MENU

データ保護影響評価(DPIA) ガイドライン

 

2018年03月29日 JETROのホームページに、データ保護影響評価(DPIA)の実施に関するガイドラインが公開されました。
https://www.jetro.go.jp/world/europe/eu/gdpr/

 

データ保護影響評価(DPIA)の実施に関するガイドライン(ジェトロ仮訳)(2018年3月)

 https://www.jetro.go.jp/ext_images/_Reports/01/4d53cce1193597c7/20170117.pdf

 

データ保護影響評価(Data Protection Impact Assessment:DPIA)に関するガイドライン、また処理がEU規則2016/679の目的に照らして「高度のリスクをもたらす可能性」があるかを決定するためのガイドライン(2017年10月時点)

 http://ec.europa.eu/newsroom/document.cfm?doc_id=47711

 

データ保護影響評価(Data Protection Impact Assessment:DPIA)とは

 

データ保護影響評価(DPIA)は、データ主体者のプライバシーに対するリスクを測定、分析、評価する、プライバシー保護対策の1つです。GDPR第35条 に定められています。

 

GDPRでは、以下の場合等にDPIAを実施することが求められています。
・プロファイリング
・「特別なカテゴリの個人データ」(人種、政治、病歴等)もしくは犯罪に関するデータの大規模な利用
・大規模に行われる公共の場でのモニタリング

 

DPIAについてのGDPR条文を引用します。

第35 条 データ保護影響評価
Article 35 Data protection impact assessment
1. 特に新たな技術を用いるなどのある種の取扱いが、その性質、範囲、文脈及び取扱いの目的を考慮して、自然人の権利や自由に高リスクを生じさせる可能性がある場合、管理者は、取扱いの前に、予定された取扱い作業の個人データ保護への影響評価を実施しなければならない。独立した評価は同様の高リスクを示す同様の取扱い作業の集合で用いることができる。
1. Where a type of processing in particular using new technologies, and taking into account the nature, scope,context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks.

 

2. 管理者は、データ保護影響評価を実施する場合、任命しているならば、データ保護オフィサーの助言を求めなければならない。
2. The controller shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment.

 

DPIAが要求される場合

3. 第1 項で定めるデータ保護影響評価は特に次に掲げる場合に要求されるものである。
3. A data protection impact assessment referred to in paragraph 1 shall in particular be required in the case of:
(a) プロファイリングを含めた自動処理に基づいて自然人に関する個人的側面を体系的かつ広範囲に評価され、その評価に基づいて決定がなされ、その決定が自然人に関する法的効果を生じさせるか又は同様に自然人に重大な影響を与える場合。
(a) a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person;
(b) 第9 条第1 項で定める特別な種類のデータ、又は第10 条で定める有罪判決及び犯罪に関する個人データを大規模に取扱う場合。
(b) processing on a large scale of special categories of data referred to in Article 9(1), or of personal data relating to criminal convictions and offences referred to in Article 10; or
(c) 誰でも立ち入ることの出来る場所において大規模な体系的監視を行う場合。
(c) a systematic monitoring of a publicly accessible area on a large scale.

 

DPIAに必要な内容

7. 評価は少なくとも次に掲げる事項を含むものとする。
7. The assessment shall contain at least:
(a) 予想された取扱い作業及び取扱いの目的の体系的記述。該当する場合、管理者によって追求される正当な利益を含む。
(a) a systematic description of the envisaged processing operations and the purposes of the processing,including, where applicable, the legitimate interest pursued by the controller;
(b) 目的に関する取扱い作業の必要性及び比例性の評価。
(b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes;
(c) 第1 項で定めるデータ主体の権利及び自由に関するリスクの評価。
(c) an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; and
(d) リスクに対処するために予定された対策。データ主体及び関連する他者の権利及び正当な利益を考慮し、個人データの保護を確実にし、本規則の遵守を証明するための保護措置、安全対策及び安全メカニズムを含む。
(d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.

関連ページ

2019/01/22 GoogleがGDPR違反で5000万ユーロの制裁金
2019/01/22 Google、フランス当局からGDPR違反で5000万ユーロの罰金が課されました。GDPRの見せしめ制裁がついにきました。 GDPR(EU一般データ保護規則)関連の最新情報を紹介します。
2019/01/22 十分性認定 欧州委員会との合意が発表!
十分性認定 欧州委員会との合意が発表されました 個人情報保護委員会のHPに、報道発表資料がUPされました。 GDPR(EU一般データ保護規則)関連の最新情報を紹介します。
2018/12/26 日本の十分性認定は、1月中になる見込み
年末の12/26に、個人情報保護委員会から現在の状況の報告がありました! 日本の十分性認定は、1月中になる見込みとのことです。 GDPR(EU一般データ保護規則)関連の最新情報を紹介します。
2018/7/19 Googleに過去最高5700億円の制裁金(競争法違反)
2018/7/19 Google(グーグル)に過去最高5700億円の制裁金が課されることになりました。競争法違反です。
2018/7/17 十分性認定の最終合意+EPAとSPAが発表!
2018/7/17 十分性認定の最終合意が発表されました。やっとですね。この日には、日EU経済連携協定(EPA)と、戦略的パートナーシップ協定(SPA)も締結されました。
2018/7/10 Facebookの情報流出事件の制裁金はいくらに?
2018/07/10 Facebook(フェイスブック、FB)の情報流出事件に制裁金が科される方針だそうです。一体いくらになるのでしょうか?
2018/6 FastBooking社 情報流出事件 プリンスホテルなどで被害
2018/6 FastBooking(ファストブッキング)社 情報流出事件 GDPR施行後初の情報漏洩事件で、プリンスホテル、ホテルニューオータニ、東京ドームホテル、リッチモンドホテルなどで個人情報の漏洩被害がありました。
2018/6/4 海外のDNA検査サイトで、9228万件の個人情報流出
2018/6/4 イスラエルのDNA検査サイト MyHeritageで、9228万件の個人情報流出が発覚しました。GDPR施行後初の、大規模な情報流出事件です。制裁金は適用されるのでしょうか?
2018/6/1 個人データ相互移転 日欧が合意※十分性認定を実質合意
2018/6/1 ついに、個人データ相互移転を日欧が合意しました。日本の十分性認定が実質合意されたことを指します。
2018/5/25 GoogleとFacebook、GDPR施行初日に提訴される
GDPR(EU一般データ保護規則)が、2018/5/25、いよいよ施行開始しました。そして、なんとGoogleとFacebookなど4社が、GDPR施行初日にオーストリアのプライバシー団体noybに、GDPR施行初日にいきなり提訴されました
2018/5/25 いよいよGDPRが施行開始しました!
GDPR(EU一般データ保護規則)が、2018/5/25、いよいよ施行開始しました。十分性認定は施行日までに間に合わなかった日本、データ移転のための対策はできていますか?
2018/5 GDPRが施行直前。プライバシーポリシーの更新が相次いでます。
GDPR(EU一般データ保護規則)の発効が、2018/5/25、と近づいてきています。各企業からのGDPR対応のためのプライバシーポリシーの更新のお知らせが増えました、
2018/4/25 ガイドライン(案)のパプリックコメントを募集開始
2018年04月25日 個人情報保護委員会の作成したガイドライン案がパブリックコメント意見募集を開始しました。 「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」
2018/3/28 「EU域内にいる個人の個人データを取り扱う企業の皆さまへ」個人情報保護委員会
3月28日個人情報保護委員会より、 「EU域内にいる個人の個人データを取り扱う企業の皆さまへ」というお知らせがされました。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
2018/3/28 SCC(標準的契約条項)の和訳が公開されました。
3月28日SCC(標準的契約条項)の和訳がJETROに公開されました。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
2018/2 日本の十分性認定がほぼ確実の見通しになりました!
【速報】2018/2 日本の十分性認定がほぼ確実の見通しになりました! GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。