GDPRのお勉強（第25条：データ保護バイデザイン及びデータ保護バイデフォルト）

　第25条は「データ保護バイデザイン及びデータ保護バイデフォルト」です。

　プライバシー・バイ・デザイン（Privacy by Design：PbD）という概念が、1990年代にカナダで提唱されました。

　その考え方は、“「技術」、「ビジネス・プラクティス」、「物理設計」のデザイン（設計）仕様段階からあらかじめプライバシー保護の取り組みを検討し、実践すること。”といったものですが、この考え方をEUとして昇華したものが、第25条の「データ保護バイデザイン及びデータ保護バイデフォルト」になっています。

　すなわち、プライバシー・バイ・デザインの基本の7原則のうち、設計時というタイミングの視点と、初期設定時というUX/UIの視点に分けて、それらの必要性を整理していると考えられます。

1.事後的ではなく、事前的；救済的でなく予防的
2.初期設定としてのプライバシー
3.デザインに組み込まれるプライバシー
4.全機能的—ゼロサムではなく、ポジティブサム
5.最初から最後までのセキュリティ—すべてのライフサイクルを保護
6.可視性と透明性—公開の維持
7.利用者のプライバシーの尊重—利用者中心主義を維持する

JIPDEC：「プライバシー・バイ・デザイン」から引用 ( https://www.jipdec.or.jp/library/word/csm0kn0000000czi.html )

プライバシー・バイ・デザイン

www.jipdec.or.jp

　それでは条文を見てみましょう。

第25条：データ保護バイデザイン及びデータ保護バイデフォルト

　個人データの処理に関するシステムや運用を考える際には、技術水準、コスト、個人データの取扱いの性質、範囲、過程、目的、処理の内容によって引き起こされうるリスクを考慮し、データ主体の権利を保護するために、データ最小化や仮名化などの技術的・組織的な保護措置を設計段階から組み込み、実装することが求められています。

　前文第78条が参考になると思いますので、以下に引用します。

個人データの取扱いと関連する自然人の権利及び自由の保護は、本規則の義務に適合することを確保するための適切な技術上及び組織上の措置が講じられることを要求する。本規則の遵守を証明できるようにするため、管理者は、内部的な基本原則を採択しなければならず、かつ、特に、データ保護バイデザインの原則及びデータ保護バイデフォルトの原則に適合する措置を実装しなければならない。そのような措置は、特に、個人データの取扱いの最小化、可能な限り速やかな個人データの仮名化、個人データの機能及び取扱いに関する透明性、データ主体がデータ取扱いを監視可能とすること、管理者が安全機能を開発し、向上させることを可能とすること、によって構成されうる。個人データの取扱いを基盤とし、又は、その職務を遂行するために個人データを取扱うアプリケーション、サービス及び製品を開発、設計、選択及び利用する場合、そのような製品、サービス及びアプリケーションの開発者は、そのような製品、サービス及びアプリケーションを開発及び設計する際、データ保護の権利を考慮に入れることが奨励され、また、最新技術を適正に考慮に入れた上で 、管理者及び処理者がそのデータ保護義務を履行できるようにすることが奨励されなければならない。データ保護バイデザイン及びデータ保護バイデフォルトの原則は、公共入札の際においても考慮に入れられなければならない。

一般データ保護規則（GDPR）の前文 第78項　個人情報保護委員会にる仮日本語訳

　データ保護バイデザイン、データ保護バイデフォルトの原則をしっかり取り入れていると、公共入札の際でも有利になる可能性があるようですね。

　個人データの処理に関しては、初期設定で適切な技術的・組織的な保護措置が取られているように設定しなければなりません。
　もちろん、本人による設定前の初期設定で、不特定の人からアクセスされるような状況になるような仕組みではいけません。

　第42条の承認された「認証制度」を遵守することは、第25条「データ保護バイデザイン及びデータ保護バイデフォルト」を遵守しているという証明の要素になりえます。

---

　以上、第25条の「データ保護バイデザイン及びデータ保護バイデフォルト」でした。

GDPRのお勉強：一覧

医療データや治験データなどの健康医療関連データの取り扱いに特に注意を払いながらGDPRを勉強していきます。

jibun-no.work