GDPRのお勉強(第42条:認証)

GDPR
この記事は約6分で読めます。

 第42条は「認証」です。

 GDPRを遵守していることを証明する第三者認証制度と考えれば、理解しやすいのではないかと思います。

第42条:認証

1. 加盟国、監督機関、欧州データ保護会議及び欧州委員会は、とりわけ、EUレベルにおいて、管理者及び処理者による取扱業務が本規則を遵守することを証明する目的のために、データ保護認証方法、データ保護シール及びデータ保護マークを設けることを奨励しなければならない。中小零細企業の特殊事情を考慮に入れるものとする。

 加盟国、監督機関、欧州データ保護会議(EDPB)および欧州委員会は、特にEUのレベルにおいて、管理者や処理者によるデータの取扱い業務がGDPRを遵守していることを証明するための「データ保護認証方法」、「データ保護シール」、「データ保護マーク」といった制度を設けるよう奨励することが求められています。

 その際、中小零細企業の特殊事情も考慮して制度設計することも求められています。

 前文第100項も下に引用します。

透明性及び本規則の遵守を拡大するために、関連する製品及びサービスのデータ保護水準をデータ主体が即座に評価できるようにする認証方法、データ保護シール及びデータ保護マークを設けることが促進されなければならない

一般データ保護規則(GDPR)の前文第100項 個人情報保護委員会にる仮日本語訳

2. 本規則に服する管理者又は処理者の遵守に加え、第46条第2項(f)に規定する条件に基づく第三国又は国際機関に対する個人データの移転の枠組みにおける、第3条により本規則の適用対象となっていない管理者又は処理者によって提供される適切な保護措置の存在を示す目的のために、本条第5項によって認められるデータ保護認証方法、データ保護シール又はデータ保護マークを設けることができる。当該管理者又は処理者は、契約文書又はその他の法的拘束力ある法律文書を介して、データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な約束を形成しなければならない。

 認証の仕組みを使って、第5項で認められたデータ認証方法、データ保護シールまたはデータ保護マークを用いることにより、管理者または処理者がGDPRに準拠しなければならない立場かどうかにかかわらず、第46条第2項(f)で定める条件に基づいて、EU域外または国際機関へ個人データを移転するための保護措置を実施していることを証明できる、とされています。

 またその際、管理者または処理者は、契約文書またはその他の法的拘束力のある法律文書を介して、データ主体の権利に関する内容を含めて適切な保護措置を適用するための拘束力があり、かつ執行可能な約束をしなければならない、とされています。

3. 認証は、自由であり、かつ、透明性のある手続を介して利用されるものとする。

 認証の制度の利用は自由であり、かつ、利用する場合は透明性のある手続きが求められます。

4. 本条による認証は、管理者又は処理者の本規則の遵守に係る責務を軽減することはなく、また、第55条又は第56条による所轄監督機関の職務及び権限を妨げない。

 管理者または処理者は、認証を受けたとしても、GDPRが求めている責務が軽減する訳ではなく、また、所轄監督機関の職務・権限が変わることもありません。

5. 本条による認証は、第58条第3項により所轄監督機関によって承認された基準、又は、第63条により欧州データ保護会議によって承認された基準に基づき、第43条に規定する認証機関又は所轄監督機関から発行されるものとする。当該基準が欧州データ保護会議によって承認されたものである場合、それは、共通の認証、すなわち、欧州データ保護シールとなりうる。

 認証は、所轄監督機関によって承認された基準、または欧州データ保護会議(EDPB)によって承認された基準に基づき、第43条に規定する認証機関または所轄監督機関から発行されます

 その認証基準がEDPBによって承認されたものである場合は、共通認証としての「欧州データ保護シール」となりうる、とされています。

6. その取扱いを認証方法に服させる管理者又は処理者は、第43条に規定する認証機関に対し、又は、該当する場合には、所轄監督機関に対し、認証手続を実施するために必要となる全ての情報及びその取扱活動へのアクセスを提供しなければならない。

 認証制度を利用する管理者または処理者は、第43条で規定されている認証機関(または該当する場合には所轄監督機関)に対し、認証手続きを実施するために必要となった全ての情報および関連するデータの取扱活動に関するアクセスを提供しなければなりません。

7. 認証は、管理者又は処理者に対し、最長3年の期間で発行されるものとし、関連する要件に適合し続けていることを条件として、同じ条件で更新されうる。認証のための要件が満たされていない場合、又は、満たされなくなった場合、その認証は、第43条に規定する認証機関又は所轄監督機関によって、しかるべく取り消されるものとする。

 認証は、管理者または処理者に対して、最長3年の有効期間で発行され、要件に適合し続けていることを前提に、同じ条件で更新されます

 認証のための要件が満たされていない場合、または満たされなくなった場合には、第43条に規定する認証機関または所轄監督機関によって、その認証は取り消されます

8. 欧州データ保護会議は、全ての認証方法、データ保護シール及びデータ保護マークを登録簿に整理列挙し、かつ、適切な手段によって、公衆がそれを利用できるようにしなければならない。

 EDPBは、全ての認証方法、データ保護シール、およびデータ保護マークを登録・整理し、適切な手段により公衆がその情報を閲覧できるようにしなければなりません。

 実際にEDPBのサイトでは、承認された認証方法、データ保護シール、データ保護マークを閲覧したり、検索することができるように準備されているのですが、2023年2月現在、「No results matching your search」という文字列が表示され、認証方法などは一つも表示されません。

Register of certification mechanisms, seals and marks | European Data Protection Board
edpb.europa.eu

 Europrivacyという認証方法(欧州データ保護シール)ができたはずなんですが…

Europrivacy: the first certification mechanism to ensure compliance with GDPR
Europrivacy is the first certifcation mechanism that demonstrates compliance with the General Data Protection Regulation (GDPR). It marks a leap forwa...
digital-strategy.ec.europa.eu

 以上、第42条の「認証」でした。

GDPRのお勉強:一覧
医療データや治験データなどの健康医療関連データの取り扱いに特に注意を払いながらGDPRを勉強していきます。
jibun-no.work
タイトルとURLをコピーしました