ここから、第4章の「管理者及び処理者」の第3節「データ保護影響評価及び事前協議」に入ります。
まず、第35条は「データ保護影響評価」となります。
プライバシー・インパクト・アセスメント(Privacy Impact Assessment, PIA)のGDPR版とも言えるData Protection Impact Assessment(DPIA) に関する内容です。
第35条:データ保護影響評価
1. 取扱いの性質、範囲、過程及び目的を考慮に入れた上で、特に新たな技術を用いるような種類の取扱いが、自然人の権利及び自由に対する高いリスクを発生させるおそれがある場合、管理者は、その取扱いの開始前に、予定している取扱業務の個人データの保護に対する影響についての評価を行わなければならない。類似の高度のリスクを示す一連の類似する取扱業務は、単一の評価の対象とすることができる。
特に当たらな技術を用いた個人データの取扱いについて、その取扱いの性質、範囲、過程および目的を考慮したうえで、自然人の権利および自由に対して高いリスクを発生させるおそれがある場合は、管理者はその取扱いを開始する前に、予定している取扱業務における個人データの保護に対する影響について評価を行わないといけない、とされています。
同じような高リスクな取扱いで、その内容が類似している一連の取扱業務については、一回にまとめることができます。
一方で、前文第92項には以下のような記載がありますので、参考までに引用します。
データ保護影響評価の対象を単独の評価計画による場合よりも拡張したほうが合理的で経済的なものとなりうるような場合がある。例えば、公的機関又は団体が共通のアプリケーション又は取扱プラットフォームの構築を予定する場合、又は、複数の管理者が、産業部門若しくは業界を横断して、あるいは、広範に利用されている横断的な活動のために、共通のアプリケーション又は取扱環境の導入を計画する場合がそうである。
一般データ保護規則(GDPR)の前文第92項 個人情報保護委員会にる仮日本語訳
データ保護影響評価や「高いリスクを発生させるおそれ」があるかないかの判断に関しては、第29条作業部会がガイドラインを出しており、その仮訳を個人情報保護委員会が公表しておりますので、適宜、ご確認ください。
データ保護影響評価(DPIA)及び取扱いが2016/679規則の適用上、「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン
この中で、「臨床試験における地位の弱いデータ主体に関する仮名化された個人のセンシティブ・データの保管目的の保存」については、DPIAの必要性の高い取扱いであることが示されております。
2. 管理者は、データ保護影響評価を行う場合、その指定をしているときは、データ保護オフィサーに対して助言を求めなければならない。
管理者がDPIAを実施する際には、(指名している場合には)データ保護オフィサー(DPO)に助言を求めなければなりません。
3.第1項に規定するデータ保護影響評価は、とりわけ、以下の場合に求められる:
(a) プロファイリングを含め、自動的な取扱いに基づくものであり、かつ、それに基づく判断が自然人に関して法的効果を発生させ、又は、自然人に対して同様の重大な影響を及ぼす、自然人に関する人格的側面の体系的かつ広範囲な評価の場合;
(b) 第9条第1項に規定する特別な種類のデータ又は第10条に規定する有罪判決及び犯罪行為と関連する個人データの大規模な取扱いの場合;又は、
(c) 公衆がアクセス可能な場所の、システムによる監視が大規模に行われる場合。
以下の(a)から(c)に該当するもの場合はDPIAの実施が求められています(「自然人の権利及び自由に対する高いリスクを発生させるおそれがある場合」に該当するものと考えられているんでしょうね)。
(a) プロファイリングを含む自動処理に基づき、自然人に対して法的効果を発生、または、同様の重大な影響を及ぼす、人格的側面の体系的かつ広範囲な評価を行う場合
(b) 第9条第1項に規定する特別な種類の個人データ又は第10条に規定する有罪判決及び犯罪行為と関連する個人データの大規模な取扱いの場合
(c) 公衆がアクセス可能な場所の、システムによる監視が大規模に行われる場合
関連する説明が前文第91項に記載されていますので、以下に引用します。
このことは、特に、地域レベル、国家レベル及び多国間レベルの非常に大きな分量の個人データの取扱いを対象とし、大勢のデータ主体に対して悪影響を及ぼすおそれがあり、かつ、例えば、その機微性ゆえに高いリスクをもたらすことが予想され、かつ、達成された技術知識に従って新技術が大規模に利用される大規模な取扱業務に対して、並びに、それ以外の、データ主体の権利及び自由に対して高いリスクをもたらすことが予想される取扱業務、特に、それらの取扱業務がデータ主体による自らの権利の行使をより困難にしている取扱業務に対して適用されなければならない。それらのデータのプロファイリングに基づく自然人に関する個人的な側面が体系的に、広範囲に及ぶ評価を伴う、あるいは、特別な種類特別な種類の個人データ、生体データ、又は、有罪判決及び犯罪若しくは関連する安全管理措置に関するデータの取扱いを伴う特定の自然人に関する評価を行うために個人データが取扱われる場合においても、データ保護影響評価が実施されなければならない。公衆がアクセス可能な場所の大規模な監視、特に光学・電子機器を用いて行われる場合に関しても、又は、特に、データ主体が権利の行使やサービス若しくは契約の利用を妨げられているという理由により、あるいは、その取扱いが大規模に体系的に行われているという理由により、データ主体の権利及び自由に高いリスクをもたらす可能性があると所管監督機関が判断する場合、上記以外の全ての業務についても、同等に、データ保護影響評価が要求される。その取扱いが患者又は顧客からの個人データに関するものであり、個々の医師、その他の医療専門職又は法律家による場合、その個人データの取扱いは、大規模なものと判断されてはならない。そのような場合、データ保護影響評価は、義務ではない。
一般データ保護規則(GDPR)の前文第91項 個人情報保護委員会にる仮日本語訳
医師やその他の医療専門職が患者の個人データを取り扱う場合は、大規模なものであると考えるべきではなく、それゆえにDPIAは義務付けられないようです。
4. 監督機関は、第1項によるデータ保護影響評価の義務に服する取扱業務の種類のリストを作成し、これを公表しなければならない。監督機関は、第68条に規定する欧州データ保護会議に対し、そのリストを送付するものとする。
監督機関は第1項によるDPIAの義務に服する取扱業務についてリスト化し、公表しなければならないとされています。
また、監督機関は第68条に規定する欧州データ保護会議(European Data Protection Board:EDPB)に対し、そのリストを送付するよう規定されています。
5. 監督機関は、データ保護影響評価を要しない取扱業務の種類のリストを作成し、これを公表することもできる。監督機関は、欧州データ保護会議に対し、そのリストを送付するものとする。
第4項とは逆で、DPIAを要しない取扱い業務の種類をリスト化し、公表することもできるとされています。
その場合も、そのリストはEDPBに送付することが規定されています。
第4項と第5項は、DPIAが必要になる取扱い業務のリスト(ポジティブリスト)、もしくはDPIAが不要な取扱い業務のリスト(ネガティブリスト)を監督機関が作成した場合は、いずれもEDPBに通知しなさい、ということですね。
6. 第4項又は第5項リストが複数の加盟国におけるデータ主体に対する物品若しくは役務の提供と関連する取扱活動又は複数の加盟国におけるデータ主体の行動の監視と関連する取扱活動を含むものである場合、又は、EU域内における個人データの自由な移動に大きな影響を与えうるものである場合、所轄監督機関は、当該リストの採択に先立って、第63条に規定する一貫性メカニズムを適用しなければならない。
第4項と第5項のリストに含まれる個人データの取扱い業務に、複数の加盟国のデータ主体に対する物品や役務の提供と関連するものや、データ主体の行動の監視を含むもの、またはEU域内における個人データの自由な移動に大きな影響を与える恐れがある場合には、所轄の監督機関はそれらのリストの採択に先立ち、第63条に規定している一貫性メカニズムを適用しなければなりません。
7. 評価は、少なくとも以下の事項を含めるものとする:
(a) 予定されている取扱業務及び取扱いの目的の体系的な記述。該当する場合、管理者の求める正当な利益を含む;
(b) その目的に関する取扱業務の必要性及び比例性の評価;
(c) 第1項で定めるデータ主体の権利及び自由に対するリスクの評価;並びに、
(d) データ主体及び他の関係者の権利及び正当な利益を考慮に入れた上で、個人データの保護を確保するための、及び、本規則の遵守を立証するための、保護措置、安全管理措置及び仕組みを含め、リスクに対処するために予定されている手段。
DPIAの評価には、少なくとも以下の(a)から(d)の事項を含めなければなりません。
(a) 予定されている取扱業務及び取扱いの目的の体系的な記述(該当する場合、管理者の求める正当な利益を含む)
(b) その目的に関する取扱業務の必要性および比例性の評価
(c) 第1項で定めるデータ主体の権利および自由に対するリスクの評価
(d) データ主体及び他の関係者の権利および正当な利益を考慮に入れた上で、個人データの保護を確保し本規則遵守の立証をするための、保護措置、安全管理措置および仕組みを含め、リスクに対処するために予定されている手段
比例性の評価を第三者を入れず、管理者だけで実施するのは難しそうに感じます。
8. 関係する管理者又は処理者によって第40条で定める承認された行動規範が遵守されていることは、そのような管理者又は処理者によって遂行される取扱業務の影響を評価するに際し、特に、データ保護影響評価の目的のために、適正に考慮に入れるものとする。
管理者または処理者による第40条で定める承認された行動規範を遵守は、DPIAにおいて考慮されるべきとされています。
9. 適切な場合、商業上の利益、公共の利益又は取扱業務の安全性を妨げることなく、管理者は、予定されている取扱いに関し、データ主体又はその代理人から意見を求めるものとする。
管理者は適切な場合には、商業上の利益、公共の利益または取扱いの安全性を妨げることなく、予定している個人データの取扱いに関し、データ主体またはその代理人から意見を求めなければなりません。
10. 第6条第1項(c)又は(e)による取扱いが、管理者が服するEU法又は加盟国の国内法の中に法律上の根拠をもつ場合であって、当該法律が、当の特定の取扱業務又は一群の取扱業務を規律しており、かつ、当該法律上の根拠の採択の過程において一般的な影響評価の一部として個人データ保護影響評価が既に行われているときは、取扱活動を開始する前にそのような評価が行われるべきものであると加盟国が判断する場合を除き、第1項から第7項までは、適用されない。
第6条第1項の(c)(法的義務の順守)又は(e)(公的な権限の行使において行われる職務の遂行)に基づく取扱いが、EU法又は管理者が属する加盟法に法的根拠を有し、当該法律が関わる特定の取扱い業務を規制し、かつ、一般的な影響評価の一部としてDPIAが既に実施されていた場合には、加盟国が取扱業務前に当該評価を実施する必要があると判断した場合を除き、第1項から第7項は適用されません(例外規定の位置付けです)。
11. 必要があるときは、管理者は、少なくとも、取扱業務によって示されるリスクの変化が存在する時点において、データ保護影響評価に従って取扱いが遂行されているか否かの評価を見直しを実行しなければならない。
必要に応じて、管理者は、少なくとも、取扱業務によって示されるリスクに変化があった場合、DPIAに従って取扱いが遂行されているか否かの評価について見直さなければなりません。
以上、第35条の「データ保護影響評価」でした。
