bok

IDPro Body of Knowledgeの日本語訳を載せていきます

View on GitHub

GDPR入門

JISC チーフ・レギュラトリー・アドバイザー Andrew Cormack 著

序章

2018年5月25日にすべてのEU加盟国で施行された一般データ保護規則(GDPR)1は、「特定または識別可能な自然人に関するあらゆる情報」を処理する場合に適用されます。2 「特定可能」が含まれていることで、ほとんどのプライバシー法よりもはるかに広い範囲で適用されます。IPアドレス、個人デバイスのMACアドレス、アカウント番号、さらにはユニークなパターンや属性の組み合わせでさえ、活動をその範囲内に収めるのに十分な場合があります。処理」はデジタル形式に限定されません。デジタル処理のために作成された、あるいはデジタル処理から派生した個人情報は、構造化されたファイリングシステムの内容と同様に対象となります。対象となる活動の範囲も同様に広く、「収集、記録、組織化、構造化、保存、適応または変更、検索、相談、使用、送信による開示、普及、その他利用可能にすること、整列または組み合わせ、制限、消去、削除」などが含まれます。3 GDPR は、欧州にいる物理的にすべての個人を対象としているため、市民権などの要件はなく、欧州のすべての組織だけでなく、世界各地の組織の国際活動やオンライン活動にも適用される可能性が高いです。

IAM活動はGDPRによって規制される可能性が高いですが、効果的なIAMを導入することで、組織が法律の要件を遵守することが容易になる可能性があります。GDPRが規定する行動は、ヨーロッパだけでなく、欧州評議会の108号条約に加盟する国の数が増えてきており、ますます期待されています。4 欧州内ではGDPRに違反すると多額の罰金が科せられますが、GDPRの原則に従うことは、世界中の組織の評判や効率的な運営にメリットがあるはずです。

この記事は GDPR の完全なガイドではありませんが、IAM に最も関連する側面をカバーしています。まず、すべての個人データ処理に適用される一般的な原則と義務について説明し、次に、処理のために認められている法的根拠と、それに関連した具体的な義務と権利について検討します。最後に、IAMの活動がどのようにして組織がGDPRの要求事項に適合するのに役立つかを例示しています。

用語解説

一般データ保護法(GDPR)。正式には、欧州連合(EU)の規則2016/679、2018年5月25日発効。https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679 で入手可能。

個人データ 識別可能な自然人とは、特に名前、識別番号、位置情報、オンライン識別子、または自然人の身体的、生理学的、遺伝的、精神的、経済的、文化的、社会的なアイデンティティに特有の1つ以上の要素を参照することによって、直接的または間接的に識別可能な人のことを指します。注:「自然人」(人間)は、「法人」である企業やその他の法人と区別するために使用されています。

処理を行うこと。GDPR第4条(2)に定義されています:「『処理』とは、収集、記録、組織化、構造化、保存、適応または変更、検索、相談、使用、送信による開示、普及またはその他の方法で利用可能にする、整列または組み合わせ、制限、消去または破壊など、自動化された手段であるか否かにかかわらず、個人データまたは個人データの集合に対して実行される操作または操作のセットを意味します」。この長いリストでさえ、網羅的なものではないことに注意してください:他の活動も「処理」の定義に該当する可能性があります。第22条では、「プロファイリングを含む自動化された個人の意思決定」に追加の規則が適用されます。これらは一般的に、後述の情報および異議申し立ての権利を強化する効果があり、影響力の高い意思決定のための自動化の使用を制限する可能性があります。

特別カテゴリーデータ(SCD)。特に機密性が高いとみなされ、追加規制の対象となるデータのカテゴリー。GDPR 第 9 条(1)では、「人種または民族的出自、政治的意見、宗教的または哲学的信条、労働組合への加入を明らかにする個人データ、および遺伝データ、自然人を一意に識別する目的のためのバイオメトリクスデータ、健康に関するデータ、自然人の性生活または性的指向に関するデータの処理」と定義されていますが、第 10 条の「前科および犯罪に関連する個人データ」も同様の扱いを必要とするため、通常は SCD の別のカテゴリーとみなされます。

データ管理者。GDPR第4条(7)に定義されています:「『管理者』とは、個人データの処理の目的と手段を単独でまたは他の者と共同で決定する自然人または法人、 公的機関、機関、その他の機関を意味します。5 この記事では、「組織」という用語を「データ管理者」と同義語として使用しているが、これは、IAMに関与する組織が通常データ管理者であるためである。

データ処理者。GDPR 第 4 条(8)に定義されており、組織が他者の指示のみに基づいて個人データを処理する場合を指す。データ処理者は、処理の目的を決定してはならない。例えば、自己の利益のために処理したり、限られた技術的選択を超えて、処理の手段を決定したりしてはならない。データ処理者は、第 28 条によって規制されています。特に、データ処理者は、第 28 条(3)項に記載されているすべての対象者を対象とするデータ処理者との契約を結ばなければなりません。データ処理者は、データ管理者の責任と義務の一部(すべてではないが)から除外されている。

データ対象者。GDPR の第 4 条(1)項(上記の「個人データ」を参照)では、個人データが関係する人間の正式な用語として定義されている。この記事では、「個人」という用語を「データ対象者」と同義語として使用しています。

個人データに関する規則

GDPRは、その義務のほとんどを「個人データの処理の目的と手段を決定する」(第4条(7))組織に課しています。これらの組織はデータ処理者として知られており、義務は少ない。IAM システムはデータ管理者として行動する可能性が高いため、ここでは主な義務について説明する。すべてのデータ管理者の基本的な義務は、7つの原則に従って行動し、その情報を処理する個人(「データ対象者」)に対する義務と権利を満たすことである。

原則 (第5条)

GDPR第5条によると、以下の原則がすべての個人データの処理に適用されます。

適法性、公平性、透明性:すべての処理は、GDPRに定められた6つの法的根拠のいずれかに該当しなければならず(下記参照)、他の法律に違反してはならない。

既存の情報は、新しい目的が既存のものと互換性がある場合(大まかに要約すると「驚くほどの違いはない」)、または法律で要求されている場合、または各個人が新しい目的に同意した場合にのみ、新しい目的のために使用することができます。IAMシステムは単一の目的を果たすように設計されるべきであり、他の目的のためにデータを再利用する提案は、その目的との互換性や利用者に提供される情報との互換性のために見直されるべきである。

データの最小化:データと処理は目的に関連していなければならず、目的を達成するのに十分な(「適切な」)ものでなければならないが、過剰であってはならない。十分に定義されたIAMシステムは、データの最小化に貢献すべきである。例えば、フェデレーションされたシステムは、個人を識別せずにシステムに戻ってきたときに個人を識別できるようにする不透明な識別子(「仮名」)を使用することで、開示を減らすことができる。IAMシステムは、各機能に必要な最低限の個人データを収集、使用、開示するように設計されるべきである。匿名または仮名データで機能を提供できるのであれば、そうすべきである。これがGDPR第25条で議論されている「設計によるデータ保護」の基本です。

正確性 : 個人データは正確で最新のものでなければならない。個人にはデータの誤りを訂正する権利(下記の「訂正権」を参照)がありますが、組織は正確性を確保するための唯一の、あるいは主要な方法として、個人が訂正することに頼るべきではありません。組織のための単一の真実の情報源として機能するIAMシステムは、正確性の達成を著しく容易にすべきであり、そうでないものは、情報が正確であり、正確であり続けることを保証するために、適切なポリシー、プロセス、ワークフローを伴うべきである。

保存[時間]の制限:個人データは、明示された目的に必要な期間を超えて保存してはならない。組織は、個人データを収集する前に、一定の期間(例:「6ヶ月」)または既知の事象(例:「退職するまで」)に関連して、個人データをどのくらいの期間保存するかを知り、宣言しなければならない。組織は、定められた保存期間を確実に実施するためのプロセスを持つべきであり、その期間が終了した時点でデータを削除するか匿名化するべきである。保存、調査、統計の目的では、個人データの保存期間を延長することが認められている場合があるが、欧州法と国内法の両方で特定の条件が適用される。

完全性と機密性:組織は、個人データの安全性を保護するために、適切な技術的・組織的管理を行わなければならない。何が適切かは、データの機密性や目的によって異なりますが、新しい保護技術やアプローチが利用可能になったり、新たな脅威やリスクが顕在化したりすることで変化する可能性があります。GDPR は、セキュリティ違反があった場合に特定の義務を課しています。IAMシステムは、自らの個人データを安全に保持し、組織内の他の場所で個人データへの不正アクセスを防ぐために使用されるアクセス制御システムの構成要素として、その両方を支援しなければなりません。

説明責任:組織は、規則の原則やその他の要求事項を遵守していることを証明できなければならない。これには通常、これらの原則および要件がシステムの設計において考慮されたことを示す文書と、通常の運用および違反や個人の権利の行使などの事象への対応が、実際に原則および要件に沿って行われたことを確認する監査ログ(これ自体に個人情報が含まれている場合がある)の両方が必要となります。

義務と権利

3つの「権利」のグループが、特定の条文に定められた限定的な例外が適用される場合を除き、個人データのすべての処理に適用されます。第一のグループは、情報を処理するすべての人に対して組織に義務を課すものであり、第二および第三のグループは、組織が権利を行使する個人からの要求に対処するためのシステムを持つことを要求するものである。

情報に対する権利:上記の原則をサポートするために、組織は、個人情報を処理するすべての人に対して、組織が誰であるか、どのようなデータを処理するのか、なぜ、どのくらいの期間、自動化された意思決定が関与しているのか、他の組織やさらなる処理が関与しているのか、権利を行使する方法など、少なくとも一連の情報を提供することが求められています。第13条は、個人から直接データを収集する場合に適用され、第14条は、組織が他の情報源(公的情報源を含む)から個人データを取得する場合に適用されます。

対象者アクセス権:個人は、第15条に基づき、自分のデータが処理されているかどうか、どのようなデータなのか、なぜ処理されているのか、どのくらいの期間なのか、自動化された決定が関与しているのかどうか、データの出所と受信者、権利の行使方法を尋ねたり、教えてもらったりする一般的な権利を持っています。さらに、他の人の権利に影響を与えることなく行うことができる場合、個人は自分のデータのコピーを受け取る権利を持っています。何をいつ、どのように公開すべきかを決定することは、特に要求者の身元が不確かな場合には、複雑になる可能性がある。規制当局からのガイダンスに基づいて構築された IAM システムは、エラーや不正行為のリスクを低減することができる。

訂正・消去・制限の権利:第 16 条(「訂正」)は、個人に不正確な個人データを訂正する権利(追加情報の追加を含む)を与えている。第17条(「消去」)では、個人データを保存するための合法的な根拠がない場合には、個人データを削除する権利が与えられています。これは例えば、過剰な情報が保持されている場合、保持期間を超えて保持されている場合、または同意に基づいて処理されていた場合(下記参照)、同意が取り消された場合などに発生する可能性があります。第18条(「制限」)では、個人は、是正または異議申し立ての権利が処理されている間、または個人が法的請求のためにデータを必要とする場合には、消去の代替として、データのさらなる処理(削除を含む)を阻止する権利を与えられています。真実と管理の単一ポイントを提供するIAMシステムは、これらの権利の実施を容易にするはずである。

処理の法的根拠

合法的であるためには,個人データを処理する活動は,GDPR の第 6 条に定められた 6 つの法的根拠のうちの 1 つでカバーされていなければならない.この法的根拠は、データセットではなく、特定の処理活動に適用されることに注意してください。以下の例に示すように、IAMシステムにはいくつかの異なる法的根拠が含まれている場合があります。IAMの専門家は、組織のために法的根拠を決定するべきではありませんが、その選択の意味を理解しておく必要があります。

人種、民族、健康を含む様々なタイプの個人データはリスクが高いと考えられており、処理は第9条に定められた目的のいずれかのために行われなければならず、また第6条に基づくものでなければならない。これらのタイプのデータ(特別分類データとして知られている)の処理に関する要件は、多くの場合、欧州の法律ではなく、国内の法律で定められています。したがって、これらのデータを処理する IAM システムは、関連する各国の制度に精通した弁護士に相談する必要があります。同様に、GDPRは子供の個人データに関連するリスクを強調していますが、子供とみなされる年齢以下の年齢を含む特定の追加要件は、主に国レベルで設定されているため、ここでは取り上げません。

第6条の各ベースは、その定義によって、また場合によっては明示的な追加によって、処理に追加の条件を課している。また、いくつかの法的根拠の中には、個人データを処理する組織に対して追加的な義務を課したり、個人データが処理される個人に対して権利を与えたりしているものもある。以下のセクションでは、これらの法的根拠について説明します。ここでは、これらの法的根拠は、法律に記載されている順番ではなく、組織にとって望ましい順に記載されています。

契約の履行に必要なもの

法的根拠のうち5つは「…のために必要」から始まる。規制当局は、これは目的を達成するためには、押し付けがましくない方法がなければならないことを意味することを確認しています。

の履行」が含まれていることは、処理と契約の対象者との間に特に密接な関係がなければならないことを示しており、データが処理される個人も契約の当事者でなければなりません。しかし、「契約」という用語は広く解釈され、正式な契約文書がなくても、当事者が合意をした多くの状況をカバーしている可能性が高い。処理を停止することでその合意を履行することが不可能になる場合は、「契約のために必要」が適切な根拠となる可能性があります。これは、雇用者や教育者が内部使用のために提供するものなど、多くのIAMシステムに適用される可能性が高い。スタンドアロンの IAM システムであっても、個人と IAM プロバイダとの間に直接的な関係がある限り、「契約に必要な」を使用することは、サービスが機能しない最低限のデータと処理を、システムが使用できるが必要としないオプションのデータと区別するのに有用な方法かもしれない。後者は、以下に説明する「同意」に基づいて処理されるべきである。

個人データがこの基準で処理される場合、GDPR は「個人が提供した」データを対象としたポータビリティの権利(第 20 条)を導入しました。したがって、この権利は、一般的な対象者アクセス権の下で利用可能な情報の一部のみを対象とすることができますが、情報は「構造化され、一般的に使用され、機械で読み取り可能な形式」で提供されなければなりません。これまでのところ、規制当局は、CSV がフォーマット要件を満たす可能性があることを示唆するなど、この権利に関す る高レベルのガイダンスを提供しているにすぎない。

法的義務の遵守に必要なもの

欧州または加盟国の法律が組織に個人データの処理を要求している場合、これが適切な法的根拠となる可能性が高い。一部の国のIAMスキームや規制された産業分野には適用される可能性がありますが、そうでない場合は関連性は低いと思われます。

重要な利害を保護するために必要な場合

この法的根拠は、生命の危険や重大な傷害がある場合に適用されることがあります。私たちのIAMシステムには関係ないことを期待しましょう

公益のために行われる業務の遂行に必要な場合

この法的根拠は、一般的に、法律が公益的な業務のための処理を許可しているが、それを要求していない場合に使用される。国やその他の法定のIAMスキームは、通常、許可ではなく法的要件(上記の「法的義務」を参照)の対象となるので、IAMシステムに関連することはなさそうです。

この根拠は、以下の「正当な利益」で説明されているように、個人に処理に異議を唱える権利を与えます。

管理者又は第三者の正当な利益のために必要な場合

最初の 4 つのベースが法律で定義された特定の状況をカバーしているのに対し、最後の 2 つのベース(「正当な利益」と「同意」)は、より柔軟性があり、したがって、個人を保護するためのより厳しい要件の対象となっている。この「正当な利益」の根拠は、処理が特定の目的(「利益」)を達成するために必要であることだけでなく、その利益が「正当な」ものであること、そして独自に、処理の利益が個人に対するリスクによって上書きされないことを要求しています。処理活動は正当な利益のために必要であっても、このバランステストを満たすことができなければ違法となる場合があります。

しかし、正当な利益は、例えば ID アサーションが他の目的のための契約に付随して外部組織に提供される場 合など、多国間 IAM のための最も適切な法的根拠となることが多い。フェデレーションに参加している組織は、ID プロバイダ、サービス・プロバイダ、属性当局、またはその他 の組織としてであるかどうかにかかわらず、特定の要求を行う利用者の理由について、それが契約に必要なのか、 逆に個人が自由な同意を与えることができる状況なのかを知るのに十分な知識を持ち合わせているとは考えにくい。複数の当事者間でその情報を伝達しようとしたり、複数の当事者間で契約の網目を作ったりするよりも、個人が認証や認証プロセスを開始することで要求したサービスを提供することに対する個々の組織の利益を考慮する方が簡単であることが多い。

この根拠は、「そのような利益が、個人データの保護を必要とする[個人]の利益または基本的権利と自由に優先されない」場合にのみ使用できる(第6条(1)(f))。したがって、IAM組織は、このような根拠に基づいて情報を開示(または要求)することを検討する前に、その開示の結果として個人にどのようなリスクが生じるかを検討しなければならない。基本的権利と自由」という言及は、データ保護だけではないリスクを考慮すべきであることを示している。これは煩雑に見えるかもしれませんが、関係するデータの種類や情報を受け取る主体について知られていることを考慮することで、プロセスを簡素化し、属性開示ポリシーの形で実施することができることが多いです。リスクの低い属性を、サービス提供のためにのみそのようなデータを使用することを約束している(または適用される法律によって要求されている)組織に公開することは、その組織のサービスへの連携認証を要求することを個人が最初に選択しなければならないことを考えると、許容できるリスクと考えられるかもしれない。

正当な利益の根拠を用いる場合、各個人は第 21 条に基づく「異議申立権」を有している。 法的要件は、組織が処理を継続するための「やむを得ない正当な理由」があるかどうかを検討することであり、その場合、組織は処理を行うことができる。実際には、IAMシステムは、いかなる場合でも、利用者にサービスを提供するために必要な最低限の情報のみを処理するべきであるため、異議申し立ては、事実上、正当な利益に依存するサービスの部分の利用停止を求めるものである。したがって、組織は、そのような要求に対して、それが実際に個人の意思であることを確認することで対応することができる。

同意

必要な」という言葉を含まない唯一の法的根拠は、個人が処理に同意していることである。しかし、これは、第7条及び説明書32、42及び43の重要な条件を条件としているが、これは、IAMに関与する処理の多くについて、同意を不適切なものにする可能性が高い。同意は、「自由に与えられた、具体的で、インフォームド・インフォームド・曖昧さのない同意の明示」によって示されなければならず、同意は、与えられたのと同じようにいつでも簡単に撤回することが可能でなければならず、同意は、「個人が真正で自由な選択をしていない場合、または不利益なく同意を拒否したり撤回したりすることができない場合」には有効ではない。同意は、IAMシステムがその中核機能(例えばニックネーム)に必要のない追加情報を含んでいたり、他の処理をサポートしていたりする場合に使用されるかもしれませんが、この場合、個人はいつでもその追加情報を削除したり、追加処理を中止したりする絶対的な権利を持っています。

さらに、雇用者、公的機関、または個人に対して同様の権限を持つ他の組織が求める同意は、自由ではないと推定されます。同意は、サービスを提供する条件として求められてはならない。同意に依存する組織は、同意がこれらの条件に従って得られたことを証明できなければならない。上記の「契約」については、同意を得て取得した情報にはポータビリティの権利が適用される。

まとめ

必要な」ベース-通常は契約、正当な利益、法的義務のいずれか-は、個人とIAMシステムとの関係を維持するために必要な情報に適している。これらがあれば、組織は合法的な同意が得られたかどうかを心配する必要はなく、また、気まぐれで同意が取り消される可能性もない。同意は、IAMシステムが扱うことができるが必要としない情報、つまり、有効であるための要件を満たす可能性が高い状況のために確保されるべきである。英国のデータ保護規制当局によると、同意は、より深く、より信頼できる関係に入るための個人への提案であるべきです。8

国際線へのお乗り継ぎ

欧州経済領域内の国から欧州経済領域外の国への個人データの転送(一般的に「輸出」と呼ばれる)には、それ自体の法的根拠が必要です。可能な根拠の完全なリストは、第45条から第49条に記載されています。実際には、以前のデータ保護指令とは異なり、国際的なIAM業務には通常、欧州内のものと同じ法的根拠を使用することが可能です。個人データの定期的な転送(例えば、顧客組織と欧州以外のIAMサプライヤー間の転送)は、通常、標準契約条項の1セットを含む契約でカバーされるべきです。国際的な移転のための取り決めは変更される可能性がある。例えば、当初の米国のセーフハーバー制度は無効であると宣言され、それに代わるプライバシーシールドについても疑問が生じている。10 国際的なIAMシステムを運用している組織は、その動向に注意すべきである。

セキュリティ

GDPR第33条では、個人データのセキュリティを保護するための積極的な措置をとることを組織に義務付けるとともに、「送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、紛失、改ざん、不正開示、またはアクセスにつながるセキュリティ違反」を組織が認識した場合の重要な報告義務が導入されています。違反」の定義が広く、「偶然」が含まれているということは、組織は、データを変更、削除、または開示する可能性のあるプロセスを設計、テスト、および文書化する際に、特に注意を払う必要があることを意味します。このような違反は、「自然人の権利と自由に対するリスクをもたらす可能性が低い」場合を除き、すべて規制当局に報告しなければなりません。暗号化されたメモリースティックを紛失した場合、復号化キーは安全であるにもかかわらず、報告の必要がない違反の例としてよく挙げられます。このような報告は72時間以内に送られることが期待されていますが、そうでない場合は、遅延に対する納得のいく説明を含めなければなりません。違反が個人の権利と自由に「高リスク」をもたらす可能性がある場合は、第 34 条に基づき、影響を受ける個人への通知が必要となります。

GDPR は、セキュリティ侵害を検知し、封じ込め、是正する能力がデータの安全性を維持する上で重要な要素であることを補足説明書 49 で認識しています。実際、これを怠ること自体が第 33 条の違反となる可能性があることが示唆されています。11 これらの目的のために必要とされるアクセスログや活動ログなどの個人データの処理は、正当な利益として認識されている (バランステストの対象となるため、許可されている)。そのようなログは、もちろん、安全に保持され、処理されなければならない。IAMは、漏洩したアカウントを迅速かつ効果的に無効化することで、セキュリティ侵害を軽減する上で重要な役割を果たすことができます。

GDPRの厳しいタイムスケールに対応するためには、組織は、セキュリティ事故にどのように対応するかを計画し、準備し、リソースを提供し、実践しなければなりません。これには、どのようなタイプのIAMシステムの違反が、規制当局、個人、またはそのどちらに通知する必要があるのかを評価することや、支援が必要な社内外のパートナーを特定し、連絡先を確立することが含まれます。

IAMの例

以下の例は、IAM システムが GDPR をサポートする方法を示しています。

例1. 外部委託されたオフィスシステム

ジョンは中小企業で働いていますが、その企業はクラウドサービスプロバイダと契約して人事・オフィスソフトの運用を行っています。その契約で合意されているように、サービスプロバイダーは電子メールとドキュメントの共有の操作をGoogleに外注しています。ジョンの雇用主は、一連のウェブフォームに雇用の役割に必要な情報を入力し、サービスプロバイダーは必要なアカウントと文書の許可を設定します。ジョンの個人データは、雇用契約に必要なものとして処理され、メールと文書のアカウントを設定するために必要な情報のみがGoogleに渡されます。

この例では、ジョンがデータ対象者であり、彼の雇用主がデータ管理者です。契約したサービスを提供するためだけに情報を使用するのであれば、サービス提供者とGoogleはデータ処理者です。どちらかが独自の目的(例えば、カスタマイズされた広告の表示など)のためにデータを使用する場合は、その処理のためのデータ管理者となり、データ管理者の義務をすべて履行する必要があります。

例2. 統合されたアクセス管理

ジャネットはエレホン大学の教授です。大学には、仕事をするために必要なすべてのスタッフの詳細を含む中央IAMシステムがあります。この情報は、ジャネットの大学との雇用契約に必要であるという法的根拠に基づいて保存・処理されています。IAMシステムは単一の真実のポイントとして機能するため、情報が大学全体で最新のものであることを保証し、修正要求があれば簡単に実行できるようになっています。

また、IAMシステムは、ジャネットさんの個人的な関心事などの任意の情報を保存することができ、それをスタッフのウェブページに掲載することができます。ジャネットは仕事に影響を与えることなく、これらをいつでも追加、変更、削除することができるので、適切な法的根拠は同意である。

また、大学はAAI(Authentication & Authorisation Infrastructure)連盟のメンバーでもあります。ジャネットが他の連盟メンバーのウェブサイト(例えば、雑誌の出版社)にアクセスする際には、大学の認証情報を使ってログインすることができます。大学が検証された情報を提供し、ユーザーの善良な行動を保証する責任を負うことで、データ最小化の原則に従って、個人データの受け取りと処理を大幅に減らすことができるため、様々な組織が連盟のメンバーとなっています。ジャネットは仕事のためにこれらの情報にアクセスする必要がありますが、他の情報は個人的な興味のためだけのものかもしれません。大学もサイトも、どのサイトが契約上必要なもので、どのサイトが自由な同意を得てアクセスしたものなのかを調べたくないため(ジャネットが仕事のためにサイトにアクセスする必要がある場合、ジャネットの同意を自由にすることはできない)、ジャネットが必要とする情報にアクセスするのを助けるために処理が正当な利益のために必要であるという法的根拠を使用しています。

正当な利益の根拠は、情報を公開することのリスクと利益のバランスをとることを大学に求めている。連盟契約では、サービスの提供とパーソナライゼーションの目的で認証やその他の属性を使用することのみを会員に要求しており、偽名ユーザーを特定しようとはしていないため、大学は、一意の不透明な識別子とジャネットのスタッフとしてのステータスを連盟会員に公開することにはほとんどリスクがないと評価しています。これは、ジャネットがオンラインジャーナルにアクセスしたり、地元のヘルスクラブでスタッフ割引を受ける資格を確認したりするのに十分な情報である。

フェデレーションは、研究と教育のために特別に設計されたサービスのクラスを定義しており、不透明な識別子とステータスに加えて、名前と電子メールアドレスを要求している。この追加要件は、サービスの個人情報保護に関する通知に記載されています。この開示には若干のリスクが伴いますが、大学は、この開示がより大きな利益をもたらすことで正当化されていると考えており、そのようなサービスはデフォルトで追加情報を受け取ることになります。これにより、ジャネットは自分の専門分野のディスカッショングループや仮想研究環境を利用することができます。

サービスがより多くの情報を求めてきた場合、大学は利益とリスクを個別に評価する。これにより、開示のリスクを軽減するために、二者間契約や各個人の自由な同意などの追加措置が必要であることが示されることがあります。

この例では、ジャネットがデータ対象者である。サービス提供者がジャネットに提供するサービスを選択しているため、大学とサービス提供者の両方がデータ管理者である。

著者のバイオ

Andrew Cormack は、Jisc の最高規制顧問です。彼は15年以上にわたり、英国、ヨーロッパ、そして世界的に連携したアイデンティティシステムの技術的・政策的な開発に携わってきました。彼は、デジタル技術がプライバシーとデータ保護を向上させるためにどのように使用できるか、また、最近ではGDPRの適用について、幅広く講演や執筆を行っています。彼の出版物は https://orcid.org/0000-0002-8448-2881 に、ブログは https://community.jisc.ac.uk/blogs/regulatory-developments にあります。


  1. “EU一般データ保護規則(GDPR)。個人データの処理に関する自然人の保護とそのようなデータの自由な移動に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679、および指令95/46/EC(一般データ保護規則)の廃止” OJ 2016 L 119/1.

  2. GDPR第4条(1)

  3. GDPR第4条(2)

  4. “Council of Europe Data Protection website”, Council of Europe, accessed October 10, 2019, https://www.coe.int/en/web/data-protection/home.

  5. 一部の公的機関、特に欧州連合(EU)自体の機関や法執行機関、国家安全保障機関は、これらの業務を行う際にGDPRの対象から除外されることに注意してください。これらは通常、同じ原則を適用する他の法律の適用を受けることになります:例えば、EU機関については規則2018/1725、法執行機関については指令2016/680など。

  6. 例えば、英国レギュレータ https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/ を参照のこと。

  7. “データポータビリティ “の権利に関するガイドライン」改訂版(wp242rev.01)、欧州委員会、最終更新日:2017年10月27日、https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233。

  8. “同意はどのような場合に適切か?” Information Commissioner’s Office, accessed October 10, 2019, https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/consent/when-is-consent-appropriate/#when3.

  9. “標準契約条項。EU 諸国と非 EU 諸国間のデータ移転に関する標準契約条項」、欧州委員会、2019 年 10 月 10 日、アクセス数 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en。

  10. “Facebook Ireland and Schrems” Case C-311/18.

  11. “Guidelines on personal data breach notification under Regulation 2016/679, Article 29 Data Protection Working Party, final revised and adopted on February 6, 2018, https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49827