個人データは利用目的の達成に必要な期間だけ、データ主体の識別が可能な形を許容できるけども、利用目的を達成したら、その形式で保存してはならないということです。
後半は、前述の第89条第1項が再登場していますが、「公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のみのために取扱われる個人データである限り」、データ最小化や仮名化などを含む適切な技術的・科学的措置を実施すれば、利用目的を達成したあとも長期間保存できることになっています。
(f) 無権限による取扱い若しくは違法な取扱いに対して、並びに、偶発的な喪失、破壊又は損壊に対して、適切な技術上又は組織上の措置を用いて行われる保護を含め、個人データの適切な安全性を確保する態様により、取扱われる。(「完全性及び機密性」)
情報セキュリティの世界では「機密性」「完全性」「可用性」を、「3K」または「CIA(Confidentiality、Integrity、Availability)」と表現することがありますが、このうちの「完全性」と「機密性」に担保できるようにセキュリティ対策をしなさい、と理解すればよいと思います。
個人データ保護の観点から見ると、データの機密性、完全性は問題だけど、可用性に関する部分はフォーカスの対象外ということなんですね。
2. 管理者は、第1項について責任を負い、かつ、同項遵守を証明できるようにしなければならないものとする。(「アカウンタビリティ」)
第1項の原則が守られているかどうかは、管理者が証明できないといけません。
そのためには、データ処理の記録を残しおき、必要に応じてそれらの記録を用いて説明・証明できないといけないことを意味しています。
以上、第5条を見てきました。
一般的原則のととともに、以下の利用目的であれば、原則から外れて利用できる余地を残し、柔軟性を持たせていることも分かりましたね。
- 公共の利益における保管の目的
- 科学的研究若しくは歴史的研究の目的
- 統計の目的
