GDPRのお勉強(第32条:取扱いの安全性)

GDPR
2022.10.06
この記事は約4分で読めます。

 ここから、第4章の「管理者及び処理者」の第2節「個人データの安全性」に入ります。

 まず、第32条は「取扱いの安全性」となります。
 技術的および組織的な安全管理措置に関する内容です。

第32条:取扱いの安全性

1. 最新技術、実装費用、取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者及び処理者は、リスクに適切に対応する一定のレベルの安全性を確保するために、特に、以下のものを含め、適切な技術上及び組織上の措置をしかるべく実装する。

(a) 個人データの仮名化又は暗号化;
(b) 取扱システム及び取扱サービスの現在の機密性、完全性、可用性及び回復性を確保する能力;
(c) 物的又は技術的なインシデントが発生した際、適時な態様で、個人データの可用性及びそれに対するアクセスを復旧する能力;
(d) 取扱いの安全性を確保するための技術上及び組織上の措置の有効性の定期的なテスト、評価及び評定のための手順。

 最新技術、コスト、取扱いの性質、範囲、過程および目的とデータ主体の権利および自由に対する様々なリスクを考慮し、管理者および処理者は、そのリスクに適切に対応するために求められる一定のレベルの安全確保の措置を取らなければなりません。

 その措置の例として、(a)から(d)の技術的・組織的安全管理措置について触れられています。

  • (a)個人データの仮名化または暗号化
  • (b) 個人データを取扱うシステムおよびサービスの機密性、完全性、可用性および回復性についての能力
  • (c) 物理的または技術的なインシデントが発生した場合、適切な形で、個人データの可用性と復旧する能力
  • (d) 取扱いの安全性を確保するための技術的および組織的な安全管理措置の有効性に関する定期的なテスト、評価および評価のための手順の策定

個人データの仮名化や暗号化はあくまで安全管理措置の一つの手段であり、仮名化や暗号化した個人データもGDPRの保護対象であることには変わりはありません。

日本の個人情報保護法でも、個人データを仮名加工情報に加工または暗号化しても、個人データのままであることには変わりません。

ただ、一部の制約が緩和される場合があります(仮名加工情報の「利用目的の変更」、高度な暗号化がさえている場合の「漏えい時の個人情報保護委員会への報告」など)。

2. 安全性の適切なレベルを評価する際、取扱いによって示されるリスク、特に、送信され、記録保存され、又は、それ以外の取扱いがなされる個人データの、偶発的又は違法な、破壊、喪失、改変、無権限の開示、又は、アクセスから生ずるリスクを特に考慮に入れる。

 求められる安全管理措置のレベルは、個人データが取扱われることで生まれうるリスクに応じて評価することとされています。
 その取扱いには、送信や記録の保存などだけではなく、偶発的に起こる、または違法な(恣意的な)破壊、喪失、改変、無権限の開示、またはアクセスから生じるリスクについても考慮しなければなりません。

 前文第83項に参考になる記述がありますので、以下に引用します。

安全性を維持管理するため、そして、本規則の違反となる取扱いを防止するため、管理者又は処理者は、その取扱いに内在するリスクを評定しなければならず、また、暗号化のような、それらのリスクを削減するための手段を実装しなければならない。その手段は、最新技術及びそのリスクと保護されるべき個人データの性質との関連における実装費用を考慮に入れた上で、機密性を含め、適切なレベルの安全性を確保するものでなければならない。データのセキュリティ上のリスクの評価に際しては、送信され、記録保存され、又は、それ以外の取扱いをされる個人データの偶発的又は違法な破壊、喪失、改変、無権限の開示又は無権限のアクセスのような、個人データの取扱いによってもたらされ、特に物的な損失、財産的若しくは非財産的な損失を発生させるかもしれないリスクについて、検討が加えられなければならない。

一般データ保護規則(GDPR)の前文第83項 個人情報保護委員会にる仮日本語訳

3. 第40条で定める行動規範又は第42条で定める承認された認証メカニズムに忠実であることは、本条第1項に定める要件の遵守を説明するための要素として用いることができる。

 第40条で定められた行動規範や第42条に基づき承認された認証メカニズムに準拠することは、第1項の要件の遵守を証明するための要素として用いることができるとされています。

4. 管理者及び処理者は、管理者又は処理者の権限の下で行動し、個人データにアクセスする自然人が、管理者の指示に基づく場合を除き、EU法又は加盟国の国内法によってそのようにすることを求められない限り、その個人データを取扱わないことを確保するための手立てを講ずる。

 管理者および処理者の権限の下で個人データにアクセスできる自然人が、管理者の指示に基づかず個人データの取扱いをすることがないよう、管理者および処理者は手立てを講じる必要があります(EU法または加盟国法で求められている場合を除く)。

 以上、第32条の「取扱いの安全性」でした。

GDPRのお勉強:一覧
医療データや治験データなどの健康医療関連データの取り扱いに特に注意を払いながらGDPRを勉強していきます。
jibun-no.work
タイトルとURLをコピーしました