ここから第5節の「行動規範及び認証」に入ります。
行動規範や認証は、日本で考えてみると、プライバシーマーク(JIS Q 15001)やISMS(情報セキュリティマネジメントシステム:ISO 27001)のような、「第三者認証機関による『適切に運用していることの認証』をする制度」のような感じですが、大きく異なるのは、GDPRでの行動規範や認証は、加盟国の監督機関やEDPB(European Data Protection Board:欧州データ保護会議)が関与しており、かつ、その位置付けが法律で明文化されている点にあります。
最近日本では、民間主導のソフトローを推進する動きがありますが、雨後の筍のようにできた団体が作る認証は信用がなく役に立たないことが多いので、大事なところではハードローに基づき、しっかりした機関が認証する仕組みがほしいな、と思っていたりします(個人的意見です)。
それでは、第40条の「行動規範」を見ていきます。
第40条:行動規範
1. 加盟国、監督機関、欧州データ保護会議及び欧州委員会は、様々な取扱部門の特性及び中小零細企業の特殊事情を考慮に入れた上で、本規則の適正な適用に貢献することを意図した行動規範の作成を奨励するものとする。
加盟国、監督機関、欧州データ保護会議及び欧州委員会といった行政は、個人データの取扱部門の特性や組織の大きさ、特殊事情を考慮した上で、GDPRの適正な適用に貢献するような行動規範の作成を奨励することとなっています。
2. 様々な類型の管理者又は処理者を代表する団体及びその他の組織は、以下のような事項に関し、本規則の適用を具体化する目的で、行動規範を用意、又はその規範を改正若しくは追補できる:
(a) 公正及び透明性のある取扱い;
(b) 具体的な場面において管理者が求める正当な利益;
(c) 個人データの収集;
(d) 個人データの仮名化;
(e) 公衆及びデータ主体に対して提供される情報;
(f) データ主体の権利の行使;
(g) 子どもに対して提供される情報及び子どもの保護、並びに、子どもに対して親権者としての責任を負う者から同意を得るための方法;
(h) 第24条及び第25条で定める措置及び手続、並びに、第32条に規定する取扱いの安全性を確保するための措置;
(i) 監督機関に対する個人データ侵害の通知及びデータ主体に対するその個人データ侵害の通知;
(j) 第三国又は国際機関に対する個人データの移転;又は、
(k) 第77条及び第79条によるデータ主体の権利を妨げることなく、管理者とデータ主体との間の取扱いに関する紛争を解決するための裁判外の手続及びそれ以外の紛争解決手続。
様々な類型の管理者または処理者を代表する団体は、(a)から(k)に挙げるような事項について、GDPRの適用を具体化する目的で行動規範を作成、改正、追補することができるとされています。
確かに(a)から(k)は全て議論になりそうな点を含んでいますね…。
医療分野もそうですが、事業者やデータの取扱いの特性を踏まえ、医療分野独特の考え方をする場面もありますので、それらを明記した具体的な取扱い方法や考え方を示した文書があると有難いと思うのは、非常に理解できます。
(a) 公正及び透明性のある取扱い;
(b) 具体的な場面において管理者が求める正当な利益;
(c) 個人データの収集;
(d) 個人データの仮名化;
(e) 公衆及びデータ主体に対して提供される情報;
(f) データ主体の権利の行使;
(g) 子どもに対して提供される情報及び子どもの保護、並びに、子どもに対して親権者としての責任を負う者から同意を得るための方法;
(h) 第24条及び第25条で定める措置及び手続、並びに、第32条に規定する取扱いの安全性を確保するための措置;
(i) 監督機関に対する個人データ侵害の通知及びデータ主体に対するその個人データ侵害の通知;
(j) 第三国又は国際機関に対する個人データの移転;又は、
(k) 第77条及び第79条によるデータ主体の権利を妨げることなく、管理者とデータ主体との間の取扱いに関する紛争を解決するための裁判外の手続及びそれ以外の紛争解決手続。
行動規範の位置付け自体は、日本の個人情報保護法第54条にある「認定個人情報保護団体による個人情報保護指針」に近い感じがしますね。
「認定個人情報保護団体による個人情報保護指針」は監督機関である個人情報保護委員会の目が通る形になっているので、その点でも似ていると思います(第5項)。
行動規範の作成にあたっては、前文にも関係する解説がありますので、参考までに以下に引用します。
一定の部門において行われる取扱いの特殊性並びに中小零細企業の特殊事情を考慮に入れた上で、本規則の効果的な適用を促進するために、様々な種類の管理者又は処理者を代表する団体その他の組織は、本規則の制限内で、行動準則を作成することが奨励されなければならない。特に、そのような行動準則は、取扱いの結果として発生するおそれのある自然人の権利及び自由に対するリスクを考慮に入れた上で、管理者及び処理者の義務を調整しうる。
一般データ保護規則(GDPR)の前文第98項 個人情報保護委員会にる仮日本語訳
行動準則を作成する際、又は、その準則を改正又は追補する際、様々な種類の管理者又は処理者を代表する団体その他の組織は、それが有用であるときはデータ主体を含め、関係する利害関係者と協議し、そして、そのような協議に応じて申し出や表明された意見を考慮しなければならない。
一般データ保護規則(GDPR)の前文第99項 個人情報保護委員会にる仮日本語訳
3. 本規則に服する管理者又は処理者による遵守に加え、本条の第5項により承認され、かつ、本条の第9項によって一般的な有効性をもつ行動規範は、第46条第2項(e)で定める条件に基づいて第三国又は国際機関への個人データを移転する枠組みの中における適切な保護措置を提供するために、第3条によって本規則の適用対象となっていない管理者又は処理者によっても遵守されうる。そのような管理者又は処理者は、契約上又はそれ以外の法的拘束力のある法律文書を介して、データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な約束を形成しなければならない。
行動規範の仕組みを使えば、管理者または処理者がGDPRに準拠しなければならない立場かどうかにかかわらず、第46条第2項(e)で定める条件に基づいて、EU域外または国際機関へ個人データを移転するための保護措置を提供することができる、とされています。
4. 本条第2項で定める行動規範は、第41条第1項で定める組織が、第55条又は第56条によって所轄監督機関の職務及び権限を妨げることなく、その行動規範を適用している管理者又は処理者によるその行動規範の条項遵守を強制的に監視できるようにする仕組みを含めなければならない。
行動規範は、監督機関により認定された監督団体により、行動規範が管理者または処理者によって守られているかどうかを監視する仕組みを作らなければならないこととされています。
5. 行動規範の準備又は既存の行動規範の改正若しくは追補を予定する本条第2項で定める団体及びその他の組織は、第55条により所轄監督機関に対し、行動規範案、改正又は追補を送付しなければならない。その監督機関は、その行動規範案、改正又は追補が本規則を遵守するものであるか否に関する意見を述べるものとし、かつ、それが十分に適切な保護措置を提供するものであると判断するときは、当該行動規範案、改正又は追補を承認するものとする。
行動規範を作成・改正・追補しようとする団体は、その内容を監督機関に送付し、監督機関はその行動規範案がGDPRを遵守するものかどうかについての意見を述べることとなっています。
そして、その内容が十分に適切な保護措置を提供するものであると判断された場合には、その行動規範は承認され、effectiveとなります。
6. 行動規範案、改正又は追補が第5項に従って承認される場合、及び、関係する行動規範が複数の加盟国内の取扱活動と関連するものではない場合、その監督機関は、その行動規範を登録し、それを公表するものとする。
行動規範案、その改正または追補が第5条に従って承認される場合、および、関係する行動規範が複数の加盟国内の取扱活動と関係するものではない場合(単一の加盟国の国内だけの取扱いに限定されるものの場合)、その監督機関がその行動規範を登録し、公表するものとされています。
スペインの製薬業界団体が作成した行動規範:Código de Conducta regulador del tratamiento de datos personales: en el ámbito de los ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia(臨床試験、臨床研究、ファーマコヴィジランスにおける個人データの取扱いに関する行動規範)は、スペイン国内だけで有効なものであり、スペインの個人データの監督機関であるAEPD(Agencia Española de Protección de Datos)によって登録・公表されています。
ちなみに、上で「行動規範は日本の認定個人情報保護団体による指針に近い」と書きましたが、日本の製薬業界団体であり認定個人情報保護団体でもある「日本製薬団体連合会(日薬連)」も、「製薬企業における個人情報のと適正な取扱いのためのガイドライン」を公表しています。
7. 行動規範案が複数の加盟国内の取扱活動と関連する場合、第55条により所轄監督機関は、その行動規範案、改正又は追補を承認する前に、第63条で定める手続の中で、それを欧州データ保護会議に送付し、欧州データ保護会議は、その行動規範案、改正又は追補が本規則を遵守するものであるか否か、又は、本条の第3項で定める状況において適切な保護措置を提供するものか否かに関し、意見を述べるものとする。
行動規範案が、複数の加盟国内での個人データの取扱いに関係する内容の場合は、所轄の監督機関が行動規範案を承認する前に、欧州データ保護会議(EDPB)に送付することとなっており、EDPBはその行動規範案の内容がGDPRに準じるものかどうか、または第46条第2項(e)で定める条件に基づいてEU域外または国際機関へ個人データを移転するための保護措置を提供するための行動規範案の場合には適切な保護措置を提供しているかどうか、について意見を述べることとなっています。
8. 第7項で定める意見書が、その行動規範案、改正又は追補が本規則を遵守するものであることを確認するものである場合、又は、第3項で定める状況の下における適切な保護措置を提供することを確認するものである場合、欧州データ保護会議は、欧州委員会に対し、その意見を送付するものとする。
第7項に基づき、送付された行動規範案の内容をEDPBが確認し、その行動規範案がGDPRに準じるもの、または第46条第2項(e)で定める条件に基づいてEU域外または国際機関へ個人データを移転するための保護措置を提供しているものであると確認された場合には、EDPBは欧州委員会にその意見を提出することになっています。
9. 欧州委員会は、実装法令によって、本条第8項により欧州委員会に対して送付された承認された行動規範、その改正及び追補がEU域内において一般的な有効性をもつと決定することができる。その実装法令は、第93条第2項で規定される審議手続に従って採択されなければならない。
欧州委員会は提出された行動規範案(改正や追補を含む)に対するEDPBによるポジティブな意見をもって、その行動規範がEU域内のどこでも有効であると決定することができます。
10. 欧州委員会は、第9項に従って一般的な有効性をもつと決定された承認された規範に関し、適切な周知を確保するものとする。
第9項に従って、EU全域で有効となった行動規範について、欧州委員会は適切な周知を行わなければなりません。
11. 欧州データ保護会議は、全ての承認された行動規範、その改正及び追補を登録簿に整理列挙し、かつ、適切な手段によって、公衆がそれを利用できるようにするものとする。
EDPBは、全ての承認された行動規範(その改定や追補等含む)を登録し、適切な手段により一般の人たちがその情報にアクセスできるようにしなければなりません。
実際にEDPBのサイトでは、承認された行動規範を閲覧したり検索することが可能となっています。
以上、第40条の「行動規範」でした。
